为了降低各种网络威胁,所引发的网络安全事件,许多政府也在积极采取行动。例如,为了因应网络威胁,澳洲国家安全局在2010年提出网络攻击减缓策略的指导方针,而这也成为日后政府单位、企业都能够参考的依据。
举例而言,为降低网络入侵的影响, 澳州政府共规划了35项的减缓策略,以及,便于政府机关可以依据相对应的技术手册,供单位完成相关评估与执行作业。在此当中,负责该国国防安全的澳洲通讯情报局(Australian Signals Directorate,ASD),评估出最重要的前四大网络安全减缓策略,包括应用程序白名单、应用程序漏洞修补、操作系统漏洞修补与限制管理者权限等,这是他们根据网络威胁环境现况,所规划出最有效的安全控制措施,并认为将可以阻挡或降低85%的网络攻击威胁概率。
在2017年,他们并更新了四大减缓策略,以及四项额外的控制,也就是所谓的Essential Eight,在上述四项策略之外,还包含关闭不信任的微软 Office宏、使用者应用程序管控、实施多因素验证与每日备份。简单来说,上述这些减缓策略已经被视为8个最基本的要求。
借由遵循8大基本策略,以降低网络安全的威胁
在2018年7月,澳洲网络安全中心(ACSC)纳入至ASD旗下,该组织成立于2014年,前身为独立的网络安全运行中心(CSOC),包含对政府机 构提供全面的网络态势情报。现在, ACSC不仅成为法定机构,并吸收了来 自 CERT Australia与数位转型局的专家,在对应时下的资安情势,他们的职责是着重在网络攻击发生之后的恢复能力(Resilience),不论是关键基础设施、政府机构、中小企业、学术界,以及非营利部门、社群等。
对于Essential Eight,ACSC也提出解释,由于没有单一的缓解策略,可以保证防止网络安全事件发生,而Essential Eight可以视为一个基准,更重要的是,实施这八项基本的缓解略,可以比回应大规模网络安全事件,更具成本效益。同时,他们未来也将不断更新这些策略,以因应网络威胁环境现况的改变。
最初公布于2017年的Essential Eight,最新版本在今年1月发布,内容仅有微幅调整,以最新的“Essential Eight Explained”报告来看,这8项缓解策略原本归纳为两大类别,现在则分成三大类别,包括避免恶意程式传 送与执行、限制网络安全事件的范围,以及资料复原与系统可用性。同时,ACSC也针对这8项做初步的解释。
第一类:避免恶意程式传送与执行
● 应用程序白名单(Application Whitelisting):仅允许已知的应用程序执行,以防止执行未经授权的恶意程式,包括:EXE档、DLL档、Script (Windows Script Host、PowerShell、 HTA)与安装程式。
● 更新修补应用程序(Patching Applications):包括Flash、浏览器、微软Office、Java与PDF检视器,对于严重风险漏洞的更新修补,需在48小时内完成,并要使用最新版的应用程序。也就是说,要尽速修补这些应用程序的已知安全漏洞。
●管控微软Office宏的相关设定(Configuring Microsoft Office macro settings):封锁文件中来自互联网的宏,并且只允许信任位置的宏,而它们本身也就是受到权限控管与审查,或是使用凭证数位签署的宏。简单而言,就是要封锁不信任的宏。
●使用者应用程序控管强化(User Application hardening):禁止Flash、广告与Java在浏览器上执行,禁用微软Office的OLE功能,以及封锁网页浏览器与PDF检视器中不需要的功能。目的是为了避免这些易受攻击的功能被利用。
第二类:限制网络安全事件的范围
●限制系统管理的权限(Restrict administrative privileges):对于操作系统与应用程序的执行,需基于用户职责来提供对应的权限,并要定期重新验证特权账号的适当性。此外,不要使用特权账号监控电子邮件与网页浏览的行为。
●执行操作系统更新修补(Patch operating systems):不只是电脑操作系统,还包括网络设备等,对于严重风险漏洞的更新修补,需在48小时内完成。建议使用最新版的系统版本, 并且不要使用已经终止支援的版本。
●实施多因素验证(Multi-factor authentication):对于远端存取连线行为,如VPN、RDP、SSH等,以及所有用户执行特权操作,或存取重要资料时,应该要以多因素验证的机制来强化保护。
第三类:资料复原与系统可用性
●每日备份(Daily backups):对于重要资料的新增或变更,以及软件与配置设定的备份,需要保留至少3个月。关于备份工作的验证,不仅要在一开始就进行,也要每年执行,每当IT基础架构变动时也要测试,以保持重要资料的可用性。
借助Essential Eight的成熟度模式,帮助组织单位落实
另一方面,为了帮助组织单位实施 Essential Eight,ACSC在2018年还公布了Essential Eight Maturity Model,为这 8种网络安全减缓策略,定义了5个成熟度(Maturity)层级,包含了Level 0∼Level 4,来代表各项策略落实的程度。例如:
Level 0:不符合缓解策略的意图
Level 1:部分符合缓解策略的意图
Level 2:大多与缓解策略意图一致
Level 3:完全符合缓解策略的意图
Level 4:适合高风险环境
简单来说,Level 0是完全没做到缓解策略的诉求,他们认为最起码的安全基准来看,要达到Level 3才是完全符合,而Level 4将适合高风险环境采用。因此,企业应以力求达到成熟度级别3为目标。
举例而言,以使用者应用程序控管强化的策略来说,若是组织内的网页浏览器可自动播放Adobe Flash的内容,或是浏览器的Flash设定能被使用者变更,就是属于成熟度Level 0,完全没达到缓解策略的要求。
若是已限制浏览器的Flash设定不能被使用者更改,但网页浏览器上的Flash内容,使用者还是可以按一下就播放,则是属于成熟度Level 1。
更进一步的强化管控,就是要让浏览器封锁或不支援播放Flash内容,且封锁广告与来自网络的Java程式,这是成熟度Level 2。
若要能完全符合缓解策略的意图,做到成熟度Level 3的要求,还必须要关闭微软Office的Flash与OLE功能,以及关闭浏览器、微软Office与PDF检视器的非必要功能。
此外,未来ACSC将不断更新Essential Eight的内容,以因应最新的网络威胁局势。例如,在今年2月底,为了简化组织评估与执行Essential Eight,ACSC只列出Level 1、Level 2、Level 3成熟度级别,方便一般组织在每种缓解策略,都能朝向完全符合缓解策略意图的Level 3迈进。
而ACSC也提醒,在实施这些缓解策略之前,组织单位也应先识别那些系统需要保护,分析那些攻击者最有可能锁定自己的系统,以及确定需要何种级别的防护,并要持续提高目标,最终以符合每个缓解策略的意图。
ACSC将不断更新Essential Eight的内容,以符合最新情势
相关文章
- YouTube更新违反规定政策,提升惩处透明度和一致性
2023-12-31 14:00:52
- 传苹果将把中国iCloud正式交给本地化经营 苹果手机icloud换区存储操作
2023-12-27 18:34:43
- 刘德华代言什么手机?刘德华成华为Mate 60 RS非凡大师华为5G新手机代言人
2023-09-26 21:55:08
- WebOS新系统:Palm Pre手机最新款高价登港
2023-06-23 15:39:14
- 帮助企业组织对抗勒索软件,资安通报机构设立防护专区,可协助事前、事中与事后因应
2023-06-22 09:36:10
- 蔚来全系产品降价3万 取消免费换电 换一次电池180元
2023-06-12 17:27:49
- 电商平台三巨头开打最大规模折扣 价格战再次打响
2023-03-05 18:58:40
- 爱立信节省成本裁员四千人 爱立信全球员工总数五分之一
2023-02-24 22:27:29
- 蜜芽关停近况,八位数重金买三字顶级新域名mia.com也关闭
2023-02-23 16:18:14
- 联想CEO杨元庆:联想集团需要裁员32%削减部分业务支出
2023-02-18 12:45:25
- 蓝色光标2022营收亏损18亿 客户预算减少明显
2023-02-18 12:40:08
- 三星工厂或将80%生产转至越南 因本地劳动力成本上升
2023-02-17 23:09:16
- 香港八达通卡如何激活?没用失效过期余额怎么办
2023-02-17 18:34:51
- 中兴通讯被曝将裁员20% 称只裁国外的
2023-02-17 18:33:26
- 苹果新iPhone15Pro手机终于改用USB-C(火牛)数据线??Lightning充电接口退出
2023-02-17 16:57:22
- 突发!蓝色光标曾为中国民企500强龙头 如今业绩亏损断崖下跌
2023-02-16 14:31:19
- 三星发布自家carplay车载中控系统 Car Mode for Galaxy 可以连接carplay吗?
2023-02-14 00:53:17
- Opera浏览器宣布集成ChatGPT 一键生成网页内容摘要
2023-02-14 00:32:08
- 谷歌google计划重返进入中国市场?但结果可能令你失望
2023-02-13 16:57:15
- Zoom紧急裁员1300人 佔员工总数15%
2023-02-08 14:59:11
最新资讯
- YouTube更新违反规定政策,提升惩处透明度和一致性2023-12-31 14:00:52
- 美国法院裁定阿里须为Squishmallows玩具侵权案答辩2023-12-28 19:59:34
- 小米汽车传员工3700人 雷军称小米汽车不可能卖9万92023-12-28 19:41:57
- 吉利飙逾6% 电动车品牌极氪新车款极氪007昨上市 预售价格22.99万元2023-12-28 19:30:28
- 日本丰田汽车厂11月全球产量创新高2023-12-28 19:26:02
手机
- 中国11月手机出货量增34% 5G手机出货量2709.2万部2023-12-28 19:27:57
- 荣耀发布新一代旗舰荣耀Magic5系列,新款上市价格分期0首付3999元起2023-03-06 16:12:32
- 美国商务部指违禁,长江存储被美国拜登制裁名单面临停工裁员2023-02-17 18:41:53
- 苹果Apple iOS车载系统CarPlay支持哪些更多汽车品牌2023-02-02 17:33:27
- 香港去哪买三星手机回来吗? 买香港便宜售价手机市场地点和网站2023-02-02 11:03:11
数码
- 华为5G芯片正式亮相:预示华为将发首款5G手机2023-08-31 13:22:33
- 腾讯传计划放弃虚拟现实VR硬件计划2023-02-17 23:32:30
- 三星手机份额大跌!三星手机中国市场份额变化国内仅剩3%2023-02-01 17:06:15
- 三星手机份额大跌在中国没市场了!国内市场占有率仅剩1%国外比苹果销量高2023-02-01 16:59:53
- vivo发布2022 vivoNEX手机极简易浏览器下载:简洁流畅无广告!2022-12-02 17:29:30
科技
- 中兴受美国制裁事件 被罚了20亿美元过程事件始末 中兴被制裁后公司现状2023-11-02 22:12:46
- B站怎么炸崩了哔哩哔哩服务器今日怎么又炸挂了?技术团队公开早先原因2023-03-06 19:05:55
- 苹果iPhoneXS/XR手机电池容量续航最强?答案揭晓2023-02-19 15:09:54
- 华为荣耀两款机型起内讧:荣耀Play官方价格同价同配该如何选?2023-02-17 23:21:27
- google谷歌原生系统Pixel3 XL/4/5/6 pro手机价格:刘海屏设计顶配版曾卖6900元2023-02-17 18:58:09