什么是基础结构?
一般而言,基础结构是指物理结构和设施,如建筑物、办公室、数据中心等。 在计算方面上看,IT 基础结构可以称为云和移动设备、物联网 (IoT) 终结点、本地服务器、基于云的虚拟机、容器或微服务,以及所有软件(第一方和第三方)。 基础结构占用(无论是组织结构还是 IT 资产)都必须在继续扩展和演变时进行监视和管理。 考虑到零信任方法是增强不断变化的数字环境中安全性的最佳方式。
常见的基础结构漏洞和威胁
IT 基础结构包含通过网络托管的不同技术,使其成为一个面临日益严重的威胁级别的复杂环境。 他们处理的 IT 系统和关键数据可能容易受到数字攻击和现场攻击。 正确执行安全策略和程序可以降低风险、限制损害并加快工作恢复。 下面是与基础结构关联的威胁向量列表:
- 物理安全
- 旧软件
- 默认配置
- 缺少加密
- 缺乏网络分段
- 恶意软件、分布式拒绝服务攻击和对 Web 应用的攻击
- 实施不当的安全策略和过程
物理安全
物理安全即为保护站点和工作区而建立的系统和技术。 可将物理安全视为 IT 基础结构安全的扩展。 如果攻击者绕过安全性并获取对办公场所未经授权的访问权限,则他们可以轻松地入侵网络,并获得对资源的完全访问权限。 设备盗窃的风险也有所增加。
旧软件
之所以称为旧系统,是因为其还再使用陈旧、过时的技术(软件或硬件)。 旧系统和软件有一定的局限性,因此可能存在漏洞。 由于以下原因,这会带来巨大的安全风险:
- 与最新技术集成可能很困难,也可能根本无法实现。
- 供应商可能不再支持软件,因此没有常规的安全更新可用。
默认配置
默认配置是预先确定的设置,通常由制造商在新设备或软件中修复。 例如,必须配置和自定义新 Wi-Fi 安装附带的默认设置和密码,以便进行安全连接。 这些默认配置通常配置错误,且不必要。 运行不必要的服务会增加系统和应用程序的漏洞。 这会导致出现未经授权的访问风险。
缺少加密
加密是一个隐藏或编码信息的过程,因此只能由使用特殊代码或密钥的正确收件人访问。 缺乏加密可能导致数据泄露和潜在的财务损失。 但是,即使设备或敏感信息误入他人之手,强加密也可增强保护。
缺乏网络分段
网络分段是将计算机网络划分为多个分段或子网来控制流量流的做法。 每个分段充当自己的小型网络,为组织提供更大的控制,并能够及时检测网络中的恶意活动。 缺乏分段会使网络面临风险。 例如,如果攻击者获得对未隔离网络的访问权限,则它们更容易在组织中横向扩散。
恶意软件、分布式拒绝服务攻击和对 Web 应用的攻击
恶意软件、分布式拒绝服务 (DDoS) 攻击或 Web 应用程序攻击对基础结构仍构成威胁。 这些攻击的唯一目的是中断日常操作、提交数据盗窃或获取未经授权的访问权限。 恶意软件、DDoS 或 Web 应用程序攻击可以定义为:
- 恶意软件 是恶意软件,安装后可能会损坏计算机和网络。 它通过电子邮件附件、链接或恶意网站通过 Internet 传播。
- 分布式拒绝服务 (DDoS) 攻击针对网站和服务器,旨在通过 Internet 流量溢出攻击应用程序资源,扰乱网络服务。
- Web 应用是在 Web 浏览器上运行的计算机程序。 Web 应用程序与 Web 服务器和数据库服务器通信。 它允许用户与网站中的网页交互。 如果 Web 应用程序受到攻击,Web 服务器和数据服务器可能会被公开和泄露。
实施不当的安全策略和过程
安全策略和过程是由 IT 团队支持的一组规则,用于保护组织的资源。 安全策略的一些示例包括:
- 清除屏幕策略:这可确保所有用户在离开工作站时必须锁定其屏幕,最好是在长时间离开时注销,以防止未经授权的访问。
- 清除桌面策略:这有助于确保用户不会将任何文档或计算机媒体(如 USB 或存储设备)留在无人使用的桌面上。 工作区域必须尽可能地保持明晰,以防止机密和敏感信息泄露,落入坏人之手。
- Internet 和电子邮件策略:这指示所有用户在浏览 Internet 时必须保持警惕,并确保使用电子邮件安全。 例如,用户应避免单击和转发任何恶意链接和附件。 为了防止安全漏洞,他们还应报告可疑电子邮件,在发送之前加密敏感信息,而不是出于私人原因使用工作电子邮件。
- 密码策略:这会鼓励个人使用强密码并定期更改密码。 但不建议共享或写下密码供任何人访问。
- 信息共享策略:这涉及到一组有关数据和信息共享的规则。 它强调合法共享和保护个人和财务信息。 它还确保在处理敏感信息时满足预期的标准。
如果无法实施安全策略并忽略关键过程,可能会使组织面临不必要的风险。