網路安全檢查，這十項千萬不能漏！一定要檢查到

當前，加強網路安全建設已成為企業數字化轉型的重要部分。

鑑於網路威脅不斷變化發展，網路安全建設工作也需要從管理和技術層面共同推進。

因此，網路安全主管部門有必要定期對組織的網路資訊系統進行安全檢查，全面瞭解網路安全工作的責任落實、應用效果和風險態勢情況。

透過檢查，組織可以更積極落實網路安全防護措施，持續做好網路安全建設工作，切實提高企業職工的網路安全意識與網路安全防護能力。

建議安全檢查應優先檢查以下10項：

1。檢查第三方的訪問和憑證策略

攻擊者會掃描遠端桌面協議（RDP）訪問許可權，並使用憑證填充等暴力攻擊手段，實施攻擊活動。企業應設法更好地管理外部供應商的憑證或訪問許可權，因為針對他們的管控流程容易被忽視。無論是將對方列入組織的多因素身份驗證（MFA）計劃中，還是透過訪問和防火牆規則以限制其對特定網路的訪問，組織都應該根據服務商級別協議和合同中約定的需求，明確對其訪問和憑證的管理要求。使用者憑證在下發和儲存的過程中應當受到保護，在開展網路安全檢查時需要檢查和稽核這些流程是否存在漏洞。

2。檢查安全掃描結果

很多組織都會開展安全掃描工作，需要對掃描的結果進行確認，確保它們是從網路威脅的視角開展的有效掃描活動。組織在僱用滲透測試或第三方網路風險掃描公司時，要確保對方提供的檢查結果體現了組織網路的實際範圍。如果安全掃描不能夠提供可操作的實用資訊，這樣的工作就會變得毫無價值。

3。審查雲資源和許可許可權

如果組織將業務系統遷移到雲端，不能把本地的系統照搬到雲端。安全團隊需要審查雲上資源是如何建立的，目前設定的系統許可權是否合理。同時，企業還需要檢查哪些安全基準或安全指南可以為加強組織的雲上安全應用提供額外的保護。

4。部署縮小攻擊面的規則

如果組織尚未將縮小攻擊面的規則部署到工作站和伺服器以幫助阻止可疑網路訪問活動，需要儘快將其列為下半年的重點工作目標。組織可以從以下規則入手，啟用盡可能多的阻止規則：

阻止Office應用程式建立子程序、可執行內容以及程式碼注入等活動；

阻止來自電子郵件客戶軟體和網路郵箱的可執行內容；

阻止執行可能被混淆的指令碼；

阻止JavaScript或VBScript啟動下載的可執行內容；

阻止從USB執行的不受信任、未簽名程序；

阻止從Windows本地安全子系統（lsass。exe）竊取憑證（許可權提升）；

阻止源自PSExec和WMI命令的程序建立（橫向移動）。

5。檢查網路安全設定和策略

長期以來，企業主動設定的網路訪問許可權規則較少，應該檢查組織如何設定工作站安全配置，進而檢查密碼安全和策略，並考慮將多重身份驗證新增到現有活動目錄中，以更好地識別網路中的弱密碼。要確保有效開啟利用PIN、面部識別或指紋來快速安全訪問的方式，或啟用其他第三方MFA解決方案，並審查MFA方面的策略選項配置合理。

6。檢查計算裝置及系統的部署流程

要檢查組織部署和安裝計算裝置及系統的流程是否規範，要確保在部署系統時未使用相同的本地管理密碼。一些本地管理員密碼解決方案可隨機生成和加密本地管理員密碼，應檢查用於管理這類解決方案的選項是否正確配置。

7。檢查系統備份策略

檢查組織使用什麼流程來備份和保護重要檔案，包括檢查備份流程，確保擁有多個備份方式，不同備份應放在不同型別的儲存介質上，並至少有一個備份放在異地。組織還應考慮使用雲端儲存來充當額外備份方式，進一步保護重要檔案的安全。

8。檢查電子郵件系統安全

面對不斷加劇的郵件詐騙和釣魚攻擊，組織需要過濾和掃描電子郵件，以確保電子郵件在進入員工終端計算裝置之前得到安全性檢查和確認。電子郵件中所附的連結應在使用者點選時進行安全掃描，如果發現這些是惡意連結，應及時阻斷訪問行為並從員工的收件箱中刪除。

9。檢查補丁策略

處理補丁環節時，安全人員應檢查組織的網路過去曾遇到的問題。如果邊緣裝置沒有補丁方面的問題，可以簡化邊緣裝置的更新，並賦予其優先更新的許可權。對於存在補丁問題的計算裝置，要檢查發生問題的原因，以及打補丁行為可能帶來的副作用，並瞭解需要採取的緩解措施等，儘量減小打補丁帶來的副作用。

10。檢查終端裝置的勒索軟體防護能力

由於勒索攻擊威脅的加劇，安全人員應確保防病毒和端點檢測解決方案能夠識別勒索軟體攻擊的典型症狀。當檔案備份突然被刪除，或者網路中出現Cobalt Strike活動以及其他可疑活動時，終端安全解決方案應該在攻擊者開始勒索活動之前，能夠提前發出警報。