本文来自微信公众号“安全牛”。
网络攻击面已经成为现代企业的安全领导者重点关注的防护领域,根据Censys公司最新发布的《2023年企业安全领导力状况调查报告》数据显示,几乎所有(93%)的受访CISO都表示遭受过一次以上的网络攻击,而了解和管理组织的攻击面将是他们未来12个月中的首要任务,因为随着网络威胁态势的不断加剧,如果不能准确掌握组织内外部的所有资产及其中的脆弱性,就无法进行更有效地威胁防御工作。
研究人员同时发现,尽管很多企业已经开始高度关注网络攻击面的监测与管理,但是对自身网络攻击面的了解程度却远远不够。持续而准确地理解攻击面绝非易事,企业在正式开展攻击面管理工作之前,应该仔细思考以下10个问题:
1、组织有哪些面向互联网的资产?
这是所有企业的安全负责人都需要能够明确回答的基础问题。企业只有知道所有数字资产的位置,才能更好地确定安全团队的注意力和资源分配到哪里。对于还没有部署应用攻击面管理解决方案的团队来说,往往很难回答出这个问题。因为与过去相比,“资产位于哪里”包含了更多的内容:固定IP地址正逐渐迁移至云端,越来越多的员工使用远程设备,位置的分散使安全团队难以准确地管理和清点自己的资产,这些挑战也引出了下一个重要的攻击面问题。
2、在组织的攻击面上有哪些未知的资产?
企业的安全团队往往认为他们能够全面掌握组织的所有资产,但实际上,研究人员发现攻击面上占比约43%的资产是用户并不知道的,而这些未知或未管理的资产正是攻击者的主要攻击目标。报告研究发现,69%的组织承认因为未知资产被入侵而遭受了损失。如果企业不知道自己拥有什么,如何保护它呢?
3.组织攻击面视图的更新频率是多少?
现代企业的数字资产每天都在变化,陈旧的数据无法驱动新一代威胁防护技术的应用。如果只是间歇性地或每周进行一次攻击面态势扫描,那么很多先进的安全防护措施将会难以落地实现。研究人员发现,互联网上的恶意扫描时间间隔平均为三分钟,相比之下,只有14%的企业组织会持续性地进行攻击面监控扫描。
4.企业安全团队应该优先处理哪些风险?
尽管企业暴露的IT资产很多,但攻击者并不会对所有的资产漏洞都感兴趣,他们会从那些最容易被利用的弱点切入,进而攻破重要系统,造成数据泄露。因此,企业安全团队不能将时间和资源浪费在处理误报和低风险的事情上,而是要将有限的资源和精力,优先投入到防护最紧急的威胁。为了在高风险威胁爆发之前采取行动,企业需要回答哪些资产存在关键的暴露面,企业是否有足够的洞察力来确定风险处置的优先级?
5.企业是否有云上所有资产的完整视图?
当前,多云和混合云的采用率仍然在持续上升,随着组织将更多业务资产迁移到多云环境中,而相应的安全管理能力却很难及时跟上。这会造成一些问题,因为未管理的云可能会导致影子IT的出现,从而为威胁行为者敞开大门。本次报告所调研的一家大型企业组织就表示,通过资产梳理后发现,有超过600个云资产是在他们监控之外的,比企业资产管理台账中记录的在线资产多出了80%。
6.攻击面上是否存在安全合规性风险?
现在的企业组织在数字化发展过程中,都需要遵守大量的安全监管要求和法规,因为保持合规对业务稳定开展非常重要,否则将会面临数据泄露和监管罚款的风险。保持合规很大程度上取决于您能否有效地跟踪和监控那些处于网络攻击面上的暴露性资产。企业该如何获得确保合规性所需的全面和持续的资产可见性?企业是否具有自动化生成安全审计报告的能力?
7.企业攻击面上的资产是如何相互连接的?
只有了解各类数字资产的连接方式,安全团队才能更好地识别网络中最容易受攻击者入侵的地方,如果攻击者可以通过网络中的一个资产间接攻击或损害其他的关键资产,他们就会不断尝试找到可行的攻击方法。毕竟,如果给予攻击者一点机会,他们就会乘虚而入。这也说明了为什么建立和应用零信任安全框架非常重要。
8.企业的网络攻击面是如何变化的?
持续观察企业网络攻击面的变化,对企业建立良好的网络卫生环境非常重要:首先,企业能够以此来衡量攻击面可能扩大或缩小的程度。如果变化程度超出预想,那么跟踪这些变化可以为安全团队提出需要解决的问题;其次,了解资产的变化规律可以帮助安全团队更好地调查威胁,例如通过索引字段和多年积累的历史数据,获得攻击事件调查的更多背景信息。
9.企业的网络攻击面上是否存在人为的错误配置?
报告研究人员发现,配置错误是企业网络环境中最常见的安全风险类型。事实上,当前企业所存在的网络风险中,60%都会和配置错误有关联。如果企业的安全团队准确知道配置错误存在的位置,就能够很容易地规避大量的风险隐患,但是前提是,安全团队需要能够知道配置错误究竟有多少,并且存在于什么地方。如果不能全面地了解网络攻击面,那么这些由于错误配置导致的安全风险就可能会长期存在,使攻击者有机可乘。
10.企业分支机构的资产状况如何?是否会对组织构成风险?
在现代企业的发展中,经常遇到设立分公司或并购其他公司等情况。然而很多企业在开展网络安全防护工作时,往往忽略了分支机构或并购企业可能带来的网络安全风险。组织可能已经掌握了集团总部的攻击面对那些要收购的公司是否掌握了他们的攻击面呢?当并购活动完成后,一些原来未知的网络风险可能会使你的组织处于脆弱的境地。本次调查发现,40%的受访者表示在整合被收购公司的过程中发现了新的网络安全问题。