攻击面管理

所有可能的未授权访问和漏洞利用入口点构成攻击面。攻击面缩减的目标是通过封堵利用入口点，将总体攻击面保持得尽可能小。目标识别和风险评估基于攻击者可能视为攻击机会的情况。最常见的攻击向量包括用户、网页、网络、终端、应用程序和数据。攻击向量会随着组织的发展而增加，但攻击面可以被缩减。

攻击面扩大的原因：

• 1. 复杂的漏洞：随着技术的发展，出现新的复杂漏洞是常见的，这些漏洞可能由于编码错误、设计缺陷或不同组件间的非预期交互导致。攻击者通过这些漏洞获得额外入口点。
• 2. 可见性缺失：组织在采用新技术和设备时，可能会失去基础设施的部分视野，留下攻击者可利用的盲点。
• 3. 安全控制的复杂性：在拥有复杂网络和众多应用的大型组织中，安全措施越复杂，越容易出现配置错误或被忽视的漏洞。
• 4. 云计算的采用：随着云计算的普及，带来了诸如可扩展性和成本效益等多种好处。然而，云环境面临供应链攻击的风险，攻击者可能通过未加安全防护的第三方渗透云环境。

使用 Endpoint Central 封堵攻击面

终端是主要入口点，提供有价值的信息，并代表一个网络。终端密度增加会扩大攻击面。为了最小化攻击面并增强组织的整体安全态势，有效的终端安全和管理至关重要。

1. 侦测

通过持续监控网络，精准透明地掌握网络的进出流量

i) 可见性：

你无法管理无法衡量的事物。借助来自多个接触点的实时数据，一目了然地发现所有异常。

• 资产发现与追踪
  通过实时通知和预定义的库存报告，识别、控制并追踪网络内的所有终端。
• 漏洞评估
  根据漏洞的严重性、存在时间和漏洞利用代码披露情况，扫描漏洞并优先处理对安全威胁最大的漏洞。
• 数据发现
  监测和登记网络中新生成或传输的数据，实现对已识别数据的历史和预测性评估。
• 敏感数据分类
  建立数据的敏感性分类并实施适当控制，防止未授权访问。
• 网站活动追踪
  监控网站、扩展和网页应用的使用情况，量化工作相关网站的使用频率并限制访问非工作网站。
• 设备审计
  检查设备上的杀毒软件存在情况、端口使用和加密状态，以确保符合安全策略。

ii) 异常检测：

利用智能检测算法，识别网络流量中可能表明未授权活动的模式和异常。

• 行为监控
  为每个终端和用户设置基线行为，使用机器学习算法识别异常模式，触发警报以便进一步调查。
• 配置错误
  监控配置漂移并立即纠正。
• 高风险软件
  标记并清除高风险软件，如已到生命周期终止（EOL）、点对点和远程连接软件。
• 文件完整性监控
  通过监控文件操作检测未授权更改和篡改，并在受密码保护的共享区生成镜像副本。

2. 预防：

确定攻击面后，采取主动措施保护攻击面和网络免受潜在入侵。明确终端应遵循的行为规范，以增强信心。

i) 终端强化：

• 允许列表和阻止列表
  针对设备、软件安装、网站、扩展和网页应用创建基于规则的允许列表和阻止列表，仅限授权方访问。
• 地理围栏
  为终端设定地理边界，限制未授权地点的访问。
• 展示模式：
  强制执行展示模式，仅允许访问批准的网站和网页应用。
• 条件访问 Exchange
  指定访问 Exchange 服务的条件。

ii) 微分段：

网络分段可阻止攻击者垂直移动，而微分段则防止其在设备和应用层面横向移动。

• 应用和用户权限管理
  通过基于角色和时间的权限确保零信任安全。
• 数据泄露防护
  适当控制外部和内部数据传输，防止数据泄露，限制横向文件移动，并根据大小和类型阻止复制。
• USB 设备管理
  跟踪 USB 设备使用情况，防止未授权数据传输或恶意软件感染。
• 即需即用访问（JIT）
  仅在必要时向用户提供临时访问权限，减少攻击面。
• 容器化管理
  使用逻辑容器将 BYOD 设备上的个人数据和企业数据隔开。
• 管理员权限移除
  移除不必要的管理员权限，减少权限滥用风险。

修复

尽管采取了强有力的预防措施，一旦发生攻击入侵，不能惊慌失措，需有应对计划。

事件响应自动化：

Endpoint Central 触发预定义响应动作，确保快速遏制和消除恶意痕迹。

• 恢复与回滚
  实施快速恢复机制和回滚机制，将受影响的终端恢复到已知的安全状态。
• 零日漏洞缓解
  部署零日补丁以及预设并测试的缓解脚本，防止进一步利用。
• 系统隔离
  隔离受感染的系统或终端，防止恶意软件传播。
• 设备断开连接
  在极端情况下，启动完全清除以重置设备，或企业清除以保留 BYOD 设备中的个人数据。