网络安全威胁升级时的应对措施指南

本文详细介绍了组织在面临升级的网络威胁时应采取的关键安全措施,包括系统补丁管理、访问控制验证、防御系统检查等基础安全实践,以及针对大型企业的高级风险管理策略。

网络安全威胁升级时应采取的措施

当组织可能面临更大威胁时,以及为提升安全性而采取的步骤。

平衡网络风险与防御

组织面临的威胁可能随时间而变化。在任何时候,都需要在当前威胁、防御所需措施、这些防御措施的影响和成本以及给组织带来的整体风险之间取得平衡。

当组织面临的网络威胁比平时更大时,提高警戒级别可以:

  • 帮助优先处理必要的网络安全工作
  • 暂时提升防御能力
  • 在攻击更可能发生时给组织提供最佳的预防机会,并在发生时快速恢复

本指南解释了网络威胁可能发生变化的情况,并概述了组织应对升级的网络威胁时可以采取的步骤。

影响组织网络风险的因素

如果出现威胁升级的新信息,组织对其网络风险的看法可能会改变。这可能是因为对手能力暂时提升,例如广泛使用的服务中存在零日漏洞,且有能力威胁行为者正在积极利用。或者可能更具体地针对特定组织、部门甚至国家,由黑客行动主义或地缘政治紧张局势引起。

这些不同的因素意味着各种规模的组织都必须采取措施确保能够应对这些事件。组织很少能够影响威胁级别,因此行动通常侧重于首先减少受攻击的脆弱性并降低成功攻击的影响。即使是最复杂和坚定的攻击者,如果可能的话,也会使用已知漏洞、错误配置或凭据攻击(如密码喷洒、尝试使用泄露的密码或身份验证令牌重用)。消除他们使用这些技术的能力可以降低组织的网络风险。

应采取的措施

对各种规模的组织来说,最重要的是确保网络安全基础到位,以保护其设备、网络和系统。以下行动是关于确保基本网络卫生控制措施到位并正常运行。这在所有情况下都很重要,但在网络威胁升级期间至关重要。

组织可能无法快速对威胁变化做出广泛的系统更改,但组织应尽一切努力优先实施这些行动。

检查系统补丁

  • 确保用户的台式机、笔记本电脑和移动设备都已打补丁,包括浏览器和办公生产力套件等第三方软件。如果可能,请开启自动更新。
  • 检查确保组织设备的固件也已打补丁。有时这与更新软件的方式不同。请参阅NCSC指南:设备安全指南。
  • 确保面向互联网的服务已针对已知安全漏洞打补丁。具有未修补安全漏洞的面向互联网的服务是不可管理的风险。
  • 确保在可能的情况下,关键业务系统都已打补丁。对于未修补的漏洞,确保其他缓解措施到位。请参阅NCSC指南:漏洞管理。
  • 鉴于威胁升级,还要审查已知未修补系统的现有业务案例。

验证访问控制

  • 要求员工确保其密码对业务系统是唯一的,并且不跨其他非业务系统共享。确保系统密码强大且唯一,并立即更改任何不符合要求的密码。请参阅NCSC密码指南:三个随机单词。
  • 审查用户账户并删除任何旧账户或未使用的账户。如果启用了多因素认证(MFA),请检查其配置是否正确。确保根据策略在系统和用户账户上启用MFA。
  • 仔细审查任何具有特权或管理访问权限的账户,并删除旧账户、未使用或无法识别的账户。确保具有特权访问或其他权限的账户得到仔细管理,并在可能的情况下使用MFA。特权可以指系统管理,也可以指对敏感资源或信息的访问,因此也要确保资源得到充分保护。
  • 考虑整体系统管理架构,以更好地了解此领域的风险。请参阅NCSC的安全管理指南。

确保防御措施有效

  • 确保安装防病毒软件,并定期确认其在所有系统上处于活动状态且签名更新正确。
  • 检查防火墙规则是否符合预期——特别检查可能超出预期寿命的临时规则。
  • NCSC的设备安全指南有助于常见台式机、笔记本电脑和移动设备的安全配置。

日志记录和监控

  • 了解已设置的日志记录、日志存储位置以及日志保留时间。监控关键日志,至少监控防病毒日志。如果可能,确保日志至少保留一个月。

审查备份

  • 确认备份运行正常。从备份执行测试恢复,以确保理解并熟悉恢复过程。
  • 检查备份是否有离线副本——并且其更新时间足够近,以便在攻击导致数据或系统配置丢失时有用。
  • 确保机器状态和任何关键外部凭据(如私钥、访问令牌)也已备份,而不仅仅是数据。

事件计划

  • 检查事件响应计划是否最新。请参阅NCSC的事件管理指南。
  • 确认升级路径和联系方式都是最新的。
  • 确保事件响应计划明确谁有权做出关键决策,尤其是在正常办公时间之外。
  • 确保事件响应计划及其使用的通信机制可用,即使业务系统不可用。

检查互联网足迹

  • 检查外部面向互联网的足迹记录是否正确和最新。这包括系统在互联网上使用的IP地址或属于组织的域名等。确保域名注册数据安全保存(例如检查注册表账户密码),并且任何委托符合预期。
  • 对整个互联网足迹执行外部漏洞扫描,并检查所有需要打补丁的内容是否已打补丁。具有未修补安全漏洞的互联网连接服务是不可管理的风险。

网络钓鱼响应

  • 确保员工知道如何报告网络钓鱼邮件。确保有处理任何报告的网络钓鱼邮件的流程。

第三方访问

  • 如果第三方组织可以访问IT网络或资产,请确保全面了解延伸到系统中的特权级别以及授予对象。删除任何不再需要的访问权限。确保了解第三方的安全实践。

NCSC服务

  • 注册早期预警服务,以便NCSC能够快速通知您任何报告给我们的关于您系统的恶意活动。

向更广泛的组织通报

  • 确保其他团队了解情况和升级的威胁。获得业务其他部门的支持对于完成此处描述的行动至关重要。
  • 确保其他领域的同事了解可能对其团队工作量和任务的影响。确保每个人都知道如何报告可疑安全事件,以及为什么在威胁升级期间报告如此重要。

高级行动

大型组织应执行上述所有行动,以确保最基本的安全措施到位。使用网络评估框架帮助理解网络风险的组织和部门监管机构应注意,CAF包含上述行动所有领域的指南。如果您的组织已降低这些CAF领域的优先级,建议在威胁升级时立即重新审视这些决定。

此外,拥有更多资源的组织还应考虑以下步骤:

  • 如果组织有计划随时间推移进行网络安全改进,应审查是否加速实施关键缓解措施,接受这可能需要重新确定资源或投资的优先级。
  • 没有技术服务或系统是完全无风险的,成熟的组织会做出平衡和知情的基于风险的决策。当威胁升级时,组织应重新审视关键的基于风险的决策,并验证组织是否愿意继续容忍这些风险,或者是否更好地投资于修复或接受能力降低。
  • 某些系统功能,例如来自不受信任网络的丰富数据交换,可能 inherently 带来更高水平的网络风险。大型组织应评估是否适合接受功能暂时降低以减少威胁暴露。
  • 大型组织将拥有大规模评估、测试和应用软件补丁的机制。当威胁升级时,组织可能希望对安全漏洞修补采取更积极的方法,接受这可能对服务本身产生影响。
  • 在此期间,大型组织应考虑延迟任何与安全无关的重大系统更改。
  • 如果有运营安全团队或SOC,考虑延长运营时间的安排或制定应急计划以便在发生网络事件时快速扩展运营可能有所帮助。
  • 如果已建立可以根据威胁情报采取自动行动或通知的系统,也可以考虑购买可能提供与威胁升级期相关信息的威胁源。
comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次