网络威胁加剧时应采取的行动

组织何时可能面临更大的威胁，以及应采取哪些措施来提高安全性。

平衡网络风险与防御

组织面临的威胁可能随时间而变化。在任何时候，都需要在当前威胁、防御威胁所需的措施、防御措施的影响和成本以及威胁给组织带来的总体风险之间取得平衡。

有时，组织面临的网络威胁可能比平时更大。提高警惕可以：

• 帮助优先安排必要的网络安全工作

• 暂时增强防御能力

• 为组织提供最佳机会，在网络攻击发生时阻止其发生，并在攻击发生时快速恢复

本指南解释了网络威胁在什么情况下可能发生变化，并概述了组织为应对加剧的网络威胁可以采取的措施。

影响组织网络风险的因素

如果有新信息显示威胁加剧，组织对其网络风险的看法可能会发生变化。这可能是因为对手能力暂时增强，例如，如果广泛使用的服务中存在零日漏洞，有能力的威胁者正在积极利用该漏洞。或者，由于黑客行动主义或地缘政治紧张局势，它可能更具体地针对特定组织、部门甚至国家。

这些不同的因素意味着各种规模的组织都必须采取措施，确保他们能够应对这些事件。组织很少能够影响威胁级别，因此行动通常首先侧重于降低您受到攻击的脆弱性，并降低成功攻击的影响。即使是最老练和最坚定的攻击者也会在可能的情况下使用已知漏洞、错误配置或凭证攻击（例如密码喷洒、试图使用泄露的密码或身份验证令牌重用）。消除他们使用这些技术的能力可以降低您组织的网络风险。

采取的行动

对于各种规模的组织来说，最重要的是确保网络安全的基本原则到位，以保护其设备、网络和系统。以下行动旨在确保基本的网络安全控制到位并正常运行。这在任何情况下都很重要，但在网络威胁加剧期间尤其关键。

一个组织不太可能能够迅速做出广泛的系统变革来应对威胁的变化，但组织应该尽一切努力优先实施这些行动。

检查系统补丁

• 确保用户的台式机、笔记本电脑和移动设备都已打补丁，包括浏览器和办公套件等第三方软件。如果可能，请打开自动更新。
  
  

• 检查以确保贵组织设备上的固件也已修补。有时，这与更新软件的方式不同。
  
  

• 确保面向互联网的服务已针对已知安全漏洞进行修补。未修补安全漏洞的面向互联网的服务将带来难以管理的风险。
  
  

• 尽可能确保您的关键业务系统都已打上补丁。如果存在未打补丁的漏洞，请确保已采取其他缓解措施。
  
  

• 鉴于威胁加剧，还要审查已知未修补系统的现有业务案例。

验证访问控制

• 要求员工确保他们的密码在您的业务系统中是唯一的，并且不会与其他非业务系统共享。确保您的系统密码强大且唯一，并且任何密码不强大的密码都会立即更改。
  
  

• 检查用户帐户并删除任何旧的或未使用的帐户。如果您启用了多因素身份验证(MFA)，请检查其是否配置正确。确保根据您的政策在系统和用户帐户上启用了该功能。
  
  

• 仔细检查任何具有特权或管理访问权限的帐户，并删除旧的、未使用的或无法识别的帐户。确保谨慎管理具有特权访问权限或其他权利的帐户，并在可能的情况下使用 MFA。特权可以指系统管理，也可以指访问敏感资源或信息，因此请确保资源也得到充分保护。
  
  

• 考虑您的整体系统管理架构，以便更好地了解您在此领域的风险。

确保防御发挥作用

• 确保安装了防病毒软件，并定期确认它在所有系统上处于活动状态且签名正在正确更新。
  
  

• 检查您的防火墙规则是否符合预期 - 特别检查可能已超过预期使用寿命的临时规则。
  
  

• NCSC 的设备安全指南可以帮助对常见的台式机、笔记本电脑和移动设备进行安全配置。 

日志记录和监控

隐藏

• 了解您已设置了哪些日志记录、日志存储在哪里以及日志保留多长时间。监控关键日志，至少监控防病毒日志。如果可能，请确保您的日志至少保留一个月。 

检查备份

• 确认您的备份运行正常。从您的备份执行测试恢复，以确保了解并熟悉恢复过程。
  
  

• 检查是否有备份的离线副本- 并且如果攻击导致数据或系统配置丢失，该副本是否足够新以便可用。
  
  

• 确保机器状态和任何关键的外部凭证（如私钥、访问令牌）也得到备份，而不仅仅是数据。

事故计划

隐藏

• 检查事件响应计划是否是最新的。请参阅 NCSC 的事件管理指南。
  
  

• 确认升级路线和联系方式都是最新的。
  
  

• 确保事件响应计划明确说明谁有权做出关键决策，尤其是在正常办公时间之外。
  
  

• 确保您的事件响应计划及其使用的通信机制可用，即使您的业务系统不可用。

检查互联网足迹

隐藏

• 检查您的外部互联网足迹记录是否正确且最新。这包括您的系统在互联网上使用的 IP 地址或属于您组织的域名。确保域名注册数据安全保存（例如，检查您的注册帐户上的密码）并且任何委托都符合预期。
  
  

• 对整个互联网足迹执行外部漏洞扫描，并检查是否已修补所有需要修补的内容。存在未修补安全漏洞的互联网连接服务是难以管理的风险。

网络钓鱼响应

隐藏

• 确保员工知道如何举报网络钓鱼电子邮件。确保您有一个流程来处理任何举报的网络钓鱼电子邮件。

第三方访问

隐藏

• 如果第三方组织有权访问您的 IT 网络或资产，请确保您全面了解您的系统中扩展了哪些级别的权限以及扩展到了谁。删除不再需要的任何访问权限。确保您了解第三方的安全实践。 

NCSC 服务

隐藏

• 检查您的CiSP帐户是否正常工作，以便您可以访问并与其他组织共享有关威胁的信息，并查看来自 NCSC 的更新。
  
  

• 注册早期预警服务，以便 NCSC 可以快速通知您有关您系统的任何恶意活动。

  更广泛的组织简要介绍

• 确保其他团队了解情况和日益严重的威胁。获得其他业务部门的认可对于完成此处描述的行动至关重要。
  
  

• 确保其他领域的同事了解其团队工作量和任务可能受到的影响。确保每个人都知道如何报告可疑的安全事件，以及为什么在威胁加剧期间报告如此重要。

高级操作

大型组织应执行上述所有行动，以确保最基本的安全措施到位。使用网络评估框架来帮助他们了解网络风险的组织和行业监管机构应注意，CAF 包含有关上述行动中涉及的所有领域的指导。如果您的组织已降低 CAF 的这些领域的优先级，建议您在威胁加剧时立即重新审视这些决定。

此外，那些拥有更多资源的组织还应该考虑以下步骤：

1. 如果组织已制定计划逐步改善网络安全，则应该审查是否要加快实施关键的缓解措施，并承认这可能需要重新调整资源或投资的优先顺序。  

2. 没有任何技术服务或系统是完全无风险的，成熟的组织会做出平衡且明智的基于风险的决策。当威胁加剧时，组织应重新审视基于风险的关键决策，并确认组织是否愿意继续容忍这些风险，或者是否最好投资补救措施或接受能力下降。 

3. 某些系统功能（例如来自不受信任网络的大量数据交换）可能本身就带来更高级别的网络风险。大型组织应评估是否适合接受暂时减少功能以降低威胁暴露。  

4. 大型组织将拥有大规模评估、测试和应用软件补丁的机制。当威胁加剧时，组织可能希望采取更积极的方式来修补安全漏洞，并接受这可能会对服务本身产生影响。

5. 在此期间，大型组织应考虑推迟任何与安全无关的重大系统变更。

6. 如果拥有运营安全团队或 SOC，那么考虑延长运营时间或制定应急计划以便在发生网络事件时迅速扩大运营规模可能会有所帮助。 

7. 如果您已建立能够根据威胁情报自动采取行动或发出通知的系统，那么可能还考虑获取威胁源，以便为您提供与威胁加剧时期相关的信息。  

编译自：英国NCSC

— 欢迎关注