信息化觀察網(wǎng)

Mitre公司不久前發(fā)布了D3FEND安全矩陣，一種幫助企業(yè)用戶更好應(yīng)對(duì)網(wǎng)絡(luò)安全威脅的策略圖譜，它提供了一種強(qiáng)化網(wǎng)絡(luò)、檢測(cè)和隔離威脅的方法，以及從網(wǎng)絡(luò)中欺騙和驅(qū)逐攻擊者的方法。本文重點(diǎn)討論Windows系統(tǒng)管理員如何依照D3FEND指南來加固網(wǎng)絡(luò)。

01、應(yīng)用強(qiáng)化

Mitre D3FEND建議使用以下流程來強(qiáng)化應(yīng)用程序：

●死代碼消除

●異常處理程序指針驗(yàn)證

●流程段執(zhí)行預(yù)防

●段地址偏移隨機(jī)化

●棧幀canary驗(yàn)證

●指針認(rèn)證

作為大型組織的CSO，雖然可能會(huì)影響企業(yè)用戶的軟件選型，但可能無法影響實(shí)際的軟件編碼。用戶可以與軟件供應(yīng)商討論這些概念，并向他們?cè)儐柊踩鞒?。用戶可以聘?qǐng)顧問來審查企業(yè)內(nèi)部的代碼項(xiàng)目，以確保企業(yè)的應(yīng)用程序在設(shè)計(jì)時(shí)考慮到了安全性。

02、憑證強(qiáng)化

憑證強(qiáng)化從證書固定開始，包括端到端證書固定以及證書和公鑰固定。根據(jù)Mitre的說法，就是通過將證書或公鑰的可信副本與服務(wù)器相關(guān)聯(lián)，從而降低經(jīng)常訪問的站點(diǎn)遭受中間人攻擊的可能性。證書或公鑰可以在建立可信連接后固定，或者固定到可以預(yù)加載的應(yīng)用程序中，這是移動(dòng)應(yīng)用程序的首選方法。

下一個(gè)憑據(jù)強(qiáng)化建議是多因素身份驗(yàn)證(MFA)。MFA部署可以采用令牌、密鑰卡、手機(jī)應(yīng)用程序或撥打指定電話號(hào)碼的形式，它通常要求用戶確定大多數(shù)關(guān)鍵高風(fēng)險(xiǎn)應(yīng)用程序支持的通用身份驗(yàn)證平臺(tái)，通常這些平臺(tái)包括Microsoft Authenticator、Google Authenticator等應(yīng)用程序或Duo.com等第三方平臺(tái)。諸如Yubikey之類的密鑰卡可以提供額外的身份驗(yàn)證級(jí)別。

如果用戶使用手機(jī)和應(yīng)用程序作為身份驗(yàn)證器，那么企業(yè)可能需要為員工部署商務(wù)電話或報(bào)銷員工個(gè)人電話作為身份驗(yàn)證設(shè)備的費(fèi)用。通常，IT部門必須使用多個(gè)電話平臺(tái)測(cè)試MFA，并確保向最終用戶提供清晰的說明、設(shè)置幫助臺(tái)以在MFA推出時(shí)處理詢問。

一次性密碼部署是另一種選擇，但這需要與SIM交換、密碼不安全交付和其他攻擊風(fēng)險(xiǎn)進(jìn)行平衡。我們經(jīng)常會(huì)看到一次性密碼用于在兩方之間傳輸文件或信息，而不是在辦公環(huán)境中永久部署。

強(qiáng)密碼策略以及有關(guān)構(gòu)成強(qiáng)密碼的內(nèi)容的通信是保持網(wǎng)絡(luò)安全的關(guān)鍵。僅使用組合策略來設(shè)置強(qiáng)密碼策略是不夠的，正確選擇密碼保存程序，以及對(duì)用戶進(jìn)行安全意識(shí)教育，避免用戶在潛在的網(wǎng)絡(luò)釣魚中泄漏密碼也十分重要。

03、消息強(qiáng)化

消息強(qiáng)化可能是一種難以實(shí)施的防御技術(shù)。除非用戶所在的行業(yè)需要加密，否則電子郵件將以明文形式發(fā)送。加密通常與第三方加密消息傳遞系統(tǒng)一起添加。就像密碼一樣，消息強(qiáng)化也需要在實(shí)際實(shí)施中對(duì)用戶進(jìn)行安全意識(shí)培訓(xùn)。

傳輸代理身份驗(yàn)證的難易程度有很大差異，如果用戶唯一的電子郵件流程依賴于Gmail或Office 365等第三方郵件平臺(tái)，則供應(yīng)商會(huì)提供必要的DMARC、DKIM和SPF設(shè)置。如果用戶在發(fā)送過程中使用其他電子郵件平臺(tái)，那可能就需要在SPF和DNS記錄中進(jìn)行多項(xiàng)設(shè)置，以識(shí)別將使用的電子郵件平臺(tái)類型。通常，用戶必須查看電子郵件標(biāo)題以確保設(shè)置符合個(gè)人預(yù)期。

04、平臺(tái)強(qiáng)化

平臺(tái)強(qiáng)化是我們?cè)诰W(wǎng)絡(luò)安全上花費(fèi)大量時(shí)間和資源的地方。從磁盤加密開始，這可以確保如果資產(chǎn)被盜，攻擊者將無法讀取硬盤驅(qū)動(dòng)器上的數(shù)據(jù)。驅(qū)動(dòng)程序加載完整性檢查可確保設(shè)備在啟動(dòng)過程中具有完整性。如果設(shè)備需要射頻屏蔽，請(qǐng)確保此類系統(tǒng)具有適當(dāng)?shù)谋Ｗo(hù)性。

TPM啟動(dòng)完整性是微軟的Windows 11平臺(tái)力推的一個(gè)功能。正如微軟所指出的：在引導(dǎo)過程中，BIOS引導(dǎo)塊（TPM安全模式下的核心信任root）測(cè)量引導(dǎo)組件（固件、ROM）。TPM對(duì)這些被測(cè)量的組件進(jìn)行散列并將散列值存儲(chǔ)在平臺(tái)配置寄存器(PCR)中。在后續(xù)啟動(dòng)時(shí)，這些散列值被提供給驗(yàn)證器，該驗(yàn)證器將存儲(chǔ)的測(cè)量值與新的啟動(dòng)測(cè)量值進(jìn)行比較。如果它們匹配，就可以確保引導(dǎo)組件的完整性。結(jié)合引導(dǎo)加載程序身份驗(yàn)證，這可確保在引導(dǎo)過程開始之前系統(tǒng)不會(huì)被篡改。

最后，CSO需要制定一個(gè)計(jì)劃來管理頻繁的軟件變更。替換計(jì)算機(jī)系統(tǒng)組件上的舊軟件是保持系統(tǒng)安全的關(guān)鍵方法，修補(bǔ)漏洞則能確保攻擊者無法使用持久性或特權(quán)升級(jí)來接管用戶的系統(tǒng)。