是时候好好看看你是否投入足够的资源来确保您的网络基础设施。简短的回答:你可能不是。
如果你为一个超大型的工作,你的组织可能是尽一切努力确保网络。几乎每个人,这是很安全的认为答案是否定的。
这未必是应受谴责的失误。在很多情况下它是可利用的资源和感知风险:鉴于网络安全和时间太少太少的钱太少人解决网络中的所有可能的风险,网络网络安全人员应该关注什么?他们倾向于更少的关注方面的内部网络和更明确的面朝外的碎片。
当然,两个大问题。“对内”是一个摇摇欲坠的概念,得到不稳定—就是说,它是越来越难之间画一条亮线是“内部”的企业环境,什么是“外”。然而真正的“内部”,这就是内幕威胁生命。
这意味着,在进行风险评估时,人们应该考虑保护所有他们的网络基础设施一样显然他们认为获得更多的直接面向internet的部分。校园开关,换句话说,只是一部分企业的攻击表面作为主要的网络路由器或应用程序交付控制器。
因此,网络安全的人应该投入更多的时间来改善安全的网络基础设施,因此企业作为一个整体的安全性。这里有四种方法。
这些方法都是免费的。他们都成本IT人员时间至少,和员工的时间很宝贵和稀缺的。但继续加大网络安全的风险,尤其是在无处不在的网络钓鱼的时代和低慢ransomware融入广泛,适应性,持续攻击活动。
其中一些建议似乎熟悉又明显,但是不要松开,因为你已经知道你应该做通过重新考虑它。
停止共享通用凭证
没有人真正需要被告知这是一个坏主意,但这是一个惊人的数字商店仍然这样做:有一个帐户,或者有时很多,网络人们可以根据需要登录管理访问到开关等。
这是一个坏主意的原因很多,但这里我们强调三个:更困难,甚至不可能,跟踪管理操作特定的人;它大大增加了凭证的机会会受到影响;大大增加机会,有人在里面谁应该不再有访问帐户将继续能够使用它。(最后偷偷在第四个点:它不只是内部人士不再需要访问保留它,它也将成为最近终止员工。)从根本上说,一旦事情设置这种方式,没有办法知道谁有权访问网络了。
每个人需要访问的人都应该有一个自己的账户。睁一只眼闭一只眼的时候网络团队在这方面早已结束了。
减少与访问的人数
基础设施安全的一个方面,几乎是不可能的,没有account-per-person访问管理限制访问那些真正需要它的人。审计账户访问网络基础设施几乎总是出现占那些不再需要的访问,因为他们的工作发生了变化,和至今仍经常出现一些账户与前雇员有关。
它必须定期审计授权账户。这应该是背带带的标准过程审查所有账户关联到一个位置,不管它是满的还是空,和禁用授权账户每当一个人离开了公司。
去多因素身份验证
没有人真正需要说服更多的多因素身份验证(MFA)是一个巨大的进步在大多数系统的安全,显著增加的困难,不是想要的。这是一样的基础设施是一个银行应用程序。(当然,危及网络可能会妥协的所有应用程序在最糟糕的情况下)。
网络团队应该开关指向MFA-capable身份服务,通过半径或TACACS +。
软件定义去周边
实现软件定义周边系统将允许它层在单人与MFA /一个帐户访问额外的保护。例如,SDP软件只能允许管理员访问网络节点控制的公司笔记本电脑或台式电脑在健康、和/或只从物理网络的特定片段,等等。此外,账户没有权利管理网络节点可以预防甚至从网络上看到他们;他们将看不见的未经授权的用户或系统。