關(guān)于網(wǎng)絡(luò)攻擊面���,企業(yè)應(yīng)該仔細(xì)思考的10個問題
2023年09月19日
網(wǎng)絡(luò)攻擊面已經(jīng)成為現(xiàn)代企業(yè)的安全領(lǐng)導(dǎo)者重點(diǎn)關(guān)注的防護(hù)領(lǐng)域����,根據(jù)Censys公司最新發(fā)布的《2023年企業(yè)安全領(lǐng)導(dǎo)力狀況調(diào)查報告》數(shù)據(jù)顯示���,幾乎所有(93%)的受訪CISO都表示遭受過一次以上的網(wǎng)絡(luò)攻擊��,而了解和管理組織的攻擊面將是他們未來12個月中的首要任務(wù)���,因?yàn)殡S著網(wǎng)絡(luò)威脅態(tài)勢的不斷加劇,如果不能準(zhǔn)確掌握組織內(nèi)外部的所有資產(chǎn)及其中的脆弱性���,就無法進(jìn)行更有效地威脅防御工作�。
研究人員同時發(fā)現(xiàn)�,盡管很多企業(yè)已經(jīng)開始高度關(guān)注網(wǎng)絡(luò)攻擊面的監(jiān)測與管理,但是對自身網(wǎng)絡(luò)攻擊面的了解程度卻遠(yuǎn)遠(yuǎn)不夠��。持續(xù)而準(zhǔn)確地理解攻擊面絕非易事�,企業(yè)在正式開展攻擊面管理工作之前,應(yīng)該仔細(xì)思考以下10個問題:
1��、組織有哪些面向互聯(lián)網(wǎng)的資產(chǎn)�����?
這是所有企業(yè)的安全負(fù)責(zé)人都需要能夠明確回答的基礎(chǔ)問題�。企業(yè)只有知道所有數(shù)字資產(chǎn)的位置,才能更好地確定安全團(tuán)隊(duì)的注意力和資源分配到哪里�����。對于還沒有部署應(yīng)用攻擊面管理解決方案的團(tuán)隊(duì)來說���,往往很難回答出這個問題��。因?yàn)榕c過去相比��,“資產(chǎn)位于哪里”包含了更多的內(nèi)容:固定IP地址正逐漸遷移至云端����,越來越多的員工使用遠(yuǎn)程設(shè)備,位置的分散使安全團(tuán)隊(duì)難以準(zhǔn)確地管理和清點(diǎn)自己的資產(chǎn)�����,這些挑戰(zhàn)也引出了下一個重要的攻擊面問題�。
2、在組織的攻擊面上有哪些未知的資產(chǎn)�?
企業(yè)的安全團(tuán)隊(duì)往往認(rèn)為他們能夠全面掌握組織的所有資產(chǎn),但實(shí)際上�����,研究人員發(fā)現(xiàn)攻擊面上占比約43%的資產(chǎn)是用戶并不知道的����,而這些未知或未管理的資產(chǎn)正是攻擊者的主要攻擊目標(biāo)。報告研究發(fā)現(xiàn)��,69%的組織承認(rèn)因?yàn)槲粗Y產(chǎn)被入侵而遭受了損失���。如果企業(yè)不知道自己擁有什么���,如何保護(hù)它呢��?
3.組織攻擊面視圖的更新頻率是多少���?
現(xiàn)代企業(yè)的數(shù)字資產(chǎn)每天都在變化�,陳舊的數(shù)據(jù)無法驅(qū)動新一代威脅防護(hù)技術(shù)的應(yīng)用。如果只是間歇性地或每周進(jìn)行一次攻擊面態(tài)勢掃描���,那么很多先進(jìn)的安全防護(hù)措施將會難以落地實(shí)現(xiàn)��。研究人員發(fā)現(xiàn)���,互聯(lián)網(wǎng)上的惡意掃描時間間隔平均為三分鐘,相比之下���,只有14%的企業(yè)組織會持續(xù)性地進(jìn)行攻擊面監(jiān)控掃描���。
4.企業(yè)安全團(tuán)隊(duì)?wèi)?yīng)該優(yōu)先處理哪些風(fēng)險?
盡管企業(yè)暴露的IT資產(chǎn)很多���,但攻擊者并不會對所有的資產(chǎn)漏洞都感興趣��,他們會從那些最容易被利用的弱點(diǎn)切入��,進(jìn)而攻破重要系統(tǒng)�����,造成數(shù)據(jù)泄露�。因此,企業(yè)安全團(tuán)隊(duì)不能將時間和資源浪費(fèi)在處理誤報和低風(fēng)險的事情上���,而是要將有限的資源和精力�����,優(yōu)先投入到防護(hù)最緊急的威脅���。為了在高風(fēng)險威脅爆發(fā)之前采取行動,企業(yè)需要回答哪些資產(chǎn)存在關(guān)鍵的暴露面�����,企業(yè)是否有足夠的洞察力來確定風(fēng)險處置的優(yōu)先級���?
5.企業(yè)是否有云上所有資產(chǎn)的完整視圖���?
當(dāng)前���,多云和混合云的采用率仍然在持續(xù)上升,隨著組織將更多業(yè)務(wù)資產(chǎn)遷移到多云環(huán)境中��,而相應(yīng)的安全管理能力卻很難及時跟上����。這會造成一些問題�,因?yàn)槲垂芾淼脑瓶赡軙?dǎo)致影子 IT 的出現(xiàn),從而為威脅行為者敞開大門�����。本次報告所調(diào)研的一家大型企業(yè)組織就表示�����,通過資產(chǎn)梳理后發(fā)現(xiàn)�,有超過600個云資產(chǎn)是在他們監(jiān)控之外的,比企業(yè)資產(chǎn)管理臺賬中記錄的在線資產(chǎn)多出了80%��。
6.攻擊面上是否存在安全合規(guī)性風(fēng)險?
現(xiàn)在的企業(yè)組織在數(shù)字化發(fā)展過程中�����,都需要遵守大量的安全監(jiān)管要求和法規(guī)��,因?yàn)楸3趾弦?guī)對業(yè)務(wù)穩(wěn)定開展非常重要���,否則將會面臨數(shù)據(jù)泄露和監(jiān)管罰款的風(fēng)險�。保持合規(guī)很大程度上取決于您能否有效地跟蹤和監(jiān)控那些處于網(wǎng)絡(luò)攻擊面上的暴露性資產(chǎn)����。企業(yè)該如何獲得確保合規(guī)性所需的全面和持續(xù)的資產(chǎn)可見性?企業(yè)是否具有自動化生成安全審計報告的能力��?
7.企業(yè)攻擊面上的資產(chǎn)是如何相互連接的�����?
只有了解各類數(shù)字資產(chǎn)的連接方式�����,安全團(tuán)隊(duì)才能更好地識別網(wǎng)絡(luò)中最容易受攻擊者入侵的地方��,如果攻擊者可以通過網(wǎng)絡(luò)中的一個資產(chǎn)間接攻擊或損害其他的關(guān)鍵資產(chǎn),他們就會不斷嘗試找到可行的攻擊方法���。畢竟����,如果給予攻擊者一點(diǎn)機(jī)會��,他們就會乘虛而入����。這也說明了為什么建立和應(yīng)用零信任安全框架非常重要。
8.企業(yè)的網(wǎng)絡(luò)攻擊面是如何變化的����?
持續(xù)觀察企業(yè)網(wǎng)絡(luò)攻擊面的變化��,對企業(yè)建立良好的網(wǎng)絡(luò)衛(wèi)生環(huán)境非常重要:首先���,企業(yè)能夠以此來衡量攻擊面可能擴(kuò)大或縮小的程度�。如果變化程度超出預(yù)想��,那么跟蹤這些變化可以為安全團(tuán)隊(duì)提出需要解決的問題����;其次�,了解資產(chǎn)的變化規(guī)律可以幫助安全團(tuán)隊(duì)更好地調(diào)查威脅����,例如通過索引字段和多年積累的歷史數(shù)據(jù),獲得攻擊事件調(diào)查的更多背景信息�����。
9.企業(yè)的網(wǎng)絡(luò)攻擊面上是否存在人為的錯誤配置����?
報告研究人員發(fā)現(xiàn),配置錯誤是企業(yè)網(wǎng)絡(luò)環(huán)境中最常見的安全風(fēng)險類型�。事實(shí)上,當(dāng)前企業(yè)所存在的網(wǎng)絡(luò)風(fēng)險中��,60%都會和配置錯誤有關(guān)聯(lián)����。如果企業(yè)的安全團(tuán)隊(duì)準(zhǔn)確知道配置錯誤存在的位置,就能夠很容易地規(guī)避大量的風(fēng)險隱患��,但是前提是�,安全團(tuán)隊(duì)需要能夠知道配置錯誤究竟有多少�����,并且存在于什么地方����。如果不能全面地了解網(wǎng)絡(luò)攻擊面��,那么這些由于錯誤配置導(dǎo)致的安全風(fēng)險就可能會長期存在���,使攻擊者有機(jī)可乘����。
10.企業(yè)分支機(jī)構(gòu)的資產(chǎn)狀況如何����?是否會對組織構(gòu)成風(fēng)險?
在現(xiàn)代企業(yè)的發(fā)展中���,經(jīng)常遇到設(shè)立分公司或并購其他公司等情況。然而很多企業(yè)在開展網(wǎng)絡(luò)安全防護(hù)工作時�����,往往忽略了分支機(jī)構(gòu)或并購企業(yè)可能帶來的網(wǎng)絡(luò)安全風(fēng)險。組織可能已經(jīng)掌握了集團(tuán)總部的攻擊面對那些要收購的公司是否掌握了他們的攻擊面呢�?當(dāng)并購活動完成后,一些原來未知的網(wǎng)絡(luò)風(fēng)險可能會使你的組織處于脆弱的境地�����。本次調(diào)查發(fā)現(xiàn)�����,40%的受訪者表示在整合被收購公司的過程中發(fā)現(xiàn)了新的網(wǎng)絡(luò)安全問題�。
