许多企业都在寻求一个能够以合理成本搭建网络安全体系的起点。实现这一目标的基石是实施网络安全框架,如美国国家技术研究所(NIST)的网络安全框架(CSF)。
NIST CSF基于五大战略支柱:
要从五大支柱中获得最大收益,组织应该从一些基础能力开始构建。互联网安全中心(CIS)建议企业可以从以下10个因素入手:资产管理、数据管理、安全配置、账户和访问控制管理、漏洞管理、日志管理、恶意软件防御、数据恢复、安全培训和事件响应。
资产管理
建立网络防御的第一步是制定企业资产和软件资产的管理政策。许多资产管理工具都能对两者同时进行跟踪,常用工具从电子表格到全自动工具都有,企业可自行决定哪种工具最适合自己的需要。企业在采购过程中可能会遇到的常见术语包括服务台软件、IT资产管理(ITAM)工具、IT库存管理工具、网络清单和发现工具或网络IP扫描器。
重要的是要考虑:
数据管理
企业必须执行有关数据管理流程的政策。下一步是编制数据清单,特别是敏感数据的清单。还必须努力加密数据以保护机密性。数据管理类别中常见的工具名称包括治理、风险与合规(GRC)工具、数据防丢失(DLP)工具或电子发现工具。
采购数据管理工具时需要考虑的问题包括:
安全配置
首先,通过创建策略建立安全配置流程。下一步是确定如何安全配置设备。无论企业采用哪种机制、准则或建议,都应确保满足基本的安全原则,如移除/禁用默认账户、加密、日志记录和保护直接暴露在互联网上的设备。
除了实施安全配置外,还包括使用安全外壳(SSH)和超文本传输协议安全(HTTPS)等协议以安全的方式管理配置。确保企业网络安全的另一个重点领域是防火墙,包括为终端用户设备和服务器实施防火墙。
在选择合适的工具时要注意的事项包括:
账户和访问控制管理
从制定访问和身份管理政策开始。确保建立授予和撤销账户和权限的流程。账户和访问控制管理的常用工具包括身份和访问管理(IAM)工具、特权访问管理(PAM)工具、账户发现工具、身份管理工具、用户管理工具、密码管理器或多因素身份验证(MFA)。
在账户和访问控制管理中实施控制时涉及的问题包括:
漏洞管理
建立漏洞管理流程的最佳方式是首先制定政策。此外,还应制定修复流程,确定修复频率和补丁的优先级。漏洞管理类别中的常用工具名称可能各不相同。企业在采购过程中可能会遇到的一些替代工具的名称,包括漏洞管理工具、端点/客户端管理工具或自动更新。
在实施补丁程序管理的保障措施时,需要牢记的一些注意事项包括:
日志管理
首先应实施日志管理策略,该策略为识别、收集和管理日志文件提供方向。策略到位后,可以选择日志管理工具。日志管理工具因使用情况和日志文件的所需保留期而异。常见的工具命名约定包括事件日志管理器、安全信息和事件管理 (SIEM) 以及安全信息管理 (SIM)。
在选择和实施日志管理保护措施时要记住的一些注意事项包括:
恶意软件防御
恶意软件防御是信息安全的基本要求。恶意软件防御中使用了两种主要工具:反恶意软件和域名系统 (DNS) 服务。重要的是要考虑到自动化在执行所有恶意软件工具中起着至关重要的作用。自动化使反恶意软件能够更快地响应检测到的威胁,使企业有更多时间响应潜在事件并从中恢复。企业在采购过程中可能遇到的常见工具包括防病毒软件、端点检测和响应 (EDR)、端点保护平台 (EPP) 或端点安全服务 (ESS)。
选择和实施日志管理保护措施时要考虑的事项包括:
数据恢复
数据恢复是现代信息和网络安全领域的另一个基本但关键的组成部分。如果所有控制都失败,那么拥有(或没有)备份可能会成就或破坏企业。强制执行指定数据备份和恢复机制的数据恢复策略、过程和流程非常重要。数据备份和恢复工具的选择很大程度上取决于结构(例如,通过网络分段在本地、异地、云)、备份的保留时间、备份类型(完整备份与增量备份)以及备份的大小。企业在采购过程中可能遇到的常用工具包括备份软件、备份管理器、数据恢复产品或备份和恢复软件。
实施数据恢复保护措施时要问的几个问题包括:
安全培训
在建立安全培训和意识计划时,制定政策非常重要。网上有如此多的免费资源(例如,视频、链接、文章、在线练习),许多企业不需要花费大量资金来教育员工网络安全。
在选择工具或资源集时,应确保它们涵盖以下领域:
有许多全面的资源,包括在线和面对面的培训资料,可用于安全意识计划。由于创建安全培训计划可能是劳动密集型的,因此企业可能会考虑将部分工作外包,具体取决于其人员的可用性和技能组合。
实施培训保障措施时要考虑的事项包括:
事件响应
事件响应是任何信息和网络安全计划的另一个关键方面。制定事件管理政策和事件响应计划至关重要,这些策略和事件响应计划应考虑到所有适用的法律、法规和法定要求。这还应包括指定人员管理事件处理、创建在发生事件时引用的联系人列表以及建立报告事件的流程等活动。
在制定事件响应计划时,应考虑以下几点: