提升网络安全性的一些重要技巧

对于新的网络管理员和 DBA，有一些安全技巧可以保护您的基础架构免受攻击和恶意行为。以下是行业专家的提示和建议，他们了解保护网络免受内部和外部入侵的重要性。

创建唯一的基础架构密码

网络安全中最常见的错误之一是在所有路由器，交换机和基础设施设备上实现共享密码。一台设备的泄密或密码泄漏会导致每台设备的危害 – 不仅仅是内部人员，也是针对这些设备的恶意软件。作为最佳实践安全建议，每个设备都应该有一个唯一的密码，以限制设备对其同行的负担。

使用预定和基于事件的密码更改

虽然网络密码的管理在各种密码管理工具中变得司空见惯，但大规模更改密码通常需要专用的密码安全工具。手动更改数百或数千台设备的密码是劳动密集型的，通常可以避免组织由于时间限制，除非采购专用工具。根据监管合规计划和安全最佳实践，密码应始终定期轮换，这使得这项工作相当成问题。此外，基于事件，ad-hoc 可能需要根据就业变化和承包商访问等事件对密码进行更改。

因此，建议使用计划定期更改所有网络密码，或者根据需要设置更改网络密码的流程，如果进行这些更改所需的时间过长，请考虑解决方案自动化这个过程。

从默认设置强化设备

几乎每个设备在首次安装时都有默认设置和密码。最终用户需要更改帐户名，密码，安全端口，并加强设备的恶意活动。

作为网络安全的最佳实践，建议更改所有这些设置，并使用工具评估设备是否正确加固，不包含 SNMP 等默认密码，并运行最新固件到审查任何漏洞和缺少安全补丁。不幸的是，许多组织安装设备，并没有主动将它们置于设备管理生命周期中进行修补，配置和维护，以保证它们像服务器或工作站一样安全。

从默认设置强化设备

几乎每个设备在首次安装时都有默认设置和密码。最终用户需要更改帐户名，密码，安全端口，并加强设备的恶意活动。

作为网络安全的最佳实践，建议更改所有这些设置，并使用工具评估设备是否正确加固，不包含 SNMP 等默认密码，并运行最新固件到审查任何漏洞和缺少安全补丁。不幸的是，许多组织安装设备，并没有主动将它们置于设备管理生命周期中进行修补，配置和维护，以保证它们像服务器或工作站一样安全。

始终记录并研究可疑活动

拒绝所有未明确允许的出站网络流量并记录下来。然后查看它。日志数据将提供有关网络上正在发生的事情的大量信息。

阻止来自可疑外国机构的 IP 范围

除非您在中国开展业务，否则俄罗斯，朝鲜等将阻止其 IP 范围。它不会阻止那些真正对你的设施感兴趣的人，但它会停止大量浏览以查看你拥有的东西。

切勿在 Internet 设备上使用默认安全设置

确保你已经强化了任何面向互联网的设备并将管理员用户名和密码更改为相当难以破解的东西！

打破常规

假设您的用户群受到损害并打破您对安全计划中大数据分析的依赖。今天，大多数安全策略都专注于保护所有内容 – 包括用户主机。这会产生大量数据，这会增加人工智能的负担。

假设您的用户群受到威胁，并将您的安全工作集中在用户，应用程序和数据库之间的异常检测上。有些人可能会质疑这是可能的，但银行业已经通过他们的客户群实现了这一点。企业可以成功地反映这种方法。

提升和控制

实施权限访问管理（PAM）控制只能在短时间内授权提升的特权访问权限。大多数 APT 都是成功的，因为它们获得了无限期保留的提升权限。这使威胁行为者能够充斥他们的恶意工具库并活下去土地作为具有提升特权的授权用户。

有许多 PAM 解决方案允许组织管理提升的，基于时间的权限。有些甚至可以映射回故障单。这打破了威胁行为者的网络杀戮链并阻止他们坚持不懈。