保護端點
若要保護端點,組織必須實施零信任原則。 這表示您必須在所有端點上設定「一律不信任、一律驗證」方法,無論它們屬於組織或由承包商、合作夥伴或員工所擁有。
若要成功保護端點,組織應達成下列目標:
- 雲端強制執行的安全性原則。 這必須涵蓋端點安全性、應用程式保護、裝置合規性、裝置設定和風險狀態。
- 作業系統 (例如 Windows) 和在裝置上執行的應用程式會安全地進行佈建、設定,並保持在最新狀態。
- 自動且快速地回應安全性事件,並防止從端點擷取組織資料。
- 存取控制系統的存在只允許透過原則控制項存取資料。
向雲端身分識別提供者註冊端點
對組織而言,能夠擁有所有在網路中所使用裝置之可見度至關重要。 擁有裝置的可見度可協助組織監視及保護所有端點,以便管理對寶貴資源的存取。
若要達到此目的,組織的 IT 小組可以執行下列步驟:
- 向身分識別提供者註冊所有裝置。
- 需要新式驗證。
身分識別提供者是一項服務,其可建立、維護及管理整個組織的身分識別資訊。 熟悉的案例是當使用者使用使用者名稱和密碼登入應用程式或裝置時,身分識別提供者會確認使用者是否獲有存取權限。
新式驗證工具可協助組織完全移除密碼需求。 這稱為無密碼驗證。 使用此方法時,使用者應提供實體證據以取得存取權,例如指紋或鄰近徽章。 這會增加安全性,因為使用者必須提供實體驗證,而不是可能會遭到駭客入侵的密碼。
正確設定身分識別基礎結構對於管理貴組織的使用者存取和權限至關重要。
僅將存取權授予雲端管理和相容的端點
若要保護重要資訊,則只能將存取提供給符合安全性需求的端點。 如果端點不相容,可能會允許端點遭到入侵,如果端點連接到公司網路,則會導致嚴重後果。
組織可以使用合規性原則來定義需求。 例如,您的組織可能會有一個要求裝置安裝最新作業系統版本或啟用反惡意軟體防護的原則。 您的 IT 小組可以使用雲端式現代化裝置管理工具建立合規性原則。 這些是專用解決方案,旨在讓貴組織從雲端管理其所有裝置,從首次使用前的預先群組原則,到持續監視和強制執行群組原則和安全性需求。
貴組織也應該在建立原則時設定補救規則,以防端點不相容。 補救規則控制如何解決不相容的問題。 例如,透過電子郵件警示使用者、封鎖端點,或應用寬限期,如果端點不符合規範,則在此期間之後會封鎖端點。
使用端點威脅偵測來監視風險和控制存取
請務必為貴組織中的所有端點實作威脅偵測,以便監視風險並控制所有裝置之間的存取。 端點威脅偵測賦予您檢視環境中威脅、弱點和安全性風險的可見度。 貴組織能夠使用威脅偵測,以便安全性分析人員可以有效地排定警示的優先順序、深入了解入侵的全貌,並採取回應動作來補救威脅。
最後,貴組織也可以取得裝置風險等資訊,並作為資料來源提供至端點合規性原則與存取原則。 透過設定向裝置使用者提供可用資源前必須滿足特定條件,多個資料點可協助微調貴組織的驗證流程。