美國國安局建議的十大資安防護策略

美國國安局建議的十大資安防護策略

我們嘗試簡單摘要10點如下，提供各位朋友們參考。

1. Application Whitelisting: 採用應用程式白名單，僅許可的白名單可以執行，以達到主動式的安全防護(例如達友代理的 Sophos 之 Server Protection)

2. Control Administrative Privileges: 針對特殊管理權限(特權帳號) 進行控管 (例如 ANCHOR, Xceedium 等方案)

3. Limit Workstation-to-Workstation Communication: 限制或減少內網電腦對電腦之間的連線

4. Use Anti-Virus File Reputation Services: 利用防毒系統的檔案信用評等，例如類似 VirusTotal 的資安情資服務

5. Enable Anti-Exploitation Features: 於端點防止惡意程式啟動的偵測，例如端點沙箱或其他技術 (Forcepoint/原為Raytheon | Websense 的 SureView Memory Integrity, 或 Sophos 的 Server Protect)

6. Implement Host Intrusion Prevention System (HIPS) Rules: 本機型入侵偵測

7. Set a Secure Baseline Configuration: 制定 Configuarion 管理方法，並制定內部安全配置基準(Baseline)

8. Use Web Domain Name System (DNS) Reputation: 利用網域信用評等服務 (例如 Infoblox 的 DNS Firewall，或 Websense Web Security Gateway)

9. Take Advantage of Software Improvements: 勤於進行作業系統與各種軟體的資安漏洞修補與管理。

10. Segregate Networks and Functions: 在網路的架構上，或作業流程上，重要的服務考慮將功能或流程進行拆分區隔，以避免一個部分被入侵就全盤被掌控。(可以參考達友代理的 Sophos UTM 進行內部不同風險等級的網路之區隔)