什麼是基礎結構?
一般而言,基礎結構是指實體結構和設施,例如建築物、辦公室、資料中心等等。 在運算的概念中,IT 基礎結構可以是您的雲端和行動裝置、物聯網 (IoT) 端點、內部部署伺服器、雲端式虛擬機器、容器或微服務,以及所有軟體,包括第一方和第三方。 無論是組織結構或 IT 資產,基礎結構使用量都必須受到監視和管理,因為它會持續擴充和演進。 考慮「零信任」方法是在不斷變化的數位環境中增強安全性的最佳方式。
常見的基礎結構弱點和威脅
IT 基礎結構包含透過網路裝載的不同技術,使其成為面臨日益增加威脅層級的複雜環境。 其所處理的 IT 系統和重要資料可能容易受到數位和現場攻擊。 適當強制執行安全性原則和程序可以緩解風險、限制損害,並加速復原工作。 以下是與基礎結構相關聯的威脅向量清單:
- 實體安全性
- 舊版軟體
- 預設組態
- 缺少加密
- 缺少網路分割
- 惡意程式碼、分散式阻斷服務攻擊,以及 Web 應用程式的攻擊
- 實作不良的安全性原則和程序
實體安全性
實體安全性是指為保護網站和工作區而建立的系統和技術。 實體安全性可視為 IT 基礎結構安全性的延伸。 如果攻擊者略過安全性並取得 Office 內部部署的未經授權存取權,他們可以輕易地插入網路並取得資源的完整存取權。 設備遭竊的風險也更高。
舊版軟體
之所以稱為舊版系統,是因為其具有仍在使用中的舊版且過時的技術 (軟體或硬體)。 舊版系統和軟體有一些限制,因此可能會有弱點。 這會造成大量安全性風險,原因如下:
- 與最新技術整合可能很困難或完全不可行。
- 廠商可能不再支援軟體,因此無法使用一般安全性更新。
預設組態
預設組態是預先決定的設定,通常是由製造商在新裝置或軟體中修正。 例如,必須設定並自訂新 Wi-Fi 安裝隨附的預設設定和密碼,才能進行安全連線。 這些預設組態通常設定錯誤且不必要。 執行不必要的服務會增加系統和應用程式的弱點。 這會導致未經授權存取的風險。
缺少加密
加密是隱藏或編碼資訊的程序,因此只有使用特殊程式碼或金鑰進行存取的正確收件者才能存取。 缺少加密可能會導致資料外洩和潛在的財務損害。 不過,強式加密可增強保護,即使裝置或敏感性資訊落到錯誤人士手中。
缺少網路分割
網路分割是將電腦網路分割成多個區段或子網路來控制流量的做法。 每個區段都會作為自己的小型網路,為組織提供加強的控制,並可讓您及時偵測網路內的惡意活動。 缺少分割會讓網路面臨風險。 例如,如果攻擊者取得未分割網路的存取權,他們就能更輕鬆地在組織內橫向散佈。
惡意程式碼、分散式阻斷服務攻擊,以及 Web 應用程式的攻擊
惡意程式碼、分散式阻斷服務 (DDoS) 攻擊或 Web 應用程式攻擊對基礎架構造成的威脅會繼續出現。 這些攻擊的唯一目的是要中斷日常作業、認可資料竊取,或取得未經授權的存取權。 惡意程式碼、DDoS 或 Web 應用程式攻擊可以定義為:
- 惡意程式碼是惡意軟體,安裝之後可以損毀電腦和網路。 會透過網際網路經由電子郵件附件、連結或惡意網站散佈。
- 分散式阻斷服務 (DDoS) 攻擊的目標是網站和伺服器,目標是透過讓網際網路流量溢出而使應用程式的資源滿溢,進而中斷網路服務。
- Web 應用程式是在網頁瀏覽器上執行的電腦程式。 Web 應用程式會與網頁伺服器和資料庫伺服器通訊。 它可讓使用者與網站內的網頁互動。 如果 Web 應用程式發生攻擊,網頁伺服器和資料伺服器可能會遭到公開和入侵。
實作不良的安全性原則和程序
安全性原則和程序是 IT 小組為了保護組織資源而認可的一組規則。 安全性原則的一些範例包括:
- 清除螢幕原則:可確保所有使用者在離開工作站時都必須鎖定其螢幕,最好在長時間離開時登出,以防止未經授權的存取。
- 清除桌面原則:有助於確保使用者不會在其桌面上留下任何文件或電腦媒體,例如 USB 或儲存裝置。 工作區域必須盡可能保持乾淨,以防止機密和敏感性資訊洩漏並落到錯誤人士手中。
- 網際網路和電子郵件原則:指示所有使用者在瀏覽網際網路時都必須保持謹慎,並確保電子郵件的使用安全。 例如,使用者應該避免點擊和轉寄任何惡意連結和附件。 若要防止安全性缺口,他們也應該報告可疑的電子郵件、在傳送之前加密敏感性資訊,以及不要將工作電子郵件用於私人用途。
- 密碼原則:鼓勵個人使用強式密碼並定期變更。 提倡密碼不得共用或寫下讓任何人都能存取。
- 資訊共用原則:牽涉到有關資料和資訊共用的一組規則。 強調合法的共用,以及個人和財務資訊的保護。 也可確保在處理敏感性資訊時符合預期的標準。
若無法實作安全性原則並忽略重要程序,可能會讓組織面臨不必要的風險。