译文 | 在制定最佳实践之前，需要实施的6个最低安全实践

我们都想遵守安全最佳实践，但谁来决定什么是最好的呢?如果某件事对一家公司是最好的，那它对所有人也是最好的吗?我们经常没有花时间去分析我们正在保护的东西，以确保我们正在尽可能地保护它。然而，有一些基本的技术可以在几乎所有的组织中使用。我把这些建议称为“最小实践”。以下六条建议值得考虑。

多因素身份验证 (MFA) 是每个公司都需要确定部署方式和位置的必备保护措施。有人说，最佳做法是不使用可能被黑客入侵的短信或其他基于手机的身份验证技术。我认为目标不是变得完美。相反，它必须足够安全，以便攻击者绕过您并继续攻击下一个受害者。

短信攻击要求攻击者以您的公司为目标。欺骗特定的电话号码需要计划和时间。对于大多数公司来说，这种目标是不现实的。任何类型的第二身份验证方法，不仅仅是最安全的，还是一个加分项。

最近的Microsoft Exchange 漏洞展示了优先更新在网络中的重要性。我们经常通过网络补丁部署工作站补丁，因为我们可以比服务器问题更快地从工作站问题中恢复。在评估要修补的内容时，要检查开发的可能性，并优先考虑任何面向公众的技术。

通用漏洞评分系统 (CVSS) 评分可帮助您了解漏洞的严重性。可利用性得分基于易受攻击的组件质量。该分数越高，攻击者就可以越远。如果攻击者可以远程攻击，则攻击向量 (AV) 指标会更高；如果攻击者必须物理存在，则攻击向量 (AV) 指标会更低。当需要安装安全更新时，请根据网络风险进行审查并确定优先级。确保您不仅检查网络中操作系统的更新，而且检查可能用于进入网络的任何边缘设备（例如防火墙或 VPN 设备）的更新。

正如 MITRE 指出的那样，评估那些让你的公司面临更多风险的面向公众的应用程序。检查您的网络是否存在基于 Web 应用程序的风险以及潜在的软件弱点。使用ATT&CK 导航器视图帮助确定需要打补丁的设备的优先级。

网络钓鱼是攻击者访问您的组织的主要方式。要使网络钓鱼成功，有一个主要切入点：Office 宏。通过限制或阻止 Office 宏的使用来保护自己免受此入口点的影响。您的大部分用户群通常可以利用精简版的 Word 或 Excel 进行日常使用。

接下来，查看控制PowerShell和其他脚本技术的选项。设置一个策略，只允许已签名的PowerShell 脚本在您的公司中运行。如果可以禁用PowerShell版本2，您还需要至少升级到PowerShell 5.1，以提供更好的安全性、日志记录和检查。升级到PowerShell 7或7.1，接下来，您将希望通过Windows PowerShell Remoting实现远程管理。

看看您是否可以通过 Applocker 或 Device Guard 投入和管理受限语言模式。其中许多建议需要特定的许可证和硬件才能实现。Applocker 需要更多时间和部署才能正确使用。我建议您将此作为解决方案进行调查，但它更高级一些，因此不是“最低限度”实践。

日志记录是了解攻击者如何获得入口以及提供取证信息的关键要求。因此，请检查是否可以启用脚本块级别的日志记录，并将日志转发到集中式日志存储库。您需要使用一个新式平台，因此请检查您是否有任何遗留服务器和操作系统，并将它们从您的网络中删除。Windows 10 应该是最低限度的操作系统以及适当的服务器平台。

最后，仅将权利授予需要的人。通过使用本地管理员密码解决方案 (LAPS) 和其他最低权限技术来保护特权访问，包括及时 (JIT) 和恰到好处的管理 (JEA)。

我们仍然处于一个充满密码的世界。我们经常重复使用密码而不选择强密码。我们中有多少人在网站上设置了一个帐户，该帐户要么用您几乎无法弄清楚的密码策略惹恼您，要么以一种表明他们可能仍在使用基于 Windows NT 4.0.的身份验证系统的方式，限制字符的数量和类型。如果您的活动目录基础结构使您无法实施强密码、密码短语、生物识别技术甚至智能卡，您可以添加双因素解决方案，例如 Duo.com。

密码管理仍然应该是您组织中的一个关键目标。破解或被盗的密码是进入您的组织的入口，更糟糕的是，在GitHub仓库中找到开发项目的凭据。制定流程并确保您了解如何扫描不应存储的机密。

在这个云时代，不要忽视我们过去一直依赖的东西——你的防火墙。通常它可以通过阻止不应该离开您网络的流量来完成一些繁重的工作。理想情况下，只有已知和允许的流量才应该设置出口规则。而现实情况是，对于许多应用程序，必须以审计模式运行防火墙，以便更好地了解流量的去向，然后相应地制定防火墙规则。

记录并收集您认为可能包含在目标攻击中的关键服务器和工作站的事件日志。无论你使用Splunk还是微软的Sentinel产品，安装Sysinternals  SYSMON模块。它是监控攻击日志的关键工具。

现在你知道了，我的做法不是最好的，而是最低限度的。看看你现在做了多少，以及是否可以努力做得更好。