網路安全最佳實踐

網路安全的重要性

無論規模大小，企業都需要保護網路免受下一次攻擊。正如我們在 2021 年安全報告中所學到的那樣，威脅參與者是機會主義者。 當疫情開始並且員工轉向在家工作模式時，網路威脅行為者利用 VPN 的脆弱性，加強了針對遠端員工的網路釣魚攻擊。

報告中提出了 5 個簡單易記的建議，可協助您改善網路安全狀況：

• 將安全性設定從偵測變更為防止。
• 確保一切安全；網路、行動、端點和雲端。
• 整合安全性以提高可見性。
• 實作零信任，「信任但驗證」模型。
• 保持網路意識並利用這種威脅情報來發揮自己的優勢。

如果有一個要點，那就是採取網路安全思維。引用 Check Point 產品副總裁 Dorit Dor 博士的話說：“安全是開啟創新並有助於保障我們所有人未來的推動者。”

5 網路安全最佳實踐

隨著網路威脅情勢的不斷發展和演變，有效的網路安全對於每個組織都至關重要。我們編制了一份前五名網路安全最佳實踐的列表，以幫助您的組織保護自己免受第五代網路威脅：

#1.區段、區段、區段

第一個最佳實踐是將網路劃分為多個區域。小型組織中基於外圍的網路防火牆的基本網段旨在將其與外部網路隔離，可能會建立非軍事區 ( DMZ ) 和內部網路。

可以使用功能或業務組屬性來建立內部網路區域。業務組的範例包括人力資源、財務、研發、訪客無線網路存取。功能組的範例包括網路、資料庫、電子郵件、核心網路服務（如 DNS 和 Microsoft Active Directory）以及物聯網服務（如建築管理或監控系統）。分段網路支援跨區域邊界設定最低特權存取。這是零信任的基礎，也是我們下一個安全最佳做法的基礎。

#2.信任但驗證

在零信任模型中，資料可以被視為新的周長。 僅允許需要資料作為其定義角色一部分的人員、裝置、系統和應用程式存取該資料。若要實作零信任，請部署以角色為基礎的存取控制和身分管理系統，以驗證存取。

其中包括：

• 對人們使用按鈕身份驗證。
• 確保發出請求的裝置或機器符合公司要求（例如，未處於受感染或 root 狀態）。
• 使用基於 PKI 的憑證來驗證和識別應用程式和系統。

一旦經過驗證，就可以監視連接上下文和裝置的任何狀態變化。例如，如果用戶端在建立連線後使用網路或應用程式漏洞，則可能會發生連線上下文變更。這可以使用 IDS/IPS 技術來實現。

#3.安全的物聯網

IoT 資安是「信任但驗證」最佳實踐的延伸。連接網路的物聯網裝置如今無所不在。與影子IT一樣，員工無需事先獲得批准即可將物聯網裝置連接到網路。不幸的是，該裝置很可能容易受到攻擊，而且，如果它暴露在互聯網上，它很可能會被機器人網路發現並受到損害。

當公司使用專門針對不同行業（例如企業、醫療保健、製造和公用事業）的物聯網產品進行連接時，他們可以發現該裝置。所有行業都容易受到企業物聯網裝置的影響，例如 IP 攝影機和 HVAC 或樓宇管理系統。也包括檢測這些物聯網裝置的解決方案。在醫療保健、製造和公用事業等在生產中使用經認可的物聯網裝置的行業中，應用不妨礙物聯網裝置正常功能的安全控制。

保護物聯網包括：

• 物聯網裝置的發現與分類。
• 使用防火牆策略自動分段裝置。
• 使用 IPS 技術防止已知易受攻擊的裝置被利用。

#4.啟用安全性

在這裡，我們回到上面提到的五個建議之一：將安全設定從偵測變更為防止。 首先，啟用與您要保護的資料、裝置、使用者或系統相符的安全性，包括：

• 安全的網路存取：存取網路上的檔案的使用者需要先進的威脅防護技術，例如沙箱和內容撤防與重建（CDR），以保護他們免受惡意檔案的侵害。
  • CDR 允許他們僅訪問安全的文件，而文件被模擬在虛擬沙箱中以監視惡意程序。
  • 同樣，應保護使用者免於存取惡意網站和提供偷渡式惡意軟體的網站。
  • 沒有使用者能夠免受針對性的魚叉式網路釣魚攻擊，因此網路釣魚防護措施也至關重要。
• 安全資料：利用資料外洩防護 (DLP) 技術防止敏感資料意外遺失。使用者有時會意外或出於方便的情況下，可能會將作品發送到個人電子郵件。 DLP 技術提供安全性和可見性，瞭解員工如何使用公司資料。
• 裝置安全性：防火牆可以控制大量計算機，但有時需要精細的裝置安全性。
  • 保護筆記型電腦和 BYOD 裝置安全的裝置安全產品透過為這些行動裝置建立安全層來應用零信任模型的微分段最佳實務。
  • 端點資安和EDR解決方案透過反勒索軟體保護筆記型電腦和計算機，該軟體可以檢測文件何時面臨風險，可以自動將文件恢復到安全狀態，並可以提供有關惡意軟體感染如何開始的豐富而詳細的資訊（即使是從連接惡意 USB 裝置）。
  • 行動威脅防禦解決方案可保護 BYOD 和公司擁有的行動裝置免受惡意應用程式的侵害，並可偵測裝置何時獲得 root 權限或越獄。與 MDM/UEM 解決方案結合使用時，只有相容的行動裝置才可存取公司資產。
• 雲端原生安全性：雲端技術虛擬化網路、工作負載和應用程式。確保混合資料中心和混合雲（公有雲和私有雲）基礎架構的安全性需要敏捷、動態且可以隨著這些基礎架構的成長或收縮而擴展的雲端原生安全技術。這可以透過DevSecOps來實現，即將安全納入開發營運 CI/CD 管道中，以實現安全自動化、防止威脅並管理跨多雲端和混合環境的態勢。

#5.安全性是一個過程，而不是一個產品

在這裡，我們回顧 2021 年安全報告中最重要的網路安全建議之一：保持網路意識並利用此威脅情報為您帶來優勢，以及這在應用於網路安全時意味著什麼

• 建立並傳達您的安全計劃：這主要意味著有一個安全計劃，並將其傳達給您的員工，以確保他們遵循公司準則。 這與員工培訓一起，將有助於提高他們的意識，並提供指引供他們遵循。
• 建立彈性安全性：任何公司遭到攻擊的可能性很高，因此設計和建立具彈性的安全系統非常重要。 網路安全彈性可確保您的企業即使在受到攻擊時也能繼續運作。
  • 這意味著安全性不是單點故障，即在 HA 中使用防火牆，或者更好的是在超大規模網路安全解決方案中使用主動-主動負載共享叢集。
  • 此外，這意味著遵循 2021 安全報告中的第一個建議：從偵測變更設定為防止。 當您阻止攻擊時，您可以節省嘗試控制感染在網路內橫向傳播的時間。
• 定期審核：定期執行安全審核可以識別系統中的脆弱性，例如開放連接埠、不安全協定使用 (TELNET) 以及不安全的設定（使用預設密碼）。
  • 另一項安全審計結果可能表示敏感資料在靜態、透過網路傳輸或使用時未受到保護。將靜態資料加密並使用 VPN 可以幫助保護資料，避免被竊聽或發生漏洞。
  • 可以透過聘請第三方進行滲透測試或安全評估來識別安全漏洞來增強安全審計。
• 安全維護：這裡首要考慮的是定期備份和更新您的安全系統和其他連接的網路裝置。
  • 即使是防火牆也可能容易受到攻擊。遵循8 個保護網路的防火牆最佳實務來強化您的防火牆和防火牆安全。
  • 定期備份系統組態和資料可協助您在系統故障、管理員犯錯誤，以及在最壞情況下，發生漏洞時進行復原。
• 安全性變更控制：設置變更控制程序可減少配置錯誤，確保追蹤變更，並分析和測量其效果。
• 最佳化安全性：除了執行定期審核之外，還應監控安全系統，以確保它們在向網路添加裝置或向網路施加更多負載時運作良好。
  • 防火牆需要進行深度封包檢查，這會增加延遲並降低吞吐量。使用可根據需要擴展以滿足需求的安全系統。
• 主動：先進的威脅參與者透過偵察、研究目標，以及建立多向量和目標性攻擊來規劃攻擊。 這可能意味著註冊與您公司網域類似的網域，並使用精心設計的網路釣魚技術來誘騙用戶在不知不覺中放棄其憑證。
  • SOC 團隊可以從現有的工具來搜索暗網絡，以找出攻擊的早期階段，這些工具可以幫助在攻擊發生之前識別攻擊。
  • 同樣地，使用 MITRE ATT & CK 框架可以幫助識別攻擊中使用的戰術和技術，並縮短修復攻擊效果所需的時間。

Check Point 的網路安全

近三十年來，Check Point 已為網路安全樹立了標準。在持續發展的數位世界中，從企業網路到雲端轉型，從保護遠端員工到關鍵基礎設施，我們保護組織免受最迫在眉睫的網絡威脅。

現代網路安全需要在組織的整個 IT 基礎架構（包括網路、基於雲端的部署、端點、行動裝置和物聯網裝置）中防範複雜的第五代網路威脅。Check Point Infinity是網路安全架構，可提供整合的安全管理，為 Check Point 的整個網路安全解決方案組合提供單一管理平台的可見性和控制。

這些解決方案由 Check Point ThreatCloud AI提供訊息，該解決方案使用人工智慧和世界上最大的網路威脅情報資料庫來阻止最新的網路威脅。要了解有關如何使用 Check Point 威脅情報工具的更多信息，請註冊免費演示。

Check Point 安全架構師利用其行業經驗並採用獨立框架（例如 NIST 網路安全性架構、SABSA 和零信任架構）來提供諮詢和評估服務，以保護客戶網路免受威脅。歡迎您立即註冊免費安全風險評估。