探索中国CIO人才现状 | 第四季调研报告
实用6招 加强端点设备安全
2015-07-29  来源:techtarget

很多时候,端点设备是攻击的初始点,允许攻击横向移动到网络中,从而制造更多的破坏……

我们经常听说大型数据泄露事故以及大规模攻击事件,但你是否曾退一步想想,很多攻击的根本原因是什么?很多时候,端点设备是攻击的初始点,允许攻击横向移动到网络中,从而制造更多的破坏。虽然拥有良好设计和受保护的网络很重要,但端点通常是最后一道防御,如果可以部署适当的安全措施,企业就可以阻止破坏。为了保护端点,下面有一些可操作的步骤来最大限度地减少攻击的机会。

永远不要作为管理员登录

用户不应该作为管理员来登录,并且,永远不应该在其系统有管理员权限。在过去,执行基本任务(例如安装软件)需要管理员权限,但在新操作系统中,这已经发生改变。对于大多数操作系统,即使没有作为管理员登录,客户端仍然有基本功能来完成其工作。试想一下,如果用户要求管理员访问权限,也许他正式图做的并不是履行其工作职能的事情。

卸载不必要的软件

客户端操作系统和应用专注于确保一切都正常工作。因此,大多数默认安装包含额外的软件,这些软件并不是运行系统的必要因素。通常情况下,攻击者会瞄准这些额外的软件,将其作为攻击点。卸载或移除不必要的软件可以减少攻击面以及尽量减少数据泄露。

修复所有软件

补丁是供应商告诉全世界其软件中有漏洞;因此,系统越久未修复漏洞,漏洞利用的机会就越大。虽然修复一直是挑战,卸载不必要的软件将会减少修复面,让修复工作变得更容易。另外,集中化补丁管理是企业的关键,同样重要的是记住在外的笔记本。如果系统离开网络,它可能会错过网络中的自动修复周期。

运行应用程序白名单

控制和管理哪些软件可以运行,并验证软件的完整性,这是确保系统安全的关键。尽管应用白名单需要很多企业的模式转变,但这是保护端点的有价值和可扩展的方式。同时,创建所有受批准软件的完整清单需要花一些时间,但这非常有用,因为封锁的系统会让攻击者非常难以攻破。

过滤危险的可执行文件

大量恶意内容通常作为电子邮件附件或网络下载进入网络。通过过滤代理运行附件和下载内容不仅会检查代码,还会在隔离的安全沙箱中运行它们,这可以实现对恶意代码的早期检测,从而在其进入网络之前过滤掉它。

在虚拟机运行危险的应用

两个最危险的应用是Web浏览器和电子邮件客户端,这两个应用可导致非常显著的破坏。应对危险应用(包括Web浏览器和电子邮件客户端)的方法是在单独隔离的虚拟机中运行它们。如果内容很危险,只有虚拟机会受到感染,而不是主机。在虚拟机关闭后,所有恶意代码都会消失。虽然系统从不受到感染会更好,但通过这种方法,感染会受到隔离,并在短时间内受到控制,从而减少破坏。

利用瘦客户端

虽然并非在所有环境都可扩展,但利用瘦客户端是控制破坏的有效方法。传统操作系统的问题是仅当新硬件推出时才会重新安装,这通常是每隔三年。因此,如果系统受到感染,它会在相当长一段时间内保持感染状况。而在瘦客户端,每次系统打开时,用户就会收到新版本的操作系统。如果系统受到感染,它只会感染几个小时,而不是几年。

虽然没有一种完美的方法来抵御攻击,但在端点投入更多精力和努力可以更好地控制一次成功的攻击带来的攻击数量以及破坏程度。