如何建立完整的網路安全管理體系

瞭解網路安全稽核內容並不簡單，建立一個完整的網路安全管理體系對企業來說非常重要。

試想一下，您可能在您的電腦上執行了防毒軟體，然後掃描並發現木馬或惡意軟體，但對於整個企業來說，除非您掃描了整個網路才可能確保網路是安全的。網路威脅說來就來，有時候發現的時候其實已經晚了，這往往使企業在應對網路安全攻擊上很被動。

本篇部落格我們會討論在網路安全和稽核方面，如何幫助企業建立完整的網路安全管理體系，如何完善網路安全檢查清單，使企業在應對網路安全威脅上變為主動。

定義網路稽核清單？

很簡單，在開始詳細計劃稽核清單之前，以下幾個問題是否已有答案：

網路託管的業務資料在哪裡？

哪些使用者有權訪問哪些資料？

哪些配置（伺服器配置或安全策略）直接關係著資料的安全性？

無論是內部還是外部網路攻擊，攻擊者的最終目標都是獲得公司機密資料的訪問權。每一個錯誤的網路配置，或者對使用者的授予不當，都可能會使攻擊者得逞。

公司資料儲存位置？

您或許知道公司業務資料儲存的大概位置，比如常見的：

資料可以儲存在Windows Server或Cluster等檔案伺服器中；也可以儲存在SQL或Oracle等資料庫；或許儲存在Azure或Amazon Web Services（AWS）雲上；成員伺服器、工作站中；甚至其他資料儲存介質，例如NetApp、EMC或NAS。

公司資源許可權分配情況如何？

試想您的資料是存放在保險櫃中的貴重物品，使用者許可權比喻成其鑰匙。使用者開啟保險櫃最常見的方法就是用鑰匙，所以明確瞭解並且準確配置使用者的訪問許可權非常重要。

巢狀類許可權訪問：您可能會注意到有些使用者被授予了對資料夾不必要的訪問許可權。但是，後門進入可訪問資料夾的安全組的匿名使用者可能並不會引起您的注意。

使用者憑據暴露：如果遠端使用者的VPN憑據暴露了，攻擊者可以使用這些憑據登入到公司網路，以授權使用者身份合法訪問內部檔案。而檢測此類攻擊嘗試的唯一方法就是實時監視惡意使用者登入行為和非授權檔案訪問。

雲資料洩露：使用Azure的IT人員不小心將儲存帳戶的金鑰嵌入到上傳公共GitHub儲存庫的指令碼檔案中，將密碼和金鑰儲存在雲平臺上遠比您想象中要更普遍。例如：在AWS S3儲存桶中，“阻止公共訪問”引數被禁用。

錯誤的組策略配置：使用者或安全組被授予對檔案和資料夾所有權的特權，而並未過多來考慮其可能帶來的後果。

使用者角色分配不當：如授予終端使用者SQL Server上的角色，從而導致新的未經授權的登入行為。

一旦網路攻擊者發現使用者帳戶或伺服器上的漏洞，獲取了訪問許可權，他們就會在整個網路中橫向移動，直到獲取業務資料為止。為避免這種情況的發生，監視網路上的所有資源分配情況很重要，尤其對於24/7使用者帳戶的許可權。許可權的更改可能是真實的，也可能是惡意的，也可能是某個程式觸發的，但是無論哪種方式導致了許可權更改事件發生，記錄並及時檢視其詳情都是必要的。

網路裝置的配置如何？

再想象一下，如果保險櫃的鑰匙不慎丟失，但是如果保險櫃本身夠堅固，它也可以承受一定的外力，防止貴重物品被盜。相比之下，連線到公司網路的裝置的配置也很重要。

簡而言之，適當的使用者訪問級別和安全的網路配置一起構成了網路的安全性。

讓我們先看以下幾個場景：

關鍵的Windows服務、備份、事件日誌記錄程式已停止或者新程式的建立

防火牆規則或登錄檔項被修改

執行sudo或Yum命令在Linux系統上安裝新軟體。

系統安全檔案（如程式檔案（x86））的配置被更改

網路上執行的VPN服務的配置被更改

防火牆流量異常

資料庫被更改，例如刪除表、執行命令或檢索某些內容

Web伺服器（如Microsoft Internet資訊服務（IIS）或Apache）上的配置被更改

上面的例子應該能讓您很好地瞭解網路中可能發生的許可權或配置更改事件，並及時地發現潛在的安全威脅。

但是，同時兼顧這麼多需要監視的安全事件並非易事，尤其是在您依賴於作業系統或應用程式的本機功能或指令碼的情況下，非常受限制，請參考下圖。

那有沒有一種方案可以克服這些侷限性呢？

卓豪的安全資訊和事件管理（SIEM）解決方案Log360可以幫您輕鬆搞定！

透過Log360，您可以在一個友好的web介面中只需點選即可檢視各種安全事件配置和日誌事件分析，而且透過分析不同事件之間的相關性，及時發現敏感、可疑或惡意的活動，並透過郵件傳送給指定的人員，同時啟動響應措施緩解網路威脅。