在此之后,您数量,并实现基于角色的系统访问。然后,您可以开始实施系统来记录特权用户的操作并限制他们可以执行的操作数量。
几乎所有提到的安全措施都与外部攻击和内部攻击有关。 “在攻击开始通过多种方式同时进行的情况下,值得摆脱对单一边界的信任,并创建多个边界和网络段以最大限度地减少损害,”Andrey Beshkov 说。 — 相信基础设施无懈可击的信念是具有破坏性的。这意味着应该特别注意基础设施的渗透测试。”
还需要定期搜索可能正在发生的系统入侵行为,因为从入侵到被发现平均需要 200 多天。在此期间,攻击者可以可靠且舒适地在被占领的基础设施中建立自己的据点。因此,将他们驱逐出去非常困难,所以越早发现入侵,就越容易打击攻击者。 SIEM 类系统和用于分析基础设施和用户行为的系统的实施可以帮助实现这一点。整个安全架构的顶层应该是业务连续性措施和能力,包括事件响应和业务恢复培训。
技术手段。叶夫根尼·阿基莫夫 (Evgeny Akimov) 认为,在外部和内部攻击者开始合作之前,防御他们的机制通常是不同的。
为了应对外部和内部威胁,使用专门的安全工具,从入侵防 韩国电报数据 御系统和防火墙开始,到旨在应对有针对性的攻击的解决方案集:沙箱、信息安全和信息安全事件管理系统、Web 网关、电子邮件网关、用于监控管理员和其他特权用户的行为的工具、交易和行为模型的控制、基础设施组件和业务应用程序的漏洞控制等。
由于不断的变化(主要是外部环境的变化),此类工具的数据必须保持最新,为此必须在事件响应服务(SOC)的基础上使用来自外部和内部来源(威胁情报)的分析数据构建明确的持续监控流程。
上述解决方案很少用于对抗内部威胁——为此,主要使用众所周知的访问控制系统、数据泄露预防系统,以及现在的反欺诈机器,用于检测各种业务运营中的欺诈计划,从收银机盗窃到物流违规行为。
伊万·博伊佐夫指出,防范外部威胁的方法正逐步转向加强安全控制。用于检查安全策略、纠正设备配置和进行安全分析的新工具正在市场上出现。