本文來自安全牛。
據(jù)Randori與ESG聯(lián)合開展的《2022年攻擊面管理現(xiàn)狀報告》數(shù)據(jù)顯示,在過去一年中,隨著遠程辦公人員數(shù)量、云解決方案和SaaS應用程序使用量的不斷增加,企業(yè)組織的網(wǎng)絡應用攻擊面進一步擴大。從表面上看,攻擊面擴大并不奇怪,因為世界一直朝著更為互聯(lián)和分散的方向發(fā)展,連接到互聯(lián)網(wǎng)的計算設備自然會持續(xù)性增加。
但值得警惕的是,很多企業(yè)的安全團隊難以跟上數(shù)字環(huán)境快速擴張和不斷變化的步伐,因為缺乏對其有效管理的工具和流程,結(jié)果導致了暴露給攻擊者的漏洞與安全團隊已知的風險之間存在巨大差異。
以下梳理總結(jié)了現(xiàn)代企業(yè)在數(shù)字攻擊面方面最常見的7種風險和挑戰(zhàn):
01
脆弱的訪問控制管理
雖然現(xiàn)代企業(yè)都在不斷完善網(wǎng)絡應用系統(tǒng)訪問的安全性,但攻擊者仍有辦法找到并利用與訪問控制授權相關的漏洞。此外,很多云服務商的安全措施常常不夠有效,脆弱的云授權方法也難以阻止攻擊者在進入云后提升權限,擴大對敏感數(shù)據(jù)的訪問權。由于如今的云服務具有易用性和簡單性,這樣很多非專業(yè)技術人員也可以在云端配置IT應用服務,但這將不可避免地導致安全性疏忽和錯誤配置。
02
易受攻擊的域名系統(tǒng)
域名系統(tǒng)(DNS)是互聯(lián)網(wǎng)數(shù)據(jù)訪問的基礎性部分,但由于其在設計時并未考慮可能的安全風險,因此其天然就易受網(wǎng)絡攻擊。如今,幾乎每家企業(yè)都在其數(shù)字供應鏈中使用各種DNS服務器,因此攻擊者已將DNS服務器視為非常具有吸引力的攻擊目標,通過漏洞利用就可以劫持系統(tǒng),這樣就可以獲得類似“內(nèi)部人員”等級的信任度,并以此輕松發(fā)動網(wǎng)絡攻擊。
03
第三方Web應用與系統(tǒng)
幾乎所有的現(xiàn)代企業(yè)都需要利用Web應用程序進行關鍵業(yè)務運營,這意味著要在其中存儲和共享大量敏感數(shù)據(jù),包括電子郵件地址、密碼和信用卡號等。這些Web應用程序會與多個第三方系統(tǒng)和服務交互或連接,這無疑會進一步加大了訪問該服務的攻擊面。攻擊者正在密切關注數(shù)字供應鏈中的攻擊途徑,包括通過SQL注入攻擊獲得的漏洞、權限配置錯誤以及身份驗證缺陷等,獲得數(shù)據(jù)訪問權限。因此,現(xiàn)代企業(yè)不僅需要保護自己組織的應用程序,每個相關聯(lián)的Web應用程序和第三方系統(tǒng)也都需要受到保護。
04
不安全的郵件服務
電子郵件仍然是企業(yè)員工、客戶、合作伙伴之間最流行的業(yè)務溝通方式之一。電子郵件易于訪問和使用,這也讓它容易受到網(wǎng)絡攻擊。每家組織使用不同的內(nèi)外電子郵件服務器進行日常通信,這意味著電子郵件安全保護方面的最佳實踐會因公司和服務商而不同。網(wǎng)絡攻擊者經(jīng)過訓練,可以識別易受攻擊的電子郵件服務器,并發(fā)起企圖接管的活動。一旦他們進入電子郵件服務器,就會向他們能夠接觸到的任何人實施基于電子郵件的釣魚攻擊。
05
失去控制的影子IT
影子IT指組織的員工在未經(jīng)IT團隊批準的情況下使用的信息化技術,包括系統(tǒng)、軟件、應用程序和設備。近年來,隨著員工在家中使用個人設備登錄辦公,影子IT大行其道。員工經(jīng)常通過云存儲來遷移工作負載和數(shù)據(jù),卻不了解相關的安全標準和風險,組織的安全團隊也沒有給予密切關注。有時,員工在創(chuàng)建公服務時可能配置出錯,導致漏洞被利用。與此同時,由于影子IT的性質(zhì),IT和安全部門難以對這些設備漏洞進行有效的監(jiān)控和管理,因此往往不能及時了解安全事件的攻擊過程。
06
海量的聯(lián)網(wǎng)資產(chǎn)和設備
目前,全球連接互聯(lián)網(wǎng)的計算設備數(shù)量達到數(shù)十億,增長速度驚人,這主要是因為現(xiàn)代企業(yè)數(shù)字化轉(zhuǎn)型發(fā)展的速度之快前所未有。顯然,管理這么多的網(wǎng)絡連接需要一個大型的、復雜的、分布式的、專門構(gòu)建的基礎設施。而事實上,在許多企業(yè)的網(wǎng)絡中,仍然存在大量長期未使用的服務器、系統(tǒng)和應用程序等,這些資產(chǎn)使用過時的軟件,缺少甚至完全沒有日常安全維護,并長期暴露在網(wǎng)絡攻擊者面前。
07
云計算的責任共擔模式
云計算(無論公有云還是私有云)為組織更新和發(fā)展數(shù)字化基礎設施提供了一種快速、簡單且便宜的方式。不過美國國家安全局(NSA)表示,隨著組織進一步將業(yè)務和數(shù)據(jù)上云后,同時也將自己置于更大的風險環(huán)境之中。云服務提供商都使用云安全共擔責任模型,比如谷歌云、亞馬遜云和微軟Azure云。因此,云應用的大部分安全責任仍然需要由使用這些云的企業(yè)來承擔。比較復雜的是,不同的云服務商所提供的安全承諾和服務各不相同,這就給多云應用的企業(yè)帶來困擾,因為需要針對不同的云上數(shù)據(jù)和應用分別制定不同的安全策略。