的第三方供应商弗斯特说。很多时候机构保护自己的基础设施安全却没有意识到第三方提供的解决方案会给安全系统带来严重漏洞。对于所有第三方供应商我们确实需要确保阐明我们的要求和期望。然后我们需要有能力监控和审计它们图希尔表示同意。白名单应用程序。各机构应评估其网络中运行的每个应用程序并仅批准那些符合操作和安全标准的应用程序。序白名单美国网络应急准备小组和工业控制系统计算机应急响应小组应对的大量事件是可以避免的。确保正确的配置。
和补丁管理。再次提到表示团队在的情况下对问题进行事件响应如果该机构保持适当的修补和配置这些问题本可以避免。这需要部门主动管理和部署安全升级。减少攻击面。随着网络和端点的扩展产 手机号码数据 生可供利用的漏洞的可能性也在增加。图希尔简单地解释了这种缓解策略不要把不需要的东西放在那里他说。我们可以保留开放政府的理念同时仍然确保我们严格控制只有那些需要信息的人才能获取信息。管理身份验证。图希尔表示去年违规事件中最大的教训之一是需要更好的用户验证。他将其描述为确保。
访问网络及其信息的人不仅获得授权而且经过身份验证。特别是国土安全部鼓励组织采用多因素身份验证以确保适当的访问。实施安全远程访问。这种多因素身份验证也应该推广到网络外围以确保远程访问也是安全的。这有助于弥补我们在公共和私营部门的许多不同违规行为中看到的漏洞。图希尔说。监控并响应。最后各机构应持续监控整个网络并制定计划对事件进行实时反应。该部门的持续诊断和缓解计划是该计划的基石。这七种做法帮助机构和私营部门组织采取基于风险的网络安全方法。图希尔表示这是。 |