Восемь вещей, которые вы можете сделать уже сегодня, чтобы улучшить безопасность вашей сети Microsoft

Опубликовано: 8 Апреля, 2023
Восемь вещей, которые вы можете сделать уже сегодня, чтобы улучшить безопасность вашей сети Microsoft

Введение

Вы часто слышите, что безопасность — это путешествие, а не пункт назначения. Это верно, потому что при управлении безопасностью ваших сетевых активов вы всегда должны стараться быть на шаг впереди своих противников — преступников, недовольных и злоумышленников, которые хотят украсть, изменить или уничтожить ваши данные. Вы не можете оставаться на одном месте очень долго, потому что ваши оппоненты всегда оттачивают свои методы, стараются изо всех сил и изо дня в день используют все более творческий подход, чтобы взломать вашу сеть и получить доступ к содержащимся в ней активам. И во многих случаях атаки даже не связаны со взломом сети, поскольку самые болезненные и разрушительные атаки осуществляются инсайдерами, которые имеют право подключаться к вашей сети.

Плохие и хорошие парни всегда будут соперничать за лидерство — и иногда они будут впереди вас, а иногда вы будете впереди их. Возможно, правильнее будет сказать, что безопасность — это гонка (похожая на гонку вооружений), в которой вы и ваш противник по очереди перехитрите друг друга.

Однако, несмотря на то, что безопасность — это путешествие, которое никогда не заканчивается, вам нужно знать и использовать контрольно-пропускные пункты на этом пути. Это то, что вы делаете, чтобы улучшить общее состояние безопасности вашей организации, и то, что вы делаете, чтобы оценить свое состояние безопасности в любой момент времени. Затем, после проведения оценки, вы можете внести коррективы, чтобы изменить конфигурацию безопасности и улучшить ее по сравнению с тем, что было раньше.

Имея это в виду, я предлагаю вам этот список из восьми вещей, которые вы можете сделать, чтобы улучшить свою безопасность сегодня.

Оптимизация физической безопасности

В сфере безопасности есть старая поговорка: если плохие парни могут получить физический контроль над компьютером, игра окончена. Получив машину, они могут использовать ряд инструментов для доступа к информации на диске и, возможно, даже в памяти — и, конечно же, они также могут получить доступ к любой информации, перемещаемой на компьютер «p0wnd» и обратно. Поэтому физическая безопасность должна быть первоочередной задачей, прежде чем вы даже начнете думать о любых других методах безопасности, которые вы можете использовать.

Физическая безопасность может включать:

  • Ключ, карта или биометрический контроль доступа в помещения, где расположены компьютеры
  • Видеозапись входов и выходов из помещений, где расположены компьютеры
  • Регистрация и отчетность о входах и выходах в помещения, где расположены компьютеры
  • Выставление охраны или других наблюдателей у входов и выходов из помещений, где расположены компьютеры

Физическая безопасность имеет большое значение для предотвращения самых вопиющих атак на ваши системы. Но это только первый шаг. Как мы слишком хорошо знаем, если компьютер подключен к сети, плохим парням не обязательно иметь физический доступ, чтобы нанести большой ущерб.

Используйте брандмауэры на основе хоста

Сетевые брандмауэры, кажется, привлекают наибольшее внимание. В сетевых брандмауэрах есть определенная привлекательность, и многие наблюдатели, кажется, наделяют их почти магической силой защиты. Однако, если вы посмотрите на человека за кулисами, вы обнаружите, что большинство брандмауэров, развернутых сегодня, обеспечивают немногим большую безопасность, чем то, что вы видите в американских аэропортах, то есть сетевой брандмауэр в значительной степени зависит от внешнего вида и делает меньше, чем может показаться, что это действительно защищает вашу сеть. Одна из причин этого заключается в том, что наиболее серьезные атаки часто происходят изнутри сети, поэтому работа сетевого брандмауэра по предотвращению доступа внешних пользователей к ресурсам интрасети дает убывающую отдачу.

Напротив, межсетевой экран на основе хоста способен защитить вычислительные ресурсы от всех злоумышленников, как внутренних, так и внешних. Кроме того, сложные межсетевые экраны на основе хоста могут быть настроены так, чтобы разрешать входящие соединения только для определенных служб, которые компьютер предоставляет пользователям. Эти хостовые брандмауэры (такие как брандмауэр Windows в режиме повышенной безопасности) могут даже требовать, чтобы пользователи или машины аутентифицировались на сетевом уровне, поэтому, если пользователь не может аутентифицироваться или не авторизован, он никогда не приблизится к приложению. уровне — и именно на прикладном уровне существует большая часть уязвимостей и находятся все ваши данные.

Разделите свою сеть на зоны безопасности

Интерфейсный веб-сервер отличается от сервера базы данных, к которому он подключается, когда речь идет о зонировании безопасности. Файловый сервер, на котором размещены общедоступные файлы, отличается от сервера SharePoint, на котором размещены ваши секретные маркетинговые планы для горячего нового продукта, который ваша компания выпускает в следующем квартале. Исходящий SMTP-ретранслятор отличается от обратного веб-прокси-сервера тем, что он находится в другой зоне безопасности.

Вы должны назначить свои вычислительные ресурсы различным зонам безопасности, а затем создать физические или логические разделы между этими зонами. Если вы хотите использовать физические разделы, вы должны убедиться, что ресурсы, назначенные разным зонам, имеют брандмауэры или другие устройства контроля доступа к сети, разделяющие их. Если вы хотите использовать логические зоны безопасности, вы можете воспользоваться преимуществами IPsec и изоляции серверов и доменов для создания виртуальных разделов между зонами безопасности.

Создание зон безопасности позволяет вам сосредоточить свои усилия по обеспечению безопасности и следить за наиболее ценными активами. Активы с более низкой стоимостью, назначенные зонам с более низким уровнем безопасности, также защищены, но количество времени и денег, которые вы тратите на активы в зонах с более низким уровнем безопасности, намного меньше, потому что стоимость компрометации относительно ниже, чем стоимость компрометации активов в зонах с более высоким уровнем безопасности. зона безопасности.

Применять наименьшие привилегии ко всем ресурсам

Принцип наименьших привилегий гласит, что пользователи и администраторы должны иметь доступ только к тем ресурсам и элементам управления, которые необходимы им для выполнения своей работы. Пользователи должны иметь доступ только к веб-сайтам, которые им необходимы для выполнения своей работы, они должны иметь возможность использовать только те приложения, которые им необходимы для выполнения их работы, а администраторы должны иметь возможность вносить только те изменения конфигурации, которые соответствующие их уровням власти, и никакие выше этого.

В наши дни «консьюмеризации ИТ» кажется, что весь принцип наименьших привилегий перевернулся с ног на голову. Хотя может показаться, что значение и действительность наименьших привилегий не изменились; для каждого уровня привилегий, который пользователь или администратор имеет сверх того, что им нужно, существует постепенное увеличение риска компрометации. Тот факт, что люди хотят использовать iPad для подключения к корпоративным ресурсам, не означает автоматически, что это хорошая идея. Мы слишком часто идем по пути наименьшего сопротивления и даем людям то, что они хотят, а не то, в чем они нуждаются.

Это вдвойне касается администраторов, у которых слишком часто есть карт-бланш делать то, что они хотят, только потому, что они администраторы. Определите, как разрешения делегируются администраторам служб, которые вы предоставляете своим пользователям. Администраторы Exchange, администраторы базы данных, администраторы SharePoint, администраторы CRM и администраторы всех других служб должны иметь уровни доступа к элементам управления, соответствующие их административным ролям, и не более того. Современные приложения позволяют делегировать соответствующие разрешения администраторам разного уровня. Воспользуйтесь этой способностью делегировать.

Что касается конечных пользователей, предоставьте им доступ к услугам и данным, которые им необходимы для выполнения их работы, и предотвратите доступ к чему-либо, кроме этого. То же самое касается приложений. Если приложения нет в списке утвержденных, используйте автоматизированные методы, чтобы предотвратить установку приложений, не одобренных ИТ-отделом.

Зашифровать все

Шифрование всего диска с помощью BitLocker может иметь большое значение для защиты вашей важной информации. Это может даже помочь вам в случае физического взлома. Например, если кто-то украдет сервер из вашей серверной комнаты, злоумышленник может смонтировать диск на этом сервере, загрузившись в Linux и прочитав оттуда файловую систему, что называется атакой в автономном режиме. Хорошей новостью является то, что автономные атаки можно предотвратить, используя BitLocker для шифрования диска.

Но шифрование всего диска больше не ограничивается только внутренними жесткими дисками. В Windows 7 и Windows Server 2008 R2 вы можете использовать его на USB-накопителях, USB-накопителях и других типах съемных носителей. Создайте политики, требующие, чтобы съемные носители, на которых хранятся данные компании, всегда были зашифрованы с помощью BitLocker.

Съемные носители, подключенные к смартфонам, используемым пользователями в вашей организации, также должны быть зашифрованы. Политики должны требовать использования операционных систем или приложений для смартфонов, которые поддерживают шифрование карты microSD, если на них будут храниться корпоративные данные. Данные, хранящиеся во внутренней памяти телефона, также должны быть зашифрованы. Пользователям следует использовать смартфоны, данные которых можно удаленно стереть в случае потери или кражи.

Обновление, обновление, обновление!

Вы, вероятно, уже знаете это, но одна из наиболее эффективных мер, которые вы можете предпринять для повышения общего состояния безопасности, — это постоянно обновлять свои системы с помощью обновлений приложений и безопасности. Хотя многие администраторы будут жаловаться на то, что продукты Microsoft нужно обновлять слишком часто из-за проблем с безопасностью, факт заключается в том, что Microsoft больше заботится о безопасности, чем почти любой другой поставщик , потому что они так усердно обновляют свое программное обеспечение. Если вы используете программное обеспечение (а это программное обеспечение также может представлять собой прошивку для аппаратных устройств) от поставщика, который редко обновляется, не обманывайте себя, думая, что отсутствие обновлений как-то связано с известными или потенциальными уязвимостями в этом программном обеспечении. Чаще всего это отражает уровень внимания, которое поставщик уделяет обнаружению и устранению проблем безопасности в своем программном обеспечении.

Обновление должно быть выполнено как можно скорее, так как после выпуска обновлений хакеры и злоумышленники узнают о недостатках и попытаются использовать их в течение времени между выпуском обновления и временем, которое требуется для развертывания исправления. Это период «нулевого дня», критическое окно уязвимости. Если вы используете автоматические обновления и сразу же устанавливаете исправления, когда они становятся доступными, ваше окно уязвимости будет намного меньше.

Однако многим фирмам необходимо тестировать обновления безопасности, поскольку у них есть ряд бизнес-приложений, которые могут не «уживаться» с каждым обновлением безопасности, и поэтому им необходимо заранее знать о совместимости, которая может повлиять на работу этих приложений. В этом случае вы можете снизить риск, развернув устройства периметра, такие как Microsoft Threat Management Gateway (TMG) 2010, который специально разработан для блокировки известных уязвимостей Microsoft и, следовательно, защитит вас от них во время этого окна критической уязвимости.

Используйте безопасные механизмы аутентификации

Само собой разумеется, что день пятибуквенного пароля закончился. Все более изощренные методы взлома паролей делают короткие пароли довольно простыми для обнаружения, а даже более длинные пароли становятся жертвами передовых методов взлома. Если вы должны использовать имя пользователя и пароль в качестве единственного механизма аутентификации, то, как минимум, требуется, чтобы все пароли состояли из 15 или более символов и включали прописные и строчные буквы, цифры и символы, отличные от буквенно-цифровых. Использование сложных паролей, которые имеют определенное значение для пользователя (часто называемых «парольными фразами»), может довольно легко запомнить пароли длиной более 21 символа. Но в нашем все более мобильном мире есть еще одна проблема. Хотя запомнить длинные парольные фразы может быть легко, ввести их в текстовое поле пароля на смартфоне или другом устройстве без физической клавиатуры может быть довольно сложно.

Лучшим методом является двухфакторная аутентификация, которая требует, чтобы пользователь владел каким-либо устройством (например, картой или токеном), а также знал пароль (иногда называемый PIN-кодом в пространстве 2FA). При использовании двухфакторной аутентификации, даже если пароль скомпрометирован, этот пароль не имеет большого значения, если преступник также не владеет устройством физически. Для более безопасного развертывания можно добавить дополнительные факторы, такие как распознавание голоса, распознавание лиц, отпечатков пальцев или сканирование сетчатки глаза.

Защита от утечки данных

По мере того как облачные вычисления оказывают все большее и большее влияние на нашу жизнь, сетевая безопасность будет оказывать все меньшее влияние на вашу систему безопасности и ваши покупки, потому что безопасность нужно будет отодвигать все ближе и ближе к данным. Вот тут-то и вступает в действие защита от утечки данных. Вы можете установить отличный контроль доступа к информации, чтобы только авторизованные пользователи могли получить доступ к этой информации. Но тогда что? Что авторизованный пользователь может сделать с этой информацией? Может ли этот пользователь передать его неавторизованным пользователям? Может ли этот пользователь распечатать его и отправить кому-нибудь по почте? Может ли пользователь внести в нее изменения и передать ее обратно в репозиторий с этими изменениями, когда информация должна была быть доступна только для чтения?

Подумайте, как защитить эти данные от авторизованных пользователей. Если вы используете Microsoft Office, SharePoint и Exchange, вы можете воспользоваться преимуществами служб управления правами Майкрософт (RMS) для создания политик, которые контролируют, что пользователи могут делать с информацией после того, как они получили к ней законный доступ.

Резюме

В этой статье мы представили восемь вещей, которые вы можете сделать уже сегодня, чтобы повысить общий уровень безопасности. Хотя вы, возможно, знали обо всех них или, по крайней мере, о некоторых из них, есть большая вероятность, что вы не развернули все эти методы и подходы к обеспечению безопасности. Большинство из них довольно легко развернуть, поэтому, если вы еще не успели проверить некоторые из них (например, BitLocker и RMS), подумайте о том, чтобы запланировать некоторое время, чтобы узнать больше об этих технологиях. Вы будете рады, что сделали. -Деб.

Кибер-безопасность

РЕКОМЕНДУЕМЫЕ СТАТЬИ

Информационная безопасность и системная IT-интеграция
27 Июня, 2024
Брандмауэр в ИТ-системе
15 Апреля, 2023
Почему одного брандмауэра недостаточно? Что такое IDS и почему их стоит иметь?
15 Апреля, 2023
Новые функции безопасности Internet Explorer 6.0 с браузером .NET Server по умолчанию
15 Апреля, 2023
Виртуальная частная сеть
15 Апреля, 2023
Microsoft ISA Server, часть II — функции брандмауэра, правила политики публикации
15 Апреля, 2023
Стратегия Microsoft в отношении .NET
15 Апреля, 2023
SSH
15 Апреля, 2023