微软年中审核了，国内企业能从中学到什么？

微软公司表示，现在已是2022 年的下半年，正好是审查公司计划、公司目标和网络风险的最佳时机。尤其是考虑到不断变化的威胁形势，比如越来越多的企业成为了勒索软件的攻击目标，这种种现象表明了勒索软件运营商正在寻找其他更有效的勒索方法或攻击手段，勒索软件的切入点也从电子邮件、网络钓鱼、未修补的漏洞等渐渐拓展向了更具针对性的区域。

而随着我国的快速发展，我国的网络系统逐渐变为承载全球关键业务的系统，并具有政府职能和公共职能，这也已经成为黑客攻击的重点。他们会想尽办法窃取我国政府的重要民生数据，让我们防不胜防。严重者甚至直接导致客户的系统负责人及相关领导因为反共黑客的攻击而被处罚或离开岗位。

目前，国内的网络安全形势十分严峻，周边APT组织、政治黑客长期觊觎我国的尖端科技，企业单位的网络安全不容忽视。据调查数据显示，有30%的央企互联网信息系统被境外黑客挂过政治标语。在演练活动中，最高有超过68%的央企和单位失手，超过300个系统被攻破。

考虑到以上种种，建议各企业在年中对于安全审查方面需加大力度，以确保自身不会受到安全风险的影响。

首先，企业需要审查来自于第三方的访问，因为攻击者常会扫描远程桌面协议（RDP）来进行访问，并同时也会使用凭证填充等暴力手段。攻击者们知道，人们倾向于重复使用他们从被盗数据库里所获取的凭证去访问企业的网络，这便是危害所在。

微软公司指出，他们会寻找更好的处理外部访问的方法，这源于他们最关心企业的流程和安全程序。微软建议，比如与外部人员打交道时，可以在合同中写下希望对方能使用的安全防护措施，无论是将它们包含在多因素身份验证 (MFA) 的计划中，还是至少打开防火墙以限制对特定网络的访问，企业都应该有一个包含在服务级别协议或合同中的安全程序，以决定外部人员该如何处理访问权限和凭证。微软公司认为，用户凭证不应该以不必要的方式从公司传递给外部人员，而存储这些凭证的方式应符合公司的政策和程序。

其次，企业需要审查安全扫描的结果，并确保它们能真正展示出公司外部资产的风险状况。比如微软举例的一家公司，这公司虽然对微软网络上的资源进行了外部扫描，但当微软查看他们扫描的结果时，却发现所扫描的内容并不包含微软公司网络外部的计算机。因此，该报告虽然有它的价值，但并没有对企业网络外部的风险进行相应的评估。

微软对此建议，在雇用任何渗透测试或外部扫描公司时，都得确保他们所提供的审查和可交付成果能够反映出企业网络的真实情况。而若自动扫描无法提供相应的、可靠的信息，那么它们将毫无价值。

在资产的维护过程中，很多客户往往没有非常清晰的概念，即内部到底有多少信息，这些信息又有多少是更新的，也就是说这些信息录入的更新度不够，维护度不够。这些缺少维护的信息往往不具备属性，即资产关系等不明确，信息完整度不够，缺少比较完整的内容。

同时，企业内部有很多临时资产，比如新员工、新访客，他们会通过WiFi接入到公司的网络。在网络平台里往往会有测试需要开放主机或者系统，这些测试的系统临时入网，它本身也会引入新的风险，如果没有很好的方法去感知这些新增的资源，那就会给安全资产管理带来很大的挑战，尤其是在风险层面、合规层面。因此，企业需要对自身的资产进行全面的审查。

另一方面，如果企业将自身资产迁移到了云端，也不要仅仅只是为本地数据、本地内容设置镜像。同时，使用过云平台资源的会比较清楚，比如在云上申请了大量的主机、容器、负载均衡等，这些资源是申请完之后可能会去释放，好比上午申请的资源下午就可能释放了。那在这样的过程中，得分析资产管理系统有没有实时感知到新开的资源，这其实是每一个新增资产的上限，需要对它做安全评估、做漏洞扫描。而如果不能第一时间感知到这些资产，那风险就是滞后的。

审查资源的设置方式、设置的权限以及谁应该对哪些资产拥有权限等，然后可以返回本地部署并查看哪些安全基线或 NIST 指南可以为企业的内部网络提供额外的强化。

攻击面是企业网络资产在未授权的情况下便能被访问和利用的所有切入点的总和，包括未经授权访问的硬件、软件和云环境等相关系统，也包括人、组织、业务等方面。而企业对在这方面的审查是为了让安全团队对暴露资产或攻击面进行科技的管理，同时从工具的视角去审视可能存在的切入点或脆弱性。

攻击面分为两个层面。第一个是内部资产攻击面管理，即从资产管理的角度把内部的所有资产通过终端设备、服务器、移动设备、应用程序等，用API的方式进行自动化的采集梳理，然后集中统一到资产库里，好让用户对这些资产进行标准化处理。

第二个是外部攻击面管理，即管理网页、外部应用、邮件、VPN、供应链、云服务、物联网设备等所有和外部有所交互的内容。因此，内部角度而言，要从内部脆弱性去评估有哪些资产有潜在的漏洞，或者去评估修复的优先级；而外部角度而言，就是对外部的一些威胁进行评估，评估其被利用的可能性。

对此，微软公司建议企业该将“减少攻击面”的措施部署到企业的工作规划中，并可将其视为 2022 年下半年的目标，同时企业需要测试和审查这些攻击面的影响。以下是微软所建议减少的攻击面：

阻止所有 Office 应用程序创建子进程。

阻止来自网络邮件的可执行内容。

阻止可执行文件运行，除非它们满足信任标准。

阻止执行可能被混淆的脚本。

阻止 JavaScript 或 VBScript 所下载的可执行内容。

阻止 Office 应用程序创建可执行内容。

阻止 Office 应用程序将代码注入其他进程。

阻止 Office 通信应用程序创建子进程。

阻止从 USB 里所运行的不受信任的进程。

阻止从 Windows 本地安全机构子系统 (lsass.exe) 窃取凭据。

阻止从 PSExec 和 WMI 所创建的进程。

企业需要审查网络是如何设置的。长期以来，大部分企业所设置的网络权限限制较少，甚至有些企业还会禁用网络内部的防火墙。审查企业内部是否在办公环境里设置好了安全措施，比如将防火墙设置为特定协议等。

同时还要审查密码的安全性，并考虑将 Azure AD 身份保护添加到现有的 Active Directory 中，以更好地识别网络中的弱密码。

企业需要审查备份的进程，在查看备份的过程中可以进行多个备份，比如将重要文件备份为两个不同的存储类型，或者至少要准备一个异地备份。

从近两年的互网情况来看，钓鱼攻击越来越多，究其原因主要是成本比较低，攻击者只要准备好一款免杀的病毒和木马就能施行钓鱼攻击。

针对钓鱼攻击，在技术方面可以对邮件服务器进行加固，可以看到在邮件的登录页面上都会有重要的防范钓鱼的提示。其次是制定应急预案，由于发现钓鱼攻击后，所涉及的部门比较多，从终端的人员到负责办公网的技术人员，包括邮件服务器端都可能会涉及，所以若没有合适的流程，所产生的沟通成本便会无限大。

在这方面，微软建议使用电子邮件过滤和安全扫描，以确保企业的电子邮件在进入办公场景前就能得到审查。电子邮件中包含的链接应在单击时进行扫描，如果稍后发现这些链接是恶意的，则应将其从收件箱中删除。

企业在处理补丁时，可以回顾一下自身在安全事件中曾经出现过的问题。如果企业的边缘设备没有补丁问题，那就可以优化边缘设备的更新时间，至少做到比更新有问题的设备时要快。同时，企业也需要审查补丁会带来哪些副作用，以及需要采取哪些缓解措施才能从这些问题中恢复。

安全漏洞防治现状的痛点。从宏观来讲，企业本身的管理制度、政策和方针是否支持是一大痛点，从“中观”来看，人员问题、能力问题、岗位职责和KPI也是问题，比如去管理漏洞肯定是安全部门的目标，但这恰恰不是应用开发团队的目标，因此企业的安全管理若无法从开发、运营入手，那漏洞就一定如影随形。再从微观来看，具体流程、操作规范等也需要施行到位，否则就都是痛点。

因此企业在年中阶段可以审查自身在哪些方面已经做好了防治工作，哪些还需要长久更新。而对于自身的防治水平该如何衡量，我们可以将时间、成本、质量所形成的约束条件引用到漏洞的防治水平上，对应为时间、成本和容量。防治水平里的时间即平均检测漏洞的时间和找到漏洞后的平均修复时间。成本即人力所对应的服务器、所处理的漏洞数量是否合理。容量分为两点，其一是最多经得起多少漏洞同时冲击，其二是漏洞修复处置的上限。

在修补漏洞阶段，资产管理支撑要做好，这样才能第一时间分配到负责人，同时要求安全团队、开发团队和运营团队之间的协作要到位，如此才能第一时间出解决方案，建立在这样的基础上，企业才能够第一时间对漏洞进行处置。

对于企业应该从哪几个方面进行网络安全审核，国内安全专家如此建议。

某投控集团安全负责人姜山例举了八个方面：

一、安全设备防护策略

检查安全设备安全策略，包括ACL、拦截规则、告警规则、白名单规则、日志规则等，检核各类安全设备以既定的规则可靠的运行。

二、资产暴露面

对外风险暴露面的情况，包括业务系统、VPN、FTP等对外开放的业务以及相应的访问控制策略，包括存在的公有云、混合云资产。

三、漏洞和补丁

检查安全漏洞扫描结果和修复情况，包括已发现/已修复/未修复漏洞，明确漏洞修复情况并以此指定有效的漏洞修复相关策略。

四、访问控制权限

开展各类资产的用户管理、登录控制、权限管理相关策略，特别是特权帐号和第三方帐号。

五、风险清单

根据风险评估结果，检视风险处置情况和潜在风险，了解整体风险情况并为下一步工作提供方向。

六、终端安全策略

终端安全软件覆盖率及终端安全策略，确保终端收到有效的管控。

七、备份策略

配置和数据得到有效的备份，并进行了恢复测试，确保备份和恢复策略生效。

八、安全事件处置

安全事件是否进行有效的分析和处置，包括安全应急相关策略、人员违规行为、产生负面影响的安全攻击行为等。

而其中姜山觉得最重要的是风险清单、访问控制策略及资产暴露面。

某集团安全专家梁龙亭将网络安全审查分为了三大部分，即“管理”部分，“技术”部分，以及他一直呼吁的应与前两者并驾齐驱的的“法律合规”部分。

具体来说（按照等保2.0的思路），“管理”包括安全管理制度，安全管理机构，安全管理人员，安全建设管理，安全运维管理；“技术”包括安全物理环境，安全通信网络，安全区域边界，安全计算环境，安全管理中心。

“至于什么是最重要的，我想说，鉴于等级保护建设早已进入成熟期，国外安全专家所提的这几点的重要性也早已不言而喻，所以，我还是想借此机会继续奔走呼号，企业是时候把“法律合规”建设提高到一个‘战略’地位了！众所周知，《网安法》，《数安法》，《个保法》，《网络安全审查办法》等已颁布实施，《数据出境安全评估办法》也即将施行，CISO应该积极作为，牵头联动法务、内控部门，主动挑起公司法律法规安全风险审核的大梁。比如公司的人脸识别系统的合法性，数据出境的合法性，收集使用个人信息的合法性，电子签名的合法性等等，都是当务之急，而且极易触犯法律红线的，应尽早立项，降低风险。”

某电商公司安全专家杨文斌同样将网络安全审核分成了几类：

合规审核：合规是企业存在的底线，需要充分解读国家和行业政策，认真落实相关要求，确保企业不会触碰红线。

架构审核：定期审核网络安全架构的合理性，及时补充和删减相关岗位资源。

流程审核：随时验证流程是否需要修订完善，确保流程的目标是为了提质增效。

预算审核：网络安全的预算是非常金贵的，预算必须用在刀刃上，避免资源浪费。

文化审核：企业必须时刻反省网络安全文化，做到预防为主，从员工自身做起。

“我认为其中最重要的审核是合规审核和文化审核，因为只有保证企业业务发展过程中不触犯法律红线，才能健康稳定发展；只有员工持续沉淀积累网络安全意识形成网络安全文化，才能持续长久的开展网络安全建设，有效赋能业务发展。”