介绍澳大利亚信号局 (ASD) 制定了优先缓解策略,以缓解网络安全事件策略的形式,帮助组织保护自己免受各种网络威胁。这些缓解策略中最有效的是八项基本策略。 八项基本措施旨在保护组织的互联网连接信息技术网络。虽然“八要素”背后的原则可能适用于企业移动性和运营技术网络,但它并不是为此目的而设计的,并且替代缓解策略可能更适合防御这些环境中的独特网络威胁。 八要素成熟度模型于2017年6月首次发布并定期更新,支持八要素的实施。它基于ASD在生成网络威胁情报、响应网络安全事件、进行渗透测试和协助组织实施八项基本要素方面的经验。 八项基本要素构成八项基本措施的缓解策略是:
基本八个成熟度模型与 ISM 之间的映射修补应用程序和操作系统为了响应 ASD 对恶意行为者利用漏洞平均时间的评估,我们更加关注更高优先级的修补方案。具体来说,当供应商评估漏洞具有严重性质时(例如,它有助于绕过身份验证,从而授予特权访问权限或促进无需用户交互的远程代码执行)。在这种情况下,组织应在 48 小时内修补、更新或以其他方式缓解漏洞。此更改会影响成熟度一级到成熟度三级。 在提供优先修补指南时,我们更加重视对经常与互联网上不受信任内容交互的应用程序进行修补,例如办公生产力套件、网络浏览器、电子邮件客户端、PDF 软件和安全软件。这样一来,这些应用程序的修补时间范围从一个月内缩短到两周内。这也导致对这些应用程序的漏洞扫描活动从至少每两周一次改为至少每周一次。此更改会影响成熟度一级。 为了平衡针对高风险场景加强修补时间框架的变化,对不太重要的设备(例如工作站、非面向互联网的服务器和非面向互联网的网络设备)的操作系统修补已在两周内重新平衡到一个月之内。这还导致此类设备的漏洞扫描活动所需频率从至少每周一次调整为至少每两周一次。此更改会影响成熟度二级和成熟度三级。 最后,添加了针对驱动程序和固件中的漏洞应用补丁、更新或其他供应商缓解措施的要求,以缓解已知漏洞。此更改会影响成熟度三级。 多重身份验证此前,成熟度一级并未指定可用于多重身份验证 (MFA) 的身份验证因素类型。这导致了采用生物识别技术、安全问题或“可信信号”的较弱形式的 MFA,而这些都不被认为是标准中的有效身份验证因素。为此,采用了新的最低标准,除了“用户知道的东西”之外,还要求“用户拥有的东西”。此更改会影响成熟度一级。 为了应对针对继续仅依赖密码进行在线客户服务的公民的持续攻击,要求组织强制使用 MFA 来保护存储敏感客户数据(例如个人、健康或身份相关数据)的门户网站。被采用。在此过程中,此更改修改了现有要求,允许客户轻松选择不使用 MFA,而是使用非常弱的基于密码的身份验证。此外,还采用了为成熟度较低的客户提供防钓鱼 MFA 选项,同时要求成熟度较高的客户使用的方法。此更改会影响成熟度一级到成熟度三级。 为了应对 MFA 的广泛采用、日益成为常态的国际标准(例如 FIDO2/WebAuthn)、针对较弱 MFA 实施的攻击的增加(例如容易受到实时网络钓鱼攻击或社会工程攻击的攻击),以及随着 ASD 国际合作伙伴对网络政策的改变,MFA 要求得到加强,要求成熟度较低的组织使用防网络钓鱼的 MFA。这会影响二级成熟度。 最后,还添加了用户使用防网络钓鱼 MFA 形式(例如智能卡、安全密钥或 Windows Hello 企业版)对其工作站进行身份验证的要求。此更改会影响成熟度二级和成熟度三级。 限制管理权限由于缺乏用于授予、控制和撤销对数据存储库的特权访问的治理流程,因此添加了要求以确保与授予、控制和撤销对系统和应用程序的特权访问的治理流程的一致性。此更改会影响成熟度一级到成熟度三级。 防止特权帐户访问互联网的要求已经过谨慎修改,以支持云服务的管理。为此,需要明确识别此类帐户并严格限制其所需的访问权限和职责。此更改会影响成熟度一级到成熟度三级。 确保本地管理员帐户和服务帐户的凭据较长、唯一、不可预测和受管理的要求已扩展到包括碎玻璃帐户,因为这些帐户是系统最强大的帐户。此更改会影响成熟度二级和成熟度三级。 最后,还添加了侧重于强化特权用户使用的管理基础设施的附加要求。这包括使用安全管理工作站以及在 Microsoft Windows 中启用内存隔离和本地安全机构保护功能。此更改会影响成熟度三级。 应用控制为了应对恶意行为者越来越多地使用离地技术,以及从基本八项实施评估中获得的见解,应用程序控制更改的重点是对应用程序控制规则集进行年度审查,并在较低成熟度级别实施 Microsoft 推荐的应用程序阻止列表。此更改会影响二级成熟度。 限制 Microsoft Office 宏由于 Microsoft Windows 中缺乏对宏执行事件日志记录的本机支持,与尝试捕获此类事件相关的实施挑战,以及事件响应者和威胁猎人的建议,此类事件提供的好处有限,因此需要收集和分析这些事件妥协的迹象已被消除。此更改会影响成熟度二级和成熟度三级。 由于数字签名宏中存在一个漏洞,允许在不使文件的数字签名无效的情况下篡改宏代码,因此添加了强制使用更新、更安全的宏 V3 数字签名的要求。此更改会影响成熟度三级。 用户应用强化由于 Microsoft 不再支持 Internet Explorer 11,并且不会收到任何已识别漏洞的更新,因此组织现在需要禁用其使用或从操作系统中将其卸载。此更改会影响成熟度一级和成熟度二级。 实施 ASD 或供应商强化指南的要求已修改为要求在可用的情况下实施两者,并在发生冲突时优先考虑更严格的要求。此更改会影响成熟度二级和成熟度三级。 最后,修改了 PowerShell 日志记录要求,以避免重复应用程序控制日志记录,而是专注于利用本机 PowerShell 日志记录功能。为了支持这一点,添加了记录命令行进程创建事件的要求。这涵盖了恶意行为者可用来在受感染设备上执行命令的两个 shell。此更改会影响成熟度二级和成熟度三级。 定期备份虽然此缓解策略没有发生重大变化,但现在鼓励组织在确定备份优先级时考虑其数据的业务关键性,而不是只专注于备份重要数据。此更改会影响成熟度一级到成熟度三级。 各种各样的作为一项跨领域措施,除了报告和响应已识别的网络安全事件之外,现在还需要在成熟度二级上集中收集、保护和分析事件日志,以检测潜在的妥协迹象。然而,考虑到成熟度级别 2 的威胁模型(优先保护面向互联网的基础设施),在此成熟度级别的事件日志分析应侧重于检测面向互联网的基础设施中的妥协迹象,而不是检测网络中的所有组织资产。信息通信技术环境。 |
|