避免网络攻击——网络安全十诫

刚刚过去的10月份是美国的网络安全意识宣传月。今年的网络安全意识月核心议题，面向所有行业。无论公营还是私营，不管公司规模大小，都面临着同一个问题：如何第一时间应对网络攻击。

作为一个重要领域，网络安全已经进化到非战略和科技不能解决的程度。但同时，有些基本原则是历经时间考验的，被证明即便威胁态势快速改变，都能有效防止数据泄露发生的“铁规”。

以下列出的“网络安全十诫”皆是最重要最基础的实践，帮助企业避免网络攻击的成功进行，让企业的生产力免于遭到严重破坏，并使客户依然信任你的品牌。

1. 确保系统、应用和用户都打上补丁

应用最新安全补丁的重要性，再怎么强调都不为过。攻击者总在尝试通过最方便的路线闯进公司，这条康庄大道往往就是未打补丁的系统。至于雇员，确保部署持续的用户培训项目，保证强口令策略得到实现，并要求多因子身份验证。

2. 预防措施共享

防止网络攻击并击退攻击者的最佳机会，存在于有效安全控制措施在网络、终端和云上能协同执行，就像同一平台的不同部分一样。这意味着安全团队不用管理和编配单独的策略、实现、可见性及威胁情报。每个元素都能利用其它元素的成果，比如说，终端上发现的威胁，网络上和云端都能自动阻止，不用人工干预。

3. 实现一致的安全模型，不论用户位置或设备类型

如果所有位置上都有一致的预防措施，攻击者就无法在防护较弱的地方获得初始立足点，无法据此迈向公司中其他地方。无论是远程用户或系统，核心数据中心或边界，云服务或基于SaaS的应用，你都必须确保环境中没有安全空白。可以考虑将边界延伸至远程用户及网络，就好像他们是在你的核心网络上一样。

4. 实践最小权限原则

分隔是必须，微分隔正在快速到来。没谁，或者没有什么东西，需要跟全部人/物沟通。无论是什么，无论在哪里，都不能对任何实体有默认信任。通过建立区隔网络不同部分的“零信任”界限，公司企业可以保护数据不受未授权App或用户访问，减少脆弱系统的暴露面，防止恶意软件在整个网络上巡游。

5. 拥抱高级终端方法

确保终端防护措施可在整个网络及终端上无缝共享威胁情报，在终端自身可防止已知及未知恶意软件。终端技术应能无需任何前置知识就可识别并阻止漏洞利用程序;否则，便无法有效防护你的公司。

6. 要求使用安全应用程序

安全团队必须要能确定网络中应用程序的确切身份，无论该应用程序使用的是什么端口、协议、规避策略或加密方式(TLS/SSL/SSH)，并要能基于业务所需来应用该安全策略。

7. 利用好威胁情报

控制和预防措施的效果，在于它们对已知和未知威胁的可见性，及其配置安全基础设施以阻隔所发现威胁的能力。只要你的安全技术总在学习，无论是通过对新恶意软件样本的审慎观察还是机器学习，它都应有足够宽泛的数据集来获悉什么是良性的，什么又是恶意的，并能将之反馈回网络、终端和云以实现新的预防措施。

8. 理解你的威胁环境

取决于你的公司，网络攻击者会按一定的套路来针对你，使用特定的工具和技术。如果你了解都有什么威胁最有可能影响到你、你的同行及其他人，你就能主动使用这些数据来更好地构建新的预防控制措施，有效挫败此类特定攻击。

9. 瞄准新安全技术的高效使用

部署并编配来自多家供应商的独立功能，是一项艰苦的工作，且有可能让你的公司暴露在风险之下。为保证有效防止网络攻击，减少开支和运营负担，可以考虑采用能作为现有基础设施扩展加以操作的新安全功能——最好能从云端交付。

10. 通盘考虑预防理念

确保所有决策和投资，都能体现防止网络攻击这个理念，最终目标是让我们的机构更安全，在数字时代保护好我们的生活方式。