关键八点是什么(以及为什么非澳大利亚人应该关心)
2017年,澳大利亚网络安全中心(ACSC)发布了一套缓解策略,旨在帮助组织保护自己免受网络安全事件的影响。这些策略被称为必不可少的八项,是专门为Windows网络设计的,尽管这些策略的变体通常适用于其他平台。
关键的八点是什么?
基本八项基本上是一个网络安全框架,由目标和控制措施组成(每个目标包括多个控制措施)。最初,澳大利亚政府只要求公司遵守第一个目标中包含的四项安全控制措施。然而,从2022年6月开始,将要求所有98个非公司联邦实体(NCCE)遵守整个框架。
非澳大利亚人注意到
虽然关键的八项是针对澳大利亚的,但澳大利亚以外的组织应予以注意。毕竟,关键八点是“基于ACSC在生成网络威胁情报、应对网络安全事件、进行渗透测试和协助组织实施关键八点方面的经验”(来源)。换言之,基本八项可以被视为一套基于ACSC自身经验的最佳实践。
澳大利亚以外的国家关注基本八项的另一个原因是,大多数发达国家的网络安全法规都与基本八项非常相似。虽然不可避免地会有不同的法规,但大多数网络安全法规似乎都同意为了保持安全而需要建立的基本机制。研究澳大利亚的关键八项可以帮助海外组织更好地了解如何保持其系统的安全。
基本的八个成熟度级别分为四个成熟度级别,成熟度级别0表示组织根本不安全。成熟度级别1提供了非常基本的保护级别,而成熟度级别3的要求要严格得多。鼓励组织在选择目标成熟度级别时评估其总体风险和IT资源。
目标1:应用控制
应用程序控制目标旨在防止未经授权的代码在系统上运行。成熟度级别1主要用于防止用户在其工作站上运行未经授权的可执行文件、脚本、工具和其他组件,而成熟度级别2为面向Internet的服务器添加了保护。成熟度级别3增加了额外的控制,如驱动程序限制和遵守Microsoft的阻止列表。
目标2:贴片应用
第二个目标是将补丁应用于应用程序。当发现漏洞时,软件供应商通常会提供安全补丁。修补程序应用程序目标规定(对于所有成熟度级别),面向Internet的服务中的漏洞修补程序应在两周内修补,除非存在漏洞,在这种情况下,修补程序应在可用的48小时内应用。该目标还规定了其他类型的应用程序和漏洞扫描程序的使用指南。
目标3:配置Microsoft Office宏设置
第三个目标是为没有合法业务需要使用宏的用户禁用Microsoft Office中的宏使用。组织还必须确保阻止来自Internet的任何Office文件的宏,并且最终用户不能修改这些设置。组织还必须使用防病毒软件来扫描宏。更高的成熟度级别增加了额外的要求,例如在沙盒位置运行宏。
目标4:使用应用硬化
第四个目标称为应用程序强化,但在成熟度级别为1时,该目标主要涉及锁定用户PC上的Web浏览器。更具体地说,浏览器必须进行配置,以便它们不处理Java,也不能处理Web广告。此外,Internet Explorer 11不能用于处理Internet内容(更高的成熟度级别要求删除或禁用Internet Explorer)。必须配置浏览器设置,以便用户无法更改这些设置。
更高的成熟度级别侧重于强化浏览器以外的其他应用程序。例如,必须防止Microsoft Office和PDF阅读器创建子进程。
目标5:限制管理权限
目标5是保存特权帐户。此目标设置了一些规则,例如不允许特权帐户访问Internet、电子邮件或Web服务。同样,必须禁止非特权帐户登录到特权环境。
当攻击者试图破坏网络时,他们首先要做的事情之一就是尝试获得特权访问。因此,保护特权账户不被泄露是非常重要的。最好的第三方工具之一是Specops Secure Service Desk,它可以防止对特权帐户和非特权帐户进行未经授权的密码重置。这样,攻击者就无法通过请求密码重置来访问特权帐户。
目标6:修补程序操作系统
正如应用程序供应商定期发布补丁来解决已知漏洞一样,Microsoft也定期发布Windows补丁。这些补丁通常在“补丁星期二”到达,但有时在修补严重漏洞时会部署带外补丁。
修补程序操作系统目标设定了Windows修补程序的基本要求。此外,这一目标要求组织定期扫描缺失的修补程序。
第七个目标定义了何时必须使用多因素身份验证。成熟度级别1相对宽松,主要在用户访问面向Internet或基于Web的应用程序(除其他外)时需要多因素身份验证。更高的成熟度级别要求在越来越多的情况下使用多因素身份验证。
要求多因素身份验证是组织可以采取的最有效的措施之一,以确保用户帐户的安全。Specops uReset支持密码重置请求的多因素身份验证,有助于保持用户帐户的安全。
目标8:定期备份
第八个目标是创建定期备份。除了创建备份外,组织还需要执行测试恢复,并防止非特权帐户删除或修改备份,或访问任何非其自己的备份。更高的成熟度级别对非特权帐户和特权帐户(备份管理员和break-glass帐户除外)设置了额外的访问限制。
