1.建立多层防御

如今，企业应该遵循的最重要的网络安全最佳实践或许是投资多层防御策略，也称为纵深防御。这意味着企业需要部署多种类型的安全控制措施，例如用于保护网络安全的防火墙、用于保护单个设备的端点保护软件以及用于保护数据库的加密技术。

多层防御至关重要，因为它们有助于最大限度地降低违规行为的影响。例如，如果威胁行为者设法访问公司的内部网络，端点保护软件将有助于防止他们同时入侵公司的PC和服务器，而加密技术则可以降低他们发现并窃取敏感数据的可能性。

2.执行持续的漏洞扫描

另一项核心网络安全最佳实践是定期进行漏洞扫描。漏洞扫描可以识别已知易受攻击的软件。一些扫描程序还可以检测不安全的配置，例如匿名用户可以通过互联网访问的数据库。

企业应该部署持续扫描工具，以最大限度地发挥漏洞扫描的效果。这意味着，每当新的IT资产进入公司IT环境或现有资源状态发生变化时，都会进行扫描以识别是否存在风险。定期扫描可能不足以在威胁行为者利用风险之前检测到风险。

3.确保软件供应链安全

通常，组织面临的最大网络安全威胁并非源自其员工创建的IT资源，而是来自第三方资产，例如组织用于满足其应用程序软件依赖性要求的开源软件库。如果这些第三方资源存在漏洞，威胁行为者可能会利用它们来访问企业的IT环境。

减轻这些风险的实践被称为软件供应链安全，对于依赖第三方IT资源的组织来说，它是整体网络安全战略的重要组成部分。

虽然软件供应链安全工具和策略通常主要关注与第三方开源软件相关的风险，但也存在其他类型的潜在第三方风险，例如处理公司敏感数据但由外部供应商开发和管理的SaaS应用程序。验证这些类型资源的安全性也很重要。

4.定期备份数据

数据备份并不能阻止网络攻击，但它们在从某些类型的攻击中恢复方面发挥着关键作用——尤其是勒索软件攻击，威胁行为者会加密企业数据并要求付款以换取解密密钥。

有了数据备份，组织可以恢复系统，而无需支付赎金。这种方法既节省了资金，也有助于降低威胁行为者在知晓过去曾支付过赎金后继续攻击企业的风险。CyberEdge Group发布的2025年《网络威胁防御报告》发现，支付赎金的组织中只有54%恢复了数据。

为了最大限度地提高备份效率，组织的备份计划必须与其恢复时间目标和恢复点目标要求保持一致，这些目标定义了备份的频率以及组织的恢复速度。如果备份更新不够新，无法在不丢失关键数据的情况下成功恢复，或者恢复时间过长，导致企业损失大量收入或遭受重大声誉损害，那么在遭受勒索软件攻击后，备份将毫无意义。

5.隔离备份数据

威胁行为者知道企业通常会创建备份来保护自己免受勒索软件攻击。因此，攻击者经常会尝试销毁或加密备份，以此作为勒索软件攻击的一部分。

最佳做法是将备份数据存储在隔离位置，例如第三方数据中心或使用与网络断开连接的隔离存储设备。入侵公司主IT环境的攻击者将很难甚至无法通过这些方法访问备份数据。

图片

6.要求使用MFA并了解其局限性

MFA通过要求用户在访问资源之前完成多个身份验证步骤来帮助降低网络安全风险。启用MFA后，即使攻击者成功攻破一层访问权限（例如窃取用户密码），也不一定能够完成登录过程。在可行的情况下启用MFA是最佳做法，但在许多情况下，各种技术仍然允许威胁行为者绕过MFA。

虽然MFA是迈向强大网络安全态势的关键一步，但即使数据访问是通过MFA管理的，部署额外的保护措施（例如加密敏感数据）也至关重要。通过记录谁访问了哪些资源来审计登录活动，有助于发现异常的访问模式，例如来自从未连接到公司网络的IP地址的登录，这可能是试图绕过MFA的迹象。

7.定期进行网络安全培训

对员工进行网络安全最佳实践培训是最大程度降低安全风险的重要一步。培训应涵盖以下主题：如何识别和应对网络钓鱼攻击，以及为什么避免使用影子IT资源存储或处理组织数据至关重要。

安全培训应持续进行，培训内容也应根据组织面临的威胁或风险类型的变化而不断更新。例如，过去的反网络钓鱼培训往往强调充斥着语法错误的电子邮件很可能是网络钓鱼邮件。而人工智能让攻击者更容易生成更具说服力、写得更精良的网络钓鱼内容。现代网络钓鱼培训应与时俱进，以应对这一挑战以及其他与人工智能相关的新型网络钓鱼挑战。

8.测试员工安全意识

测试员工的安全准备情况也很重要，以确保他们学习并按照安全培训中传授的最佳实践行事。

理想情况下，测试应该采取动态、真实的评估形式，评估员工如何应对潜在的网络安全威胁。例如，公司可以生成模拟网络钓鱼邮件并将其分发给员工，以确定有多少人与他们互动。公司还可以通过电话向员工索取敏感信息，模拟语音钓鱼攻击，以评估员工对这种更复杂的网络钓鱼方法的脆弱程度。

9.模拟现实世界的攻击

组织应通过模拟针对公司整个IT基础设施的入侵尝试或攻击来评估其整体网络准备水平。

以下是进行此类模拟的三种常见方法：

渗透测试。该公司聘请了一家网络安全公司，试图发现并利用特定类型的风险，例如与网络或软件相关的漏洞。

红队演习。网络安全专家假扮成攻击者，试图使用他们选择的任何技术，在整个组织内寻找并利用任何类型的风险。与专注于评估一组预先定义的风险的渗透测试不同，红队演习是对组织整体准备程度进行更开放的评估。

入侵和攻击模拟(BAS)。IT部门或外部公司使用自动化工具查找并尝试利用安全漏洞。与红队演习类似，BAS专注于测试各种安全漏洞。但由于BAS工具依赖于自动化，因此这类演习的执行成本通常较低。

模拟攻击的最佳方式取决于组织在尝试发现自身安全漏洞时想要走多远，以及可以投入多少财务资源进行模拟。

10.管理物理安全风险

网络安全防御策略通常侧重于预防或减轻网络攻击的影响。然而，物理安全漏洞却日益增多。例如，威胁行为者可能会进入办公楼，使用U盘在公司电脑上植入恶意软件，从而攻击物理系统。他们还可能试图通过物理破坏网络基础设施来中断关键服务。

为了防范这些风险，部署足够的物理安全控制至关重要，例如限制谁可以物理访问公司设施以及使用安全摄像头监控异常活动。