在当今的网络环境中,黑客无时无刻都在发动攻击。不管是以其为职业还是爱好,黑客行为没有时间限制。
虽然许多公司没有雇佣全天候安全经理的预算,但这并不意味着你要放弃网络安全。如果你的安全员工是朝九晚五的上班一族,在他们下班后的16个小时中,你的网络仍然能够保持安全——你只需关注提供最大网络覆盖率的行为。
制订一个系统而全面的任务列表,列举出保障网络安全的最有效的方法。下面是八个你在每天执行计划时必须保证检查到的简单任务。
早晨
上班后,冲一些咖啡,查看电子邮件,完成下列步骤:
- 验证当前连接:恶意行为发生时,我们很难发现它们。检查经过防火墙的所有连接——包括往内和向外的连接。寻找异常现象并对它们进行调查。这可能包括向外的FTP和往内的Telnet/SSH任务。要寻找不正常的现象。
- 查看网络流量统计:你不在时发生了哪些行为?它们是何种类型的流量,其目的与源头在什么地方?
- 查看防病毒日志:昨晚有病毒攻击了电子邮件系统吗?防病毒签名是否保持最新状态?
- 阅读域服务器上的安全日志:昨晚系统锁定了哪些账户没有?特别注意那些拥有管理员访问权限的账户。确定锁定只是人为错误,而非入侵攻击。
- 查找新安全补丁:确定供应商是否发布了针对你的基线软件的补丁。(如果你还没有基线,我强烈建议你开发一个基线。)如果出现了新的补丁,仔细阅读发布提示。然后,就是现在安装补丁还是等到预计的系统调整期再安装做出决定或建议。
下午
吃完午饭回到办公室后,还有许多事情要做:
- 与经理见面并做简报:经理喜欢了解发生了什么状况,所以不要等他来问——主动告诉他们。与经理见面并告诉他夜间出现的情况,以及你已经采取的行动。此时也是一个获取建议的良好时机,例如有助于你保障网络安全的工具或员工培训信息。
- 检查更多日志:仔细检查所有IDS和防火墙日志。谁通过互联网访问了你的网络?他们在寻找什么信息?网络内部有谁做了不该做的事情?如果你发现未授权和/或非法行为,立即向上报告,并采取行动来终止它。
- 把知识转化为行动:既然你已经知道你不在时出现了什么情况,就应该制订一个行动计划来防止将来的类似行为。你需要调整防火墙规则吗?IDS发现并报告了正确的事件吗?你需要将日志文件归档以节省服务器空间吗?你需要就过去一天内发生的行为做一个最终简报吗?
最后总结
许多公司没有进行全天候的安全管理,而且有时你可能是公司中唯一的网络安全人员;虽然你很容易被别的事情干扰而忽略了安全清单上的重要事项,但如果你没有首先制订一个安全列表,就永远不会知道你忽略了什么事情。在网络安全方面不能陷入被动境地——不要等到事情发生才采取行动。
上面的列表并不全面,而只是一个开端。针对公司的需求制订你自己的安全清单,主动保障网络的安全。
Mike Mullins曾在美国联邦特勤局与美国国防情报系统机构担任过助理网络管理员与网络安全管理员等职务。他目前为Southern Theater 网络管理安全中心主任。
责任编辑:张琎
查看本文国际来源
