本文来自微信公众号“安全牛”。
研究显示,随着远程办公人员数量、云计算应用和SaaS化服务使用量的不断增加,现代企业的数字攻击面也在持续性扩大。尽管这并不奇怪,但值得警惕的是,很多企业的安全团队难以跟上数字环境快速扩张和不断变化的步伐,缺乏对其有效管理的工具和流程,结果导致了风险暴露和安全控制能力之间存在巨大差异。
攻击面扩大的风险和漏洞
数字攻击面包括了错综复杂的在线资产和庞大的数字供应链,是网络犯罪分子重点关注的攻击目标。研究发现,目前企业数字环境中最常见的攻击面风险和漏洞包括以下类型:
1、配置错误
现代企业需要快速、轻松、廉价地扩展数字基础设施,因此不断采用新的技术和产品,并有意将计算和数据扩展到IT部门的管理范围之外。这些举措虽然增强了企业的业务运营能力,但也带来了新的漏洞。数据显示,配置错误已经成为企业数字化发展中最普遍的安全隐患和漏洞。连缺乏经验的黑客也可以轻松发现错误配置很容易钻空子。
事实上,在许多企业的网络中,还仍然存在大量长期未使用的服务器、系统和应用程序等,这些资产使用过时的软件,缺少甚至完全没有日常安全维护,并长期暴露在网络攻击者面前。
2、访问控制不足
虽然现代企业都在不断完善网络应用系统访问的安全性,但攻击者仍有办法找到并利用与访问控制授权相关的漏洞。此外,很多云服务商的安全措施常常不够有效,脆弱的云授权方法也难以阻止攻击者在进入云后提升权限,扩大对敏感数据的访问权。由于如今的云服务具有易用性和简单性,这样很多非专业技术人员也可以在云端配置IT应用服务,但这将不可避免地导致安全性疏忽和错误配置。
3、第三方Web应用和系统
Web应用程序中存储和共享大量敏感数据,包括电子邮件地址、密码和信用卡号等。这些Web应用程序会与多个第三方系统和服务交互或连接,这无疑会进一步加大了访问该服务的攻击面。攻击者正在密切关注数字供应链中的攻击途径,包括通过SQL注入攻击获得的漏洞、权限配置错误以及身份验证缺陷等,获得数据访问权限。因此,现代企业不仅需要保护自己组织的应用程序,每个相关联的Web应用程序和第三方系统也都需要受到保护。
4、DNS劫持
域名系统(DNS)是互联网数据访问的基础性部分,但由于其在设计时并未考虑可能的安全风险,因此其天然就易受网络攻击。如今,几乎每家企业都在其数字供应链中使用各种DNS服务器,因此攻击者已将DNS服务器视为非常具有吸引力的攻击目标,通过漏洞利用就可以劫持系统,这样就可以获得类似“内部人员”等级的信任度,并以此轻松发动网络攻击。
5、邮件系统
电子邮件是企业组织最常用的业务沟通方式之一。电子邮件易于访问和使用,这也让它容易受到网络攻击。每家组织使用不同的内外电子邮件服务器进行日常通信,这意味着电子邮件安全保护方面的最佳实践会因公司和服务商而不同。网络攻击者经过训练,可以识别易受攻击的电子邮件服务器,并发起企图接管的活动。一旦他们进入电子邮件服务器,就会向他们能够接触到的任何人实施基于电子邮件的钓鱼攻击。
6、影子IT
影子IT指组织的员工在未经IT团队批准的情况下使用的信息化技术,包括系统、软件、应用程序和设备。近年来,随着员工在家中使用个人设备登录办公,影子IT大行其道。员工经常通过云存储来迁移工作负载和数据,却不了解相关的安全标准和风险,组织的安全团队也没有给予密切关注。与此同时,由于影子IT的性质,IT和安全部门难以对这些设备漏洞进行有效的监控和管理,因此往往不能及时了解安全事件的攻击过程。
7、未管理的资产
全球连接互联网的计算设备数量达到数十亿,增长速度惊人,这主要是因为现代企业数字化转型发展的速度之快前所未有。显然,管理这么多的网络连接需要一个大型的、复杂的、分布式的、专门构建的基础设施。而事实上,在许多企业的网络中,仍然存在大量长期未使用的服务器、系统和应用程序等,这些资产使用过时的软件,缺少甚至完全没有日常安全维护,并长期暴露在网络攻击者面前。
缩小攻击面的安全控制措施
安全控制是指企业为缩小攻击面、减少网络安全威胁、保护敏感数据而实施的系列技术措施。它们是为缓解数字化应用的风险而设计的。根据近年来企业攻击面管理的最佳实践,安全研究人员总结了能够有效缩小数字攻击面的10种安全控制措施。
1、纵深防御
在网络安全领域中,纵深防御代表着一种更加系统、积极的防护战略,它要求合理利用各种安全技术的能力和特点,构建形成多方式、多层次、功能互补的安全防护能力体系,以满足企业安全工作中对纵深性、均衡性、抗易损性的多种要求。目前,纵深防御已经成为现代企业网络安全建设中的基本性原则之一。
2、最小特权原则
最小特权原则(POLP)旨在为每个用户提供仅限于完成任务所需的系统和数据访问权限,是任何身份和访问管理(IAM)策略中的最佳实践。执行POLP意味着消除长期性的特权使用,特权账户并不可以被无限制地赋予不需要的管理权限,从特权账户建立开始,就需要对其进行合理的权限使用限制。在权限提升时,应该有非常具体的理由才有望批准,还要有约束属性,比如位置、设备和操作类型。
3、最小功能原则
最小功能原则同样属于“最小必要”理念的范畴,主要与系统的配置和设计有关。它并不会限制用户的访问行为,而是将系统的功能限制于进行授权活动所必需的范围内,禁止或限制使用和访问任何非必要的服务和功能。例如,如果某计算设备只安装必要的软件应用程序、开启必要的服务、敞开必要的端口,就能够限制网络犯罪分子的潜在攻击手段,缩小了攻击面。此外,当系统只有必要功能时,由于需要更新和修补的软件更少,因而更容易维护。
4、零信任策略
零信任技术自从诞生之日起就备受关注,被认为是网络安全技术发展的颠覆性创新理念。目前,零信任策略已经成为企业确保网络安全有效性、减小攻击面的最佳实践之一。不过,构建零信任安全并不容易,对于许多企业来说,零信任的建设需要全面改变架构、流程和安全意识,这不是一蹴而就的改变,而是一个循序渐进的过程。
5、网络分段
网络分段与零信任策略密切相关,企业应该根据信任级别和数据敏感度将网络划分为更小的隔离区域,并部署严格的网络访问控制和防火墙以限制网段间通信。它还需要使用VPN等安全连接,以远程访问敏感数据或系统。通过将网络或基础设施的不同区域隔离开来,企业可以为潜在的网络攻击活动设置更多障碍。
6、DevSecOps
软件应用程序应该尽量减少不安全或暴露的代码,这样可以减少安全漏洞并降低攻击者利用漏洞的可能性。在软件供应链安全建设实践中,DevSecOps平衡了代码开发过程中敏捷和安全的需求,逐渐被行业接受和认可,加速DevSecOps的落地实践,可以成为帮助企业缩小数字攻击面的重要抓手。
7、数字资产管理
对于网络攻击者来说,未使用和废弃的数字化资产都是可供利用的攻击面,包括计算设备、应用程序和数据存储库等。如果这些资产仍然连接了敏感系统和数据时,情况将更加严重。企业需要有效管理各类数字资产,移除不再使用或没有必要的资产。此外,系统和应用程序中的冗余功能也会为攻击者提供了更多的潜在入口点。消除冗余功能不仅可以减小攻击面,还可以为用户简化流程。
8、API安全
在数字化时代,几乎所有的企业都需要依赖大量API进行服务连接、数据传输和系统控制,在此背景下,确保各类API的安全应用也变得越来越重要。然而,有很多企业还没有对API应用存在的安全威胁给予足够重视,这也导致了攻击面不断扩大。企业应该尽量减少第三方API服务的使用数量,并确保所有API得到充分保护,这有助于缩小数字攻击面。
9、补丁管理
未打补丁的软件系统是攻击者最常利用的攻击面漏洞之一,也是最容易应对的漏洞之一。因此,企业应该采取合适的策略和机制,解决这些缺陷可能造成的安全问题。通过采取正确有效的补丁管理策略,企业不仅可确保业务软件和底层基础架构没有错误和漏洞,还可以循序渐进地降低严重网络安全事件发生的概率,同时也有助于企业进行后续的回顾管理和安全审核。
10、网络安全意识培养
尽管存在种种技术漏洞,但人依然是网络安全中最薄弱的环节。企业可以限制用户对某些系统和数据的访问,却难以阻止员工可能会犯的每个人为性错误。因此,持续的员工网络安全意识培训是减小数字攻击面最重要的安全控制之一。现代企业中的每一位员工都应该定期接受网络安全意识培训,以识别网络钓鱼等攻击企图,了解哪些数据很敏感,了解潜在的风险和漏洞,并了解如何遵循确保敏感数据安全的最佳实践。尽管人为性错误难以避免,但能通过适当的教育和培训,可以大大降低导致数据泄露危害发生的可能性。