红绿灯策略：端点安全版

管理端点就像在繁忙街道上指挥交通一样不可预测。了解颜色编码网络安全措施如何帮助实现控制、协调和合规。

当前的威胁形势难以应对。用户不仅在不同地点工作，而且使用跨不同平台的各种端点。确保安全类似于指挥繁忙的十字路口：设备快速通过，USB设备试图接入，用户随意下载应用程序以更快完成工作，浏览器访问可疑网站等等，所有这些同时发生。

除此之外，还有漏洞、零日攻击和恶意软件，可能造成毁灭性损害并使一切陷入停滞。

这些数字高速公路承载着风险、生产力和合规性的交汇点。控制端点混乱意味着知道该阻止什么、监视什么和允许什么，这始于像高峰时段的交警一样对风险进行分类。

红色表示阻止，黄色表示监控，绿色表示信任。🚦

您可以通过按颜色分类威胁来构建分层安全策略，指导哪些该限制、遏制和允许。

红绿灯响应策略

红灯响应：立即停止未经授权、不安全或违反公司政策的行为。

黄灯响应：允许在受控区域内谨慎进行特定活动。

绿灯响应：批准安全和合规的行为。

了解威胁并做出响应

当您的攻击面开始类似于混乱的十字路口时，此策略可以像交通规则一样，帮助您对每个威胁进行分类、优先排序并以适当的紧急程度做出响应。

应用程序威胁

来自不受信任和未知来源的应用程序可能携带恶意负载、请求不必要的权限，或为恶意行为者打开进入您网络的后门。然后，它们可以窃取公司数据、监视您的用户，或充当勒索软件的投放器。

红灯响应：阻止恶意、未经授权和不受信任的应用程序进入您的网络。

黄灯响应：仅在授权用户请求时允许对受限应用程序的即时访问。仅在符合组织策略的端点上有条件地授予应用程序访问权限。

绿灯响应：允许在端点组上使用不同的受信任和提高生产力的应用程序集。

外围设备威胁

可移动存储和外部硬盘驱动器可能藏有恶意软件，或被有意或无意地用于泄露敏感数据。

红灯响应：阻止使用外部和未知USB、存储设备和外围设备。

黄灯响应：仅在需要时向特定端点或用户授予对外围设备的临时访问权限。

绿灯响应：允许在组织内使用已知和受信任的外围设备。

漏洞、利用和零日攻击

未修补的漏洞和零日利用是攻击者试图渗透系统和发起横向移动的主要目标。

红灯响应：识别并为所有设备部署针对关键威胁的测试补丁。将不合规和高风险端点与网络其余部分隔离。

黄灯响应：为无法立即修补的端点提供宽限期。但是，持续监控它们是否有任何受损迹象。

绿灯响应：确保设备完全修补并合规后恢复所需的访问级别。

基于网络的威胁

Web浏览器是攻击者的常见入口点，不安全的浏览器可能使系统暴露于恶意软件、凭据盗窃和数据泄漏。

红灯响应：阻止访问已知恶意URL和域。禁用风险插件和扩展，同时对未知下载和弹出窗口实施限制。

黄灯响应：在访问不受信任和未知站点时启用浏览器沙盒。此外，向用户发送有关可疑站点的警告，以保持浏览时的谨慎。

绿灯响应：允许通过托管浏览器访问批准的URL和内部工具。

数据外泄

虽然保护外围设备使用可防止通过外部设备泄露数据，但敏感文件仍可能通过云服务、个人电子邮件甚至截图被外泄。

红灯响应：通过阻止上传到个人云服务、外部电子邮件域或便携式存储来阻止未经授权的文件传输和存储通道。

黄灯响应：仅允许批准的用户进行临时数据传输。同时密切关注组织内敏感文件的移动。

绿灯响应：在受监控环境中和向受信任的工作应用程序（如M365和电子邮件平台）启用安全数据共享。

权限滥用

本地管理员帐户和具有累积权限的用户是恶意行为者进行横向移动甚至完全接管网络的目标。

红灯响应：默认强制执行最小权限原则。识别并删除设备上不必要的本地管理员帐户。

黄灯响应：为需要临时提升权限的用户授予即时访问权限。仅允许为特定任务自行提升权限，并由批准和审计跟踪支持。

绿灯响应：允许执行预先批准的受信任应用程序及其合法子进程，而无需提升提示或阻止。

红、黄、绿：所有信号，一个控制台

定制安全措施以保护网络免受这些类别的威胁可能很累人且令人困惑。像ManageEngine Endpoint Central这样的综合端点管理和安全解决方案可以帮助您在一个控制台下构建对不同类型威胁的分层响应。