《電子技術(shù)應(yīng)用》
您所在的位置:首頁 > 通信與網(wǎng)絡(luò) > 業(yè)界動態(tài) > 基于D3FEND安全矩陣的Windows網(wǎng)絡(luò)加固

基于D3FEND安全矩陣的Windows網(wǎng)絡(luò)加固

2021-07-27
來源:安全牛
關(guān)鍵詞: 安全矩陣 Windows

  Mitre公司不久前發(fā)布了D3FEND安全矩陣,一種幫助企業(yè)用戶更好應(yīng)對網(wǎng)絡(luò)安全威脅的策略圖譜,它提供了一種強化網(wǎng)絡(luò)、檢測和隔離威脅的方法,以及從網(wǎng)絡(luò)中欺騙和驅(qū)逐攻擊者的方法。本文重點討論Windows系統(tǒng)管理員如何依照D3FEND指南來加固網(wǎng)絡(luò)。

  01 應(yīng)用強化

  Mitre D3FEND建議使用以下流程來強化應(yīng)用程序:

  死代碼消除

  異常處理程序指針驗證

  流程段執(zhí)行預(yù)防

  段地址偏移隨機化

  棧幀canary驗證

  指針認證

  作為大型組織的CSO,雖然可能會影響企業(yè)用戶的軟件選型,但可能無法影響實際的軟件編碼。用戶可以與軟件供應(yīng)商討論這些概念,并向他們詢問安全流程。用戶可以聘請顧問來審查企業(yè)內(nèi)部的代碼項目,以確保企業(yè)的應(yīng)用程序在設(shè)計時考慮到了安全性。

  02 憑證強化

  憑證強化從證書固定開始,包括端到端證書固定以及證書和公鑰固定。根據(jù)Mitre的說法,就是通過將證書或公鑰的可信副本與服務(wù)器相關(guān)聯(lián),從而降低經(jīng)常訪問的站點遭受中間人攻擊的可能性。證書或公鑰可以在建立可信連接后固定,或者固定到可以預(yù)加載的應(yīng)用程序中,這是移動應(yīng)用程序的首選方法。

  下一個憑據(jù)強化建議是多因素身份驗證 (MFA)。MFA部署可以采用令牌、密鑰卡、手機應(yīng)用程序或撥打指定電話號碼的形式,它通常要求用戶確定大多數(shù)關(guān)鍵高風(fēng)險應(yīng)用程序支持的通用身份驗證平臺,通常這些平臺包括Microsoft Authenticator、Google Authenticator等應(yīng)用程序或Duo.com等第三方平臺。諸如Yubikey之類的密鑰卡可以提供額外的身份驗證級別。

  如果用戶使用手機和應(yīng)用程序作為身份驗證器,那么企業(yè)可能需要為員工部署商務(wù)電話或報銷員工個人電話作為身份驗證設(shè)備的費用。通常,IT部門必須使用多個電話平臺測試MFA,并確保向最終用戶提供清晰的說明、設(shè)置幫助臺以在MFA推出時處理詢問。

  一次性密碼部署是另一種選擇,但這需要與SIM交換、密碼不安全交付和其他攻擊風(fēng)險進行平衡。我們經(jīng)常會看到一次性密碼用于在兩方之間傳輸文件或信息,而不是在辦公環(huán)境中永久部署。

  強密碼策略以及有關(guān)構(gòu)成強密碼的內(nèi)容的通信是保持網(wǎng)絡(luò)安全的關(guān)鍵。僅使用組合策略來設(shè)置強密碼策略是不夠的,正確選擇密碼保存程序,以及對用戶進行安全意識教育,避免用戶在潛在的網(wǎng)絡(luò)釣魚中泄漏密碼也十分重要。

  03 消息強化

  消息強化可能是一種難以實施的防御技術(shù)。除非用戶所在的行業(yè)需要加密,否則電子郵件將以明文形式發(fā)送。加密通常與第三方加密消息傳遞系統(tǒng)一起添加。就像密碼一樣,消息強化也需要在實際實施中對用戶進行安全意識培訓(xùn)。

  傳輸代理身份驗證的難易程度有很大差異,如果用戶唯一的電子郵件流程依賴于Gmail或Office 365等第三方郵件平臺,則供應(yīng)商會提供必要的DMARC、DKIM 和 SPF設(shè)置。如果用戶在發(fā)送過程中使用其他電子郵件平臺,那可能就需要在SPF和DNS記錄中進行多項設(shè)置,以識別將使用的電子郵件平臺類型。通常,用戶必須查看電子郵件標(biāo)題以確保設(shè)置符合個人預(yù)期。

  04 平臺強化

  平臺強化是我們在網(wǎng)絡(luò)安全上花費大量時間和資源的地方。從磁盤加密開始,這可以確保如果資產(chǎn)被盜,攻擊者將無法讀取硬盤驅(qū)動器上的數(shù)據(jù)。驅(qū)動程序加載完整性檢查可確保設(shè)備在啟動過程中具有完整性。如果設(shè)備需要射頻屏蔽,請確保此類系統(tǒng)具有適當(dāng)?shù)谋Wo性。

  TPM啟動完整性是微軟的Windows 11平臺力推的一個功能。正如微軟所指出的:在引導(dǎo)過程中,BIOS引導(dǎo)塊(TPM安全模式下的核心信任root)測量引導(dǎo)組件(固件、ROM)。TPM對這些被測量的組件進行散列并將散列值存儲在平臺配置寄存器 (PCR) 中。在后續(xù)啟動時,這些散列值被提供給驗證器,該驗證器將存儲的測量值與新的啟動測量值進行比較。如果它們匹配,就可以確保引導(dǎo)組件的完整性。結(jié)合引導(dǎo)加載程序身份驗證,這可確保在引導(dǎo)過程開始之前系統(tǒng)不會被篡改。

  最后,CSO需要制定一個計劃來管理頻繁的軟件變更。替換計算機系統(tǒng)組件上的舊軟件是保持系統(tǒng)安全的關(guān)鍵方法,修補漏洞則能確保攻擊者無法使用持久性或特權(quán)升級來接管用戶的系統(tǒng)。




電子技術(shù)圖片.png

本站內(nèi)容除特別聲明的原創(chuàng)文章之外,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,并不代表本網(wǎng)站贊同其觀點。轉(zhuǎn)載的所有的文章、圖片、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無法一一聯(lián)系確認版權(quán)者。如涉及作品內(nèi)容、版權(quán)和其它問題,請及時通過電子郵件或電話通知我們,以便迅速采取適當(dāng)措施,避免給雙方造成不必要的經(jīng)濟損失。聯(lián)系電話:010-82306118;郵箱:aet@chinaaet.com。