今天,我们将继续探讨地区可以用来提高其NIST合规性的一系列实际步骤. 查看完整的NIST控件集可能是一种令人生畏的体验. 我们发现使这些网络安全改进更容易实现的最佳方法之一是遵循CIS控制前20名列表, 能很好地映射到NIST吗. CIS还将控件列表划分为三个实现组, 属于“从这里开始”的第一组, 一个更“先进”的组2, 当这一切完成后,就可以获得完整的“忍者身份”,“移到第三组. 本系列将重点介绍“从这里开始”的第1组项目.
今天的主题是关于基于主机的保护, 管理(跟踪/控制/纠正)港口正在进行的操作使用的一部分, 协议, 以及网络设备上的服务,以尽量减少攻击者可利用的漏洞. 此控制的实现组1 (IG1)需求有一个单独的操作项:
行动项#1 -应用主机防火墙或端口过滤-在终端系统上应用主机防火墙或端口过滤工具, 使用默认拒绝规则丢弃所有流量,除了那些明确允许的服务和端口.
这里的要求是在所有端点设备上, 无论是服务器还是工作站, 您正在运行一些控制实用程序,该实用程序将工作站的入站和出站通信限制为仅运行设备上安装的应用程序所需的那些端口和协议. 这里的目标是限制攻击者或其他恶意软件利用设备之间的开放端口和协议的能力,以促进其在网络中的操作和分发.
对于大多数使用windows服务器和工作站的人来说, 显而易见的答案是嵌入式窗户。防火墙服务. 通过AD组策略最容易配置和调整此服务.
Linux类型的设备, 最常用的工具是“iptables”,用于在Linux机器上配置防火墙规则.
对于那些感兴趣的人来说,有一些替代的供应商选择可以提供板载操作系统防火墙的替代接口或完整的替代防火墙.
所有这一切的关键是花时间进行尽职调查,正确配置基于主机的防火墙,以便您的应用程序按预期运行,同时最大限度地减少主机的攻击面.
一如既往地, 如果您正在寻求在网络中部署基于主机的防火墙策略的帮助, APP客户端的团队. 我们很乐意帮助您开始.
鲍勃·克纳普 |
最近的评论