Sevco最新發(fā)布的《2023年企業(yè)攻擊面調(diào)查報(bào)告》分析了超過(guò)50萬(wàn)個(gè)IT資產(chǎn)數(shù)據(jù)，結(jié)果顯示，訪問(wèn)企業(yè)網(wǎng)絡(luò)服務(wù)的大量IT資產(chǎn)缺少必要的保護(hù)措施。

報(bào)告發(fā)現(xiàn)，11%的企業(yè)IT資產(chǎn)缺少端點(diǎn)保護(hù)，15%的IT資產(chǎn)未被企業(yè)補(bǔ)丁管理解決方案覆蓋，31%的IT資產(chǎn)未被企業(yè)漏洞管理系統(tǒng)覆蓋。中小企業(yè)的情況更糟，未使用托管安全服務(wù)的中小企業(yè)中，21%的IT資產(chǎn)缺少端點(diǎn)保護(hù)。

在當(dāng)前的網(wǎng)絡(luò)安全環(huán)境中，企業(yè)攻擊面管理(ASM)變得越來(lái)越重要。有效的攻擊面管理可以幫助企業(yè)識(shí)別、評(píng)估和減輕潛在的安全風(fēng)險(xiǎn)，確保企業(yè)信息資產(chǎn)的安全。

以下是企業(yè)進(jìn)行攻擊面管理的七個(gè)最佳實(shí)踐：

一、全面了解攻擊面

要建立有效的安全防御，企業(yè)必須了解哪些數(shù)字資產(chǎn)已經(jīng)暴露、攻擊者最有可能針對(duì)的網(wǎng)絡(luò)資產(chǎn)以及需要哪些保護(hù)措施。報(bào)告顯示，11%的企業(yè)IT資產(chǎn)缺少端點(diǎn)保護(hù)。因此，提高攻擊面可見(jiàn)性至關(guān)重要。要查找的漏洞類(lèi)型包括較舊且安全性較低的計(jì)算機(jī)或服務(wù)器、未打補(bǔ)丁的系統(tǒng)、過(guò)時(shí)的應(yīng)用程序和暴露的物聯(lián)網(wǎng)設(shè)備。

基于對(duì)攻擊面的全面了解，企業(yè)可以對(duì)事件之前、期間和之后發(fā)生的情況進(jìn)行(預(yù)測(cè))建模。對(duì)潛在的事件及其風(fēng)險(xiǎn)進(jìn)行描述，進(jìn)一步加強(qiáng)主動(dòng)防御能力。預(yù)測(cè)內(nèi)容包括但不限于：企業(yè)會(huì)遭受什么樣的經(jīng)濟(jì)損失?企業(yè)聲譽(yù)會(huì)受到什么損害?企業(yè)會(huì)泄露哪些商業(yè)情報(bào)或機(jī)密信息?

SANS新興安全趨勢(shì)總監(jiān)John Pescatore指出：成功的攻擊面映射策略非常簡(jiǎn)單：

• 了解需要保護(hù)的內(nèi)容(準(zhǔn)確的資產(chǎn)清單)
• 監(jiān)控這些資產(chǎn)中的漏洞
• 使用威脅情報(bào)來(lái)了解攻擊者如何攻擊存在這些漏洞的資產(chǎn)

這三個(gè)階段都需要具有相應(yīng)安全技能的熟練員工，以跟上所有三個(gè)領(lǐng)域的變化速度。

二、最小化攻擊面

在了解攻擊面后，企業(yè)應(yīng)該采取措施，減少不必要的網(wǎng)絡(luò)暴露，限制和控制訪問(wèn)權(quán)限，確保只有經(jīng)過(guò)驗(yàn)證和授權(quán)的用戶才能訪問(wèn)相關(guān)資源。

企業(yè)可以采取行動(dòng)來(lái)緩解最重要的漏洞和潛在攻擊媒介帶來(lái)的風(fēng)險(xiǎn)，然后再執(zhí)行較低優(yōu)先級(jí)的任務(wù)。

如今大多數(shù)網(wǎng)絡(luò)安全平臺(tái)廠商都提供工具來(lái)幫助企業(yè)最大限度地縮小攻擊面。例如，微軟的攻擊面縮小(ASR)規(guī)則可幫助阻止攻擊者常用的進(jìn)程和可執(zhí)行文件。市場(chǎng)中還有大量其他攻擊面發(fā)現(xiàn)和管理工具，旨在量化攻擊面、最小化和強(qiáng)化攻擊面。

值得注意的是，大多數(shù)據(jù)泄露事件都是由人為錯(cuò)誤造成的。因此，減少漏洞和縮小(人員)攻擊面的另一個(gè)重要任務(wù)是員工的安全意識(shí)培訓(xùn)。

三、制訂和執(zhí)行安全策略

企業(yè)應(yīng)該制定一套完整的安全策略，并嚴(yán)格執(zhí)行。這包括網(wǎng)絡(luò)安全、身份驗(yàn)證、數(shù)據(jù)保護(hù)等各個(gè)方面，確保企業(yè)的安全防護(hù)體系健全完善。

循證安全方法和策略將大大有助于縮小攻擊面。這包括實(shí)施入侵檢測(cè)解決方案、定期進(jìn)行風(fēng)險(xiǎn)評(píng)估以及制定明確有效的政策。以下是一些需要考慮的策略：

• 通過(guò)強(qiáng)大的身份驗(yàn)證協(xié)議和訪問(wèn)控制加強(qiáng)帳戶管理。
• 建立一致的修補(bǔ)和更新策略。
• 維護(hù)和測(cè)試關(guān)鍵數(shù)據(jù)的備份。
• 對(duì)網(wǎng)絡(luò)進(jìn)行分段，以最大程度地減少發(fā)生違規(guī)事件造成的損失。
• 監(jiān)控并淘汰舊設(shè)備、裝置和服務(wù)。
• 盡可能使用加密。
• 制定BYOD政策和計(jì)劃。

四、持續(xù)監(jiān)控和評(píng)估機(jī)制

企業(yè)應(yīng)該建立持續(xù)的監(jiān)控和評(píng)估機(jī)制，實(shí)時(shí)監(jiān)控網(wǎng)絡(luò)活動(dòng)，及時(shí)發(fā)現(xiàn)和響應(yīng)安全事件，定期評(píng)估安全策略的有效性，并根據(jù)評(píng)估結(jié)果進(jìn)行調(diào)整優(yōu)化。

穩(wěn)固的網(wǎng)絡(luò)安全計(jì)劃需要隨著IT基礎(chǔ)設(shè)施的變化和攻擊者的發(fā)展而不斷調(diào)整。這需要持續(xù)監(jiān)控和定期測(cè)試，后者通常通過(guò)第三方滲透測(cè)試服務(wù)進(jìn)行。

監(jiān)控通常通過(guò)安全信息和事件管理軟件(SIEM)等自動(dòng)化系統(tǒng)來(lái)完成。它將主機(jī)系統(tǒng)和應(yīng)用程序生成的日志數(shù)據(jù)收集到網(wǎng)絡(luò)和安全設(shè)備(例如防火墻和防病毒過(guò)濾器)。然后，SIEM軟件對(duì)事故和事件進(jìn)行識(shí)別、分類(lèi)和分析。

滲透測(cè)試提供公正的第三方反饋，幫助企業(yè)更好地了解漏洞。滲透測(cè)試應(yīng)覆蓋企業(yè)網(wǎng)絡(luò)以及BYOD和第三方設(shè)備供應(yīng)商正在使用的核心元素。其中，移動(dòng)設(shè)備約占企業(yè)數(shù)據(jù)交互的60%。

五、加強(qiáng)電子郵件安全

電子郵件是攻擊者常用的入侵手段之一，企業(yè)應(yīng)該加強(qiáng)電子郵件的安全防護(hù)，例如部署反垃圾郵件和反網(wǎng)絡(luò)釣魚(yú)的解決方案，提高員工的安全意識(shí)和防護(hù)能力。一些組織尚未完全部署遏制惡意電子郵件的郵件安全協(xié)議，例如：

發(fā)件人策略框架(SPF)可防止欺騙合法電子郵件返回地址。

域密鑰識(shí)別郵件(DKIM)是一種電子郵件身份驗(yàn)證方法，它使用數(shù)字簽名讓電子郵件的收件人知道該郵件是由域名所有者發(fā)送和授權(quán)的。

DMARC(即基于域的消息身份驗(yàn)證報(bào)告與合規(guī)性)構(gòu)建于DKIM協(xié)議以及發(fā)件人策略框架(SPF)協(xié)議之上，可針對(duì)電子郵件欺騙提供更強(qiáng)大的防御層。DMARC確?？梢?jiàn)的“發(fā)件人”地址與底層IP地址匹配，以防止欺騙。

六、合規(guī)性考慮

企業(yè)的安全策略和措施應(yīng)該符合相關(guān)的法律法規(guī)和標(biāo)準(zhǔn)要求，確保企業(yè)在合規(guī)的基礎(chǔ)上進(jìn)行安全防護(hù)。

所有組織都應(yīng)制定政策和流程來(lái)研究、識(shí)別和理解內(nèi)部標(biāo)準(zhǔn)和政府標(biāo)準(zhǔn)。目標(biāo)是確保所有安全策略均符合規(guī)定，并對(duì)各種攻擊和違規(guī)類(lèi)型有相應(yīng)的響應(yīng)計(jì)劃。企業(yè)還需要成立一個(gè)工作組并制訂戰(zhàn)略，以便在新政策和法規(guī)生效時(shí)進(jìn)行合規(guī)性審查。

盡管合規(guī)性對(duì)于現(xiàn)代網(wǎng)絡(luò)安全策略至關(guān)重要，但這并不一定意味著它應(yīng)該是優(yōu)先事項(xiàng)。Pescatore表示：“合規(guī)性往往是第一位的，但幾乎100%發(fā)生信用卡信息泄露事件的公司都符合PCI安全標(biāo)準(zhǔn)，顯然合規(guī)并不能確保安全?！彼J(rèn)為網(wǎng)絡(luò)安全策略應(yīng)首先評(píng)估風(fēng)險(xiǎn)并部署流程或控制措施來(lái)保護(hù)公司及其客戶。

七、定期進(jìn)行安全審計(jì)

企業(yè)應(yīng)該定期進(jìn)行安全審計(jì)，通過(guò)第三方的評(píng)估和檢查，發(fā)現(xiàn)和修復(fù)安全漏洞和風(fēng)險(xiǎn)，不斷提高企業(yè)的安全防護(hù)水平。

即使是最優(yōu)秀的安全團(tuán)隊(duì)在評(píng)估企業(yè)攻擊面時(shí)也需要新的視角。雇用安全審核員和分析師可以幫助發(fā)現(xiàn)被忽視的攻擊媒介和漏洞，還可以協(xié)助制定事件管理計(jì)劃，以處理潛在的泄露和攻擊。太多企業(yè)沒(méi)有為網(wǎng)絡(luò)安全攻擊做好準(zhǔn)備，原因是缺乏制衡機(jī)制來(lái)評(píng)估自身的安全政策。

Smart Billions首席技術(shù)官杰森·米切爾(Jason Mitchell)表示：“當(dāng)企業(yè)試圖客觀地確定安全風(fēng)險(xiǎn)時(shí)，擁有外部、公正的視角可能非常有益。”“使用獨(dú)立的監(jiān)控流程來(lái)幫助識(shí)別風(fēng)險(xiǎn)行為和威脅，避免它們成為端點(diǎn)上的問(wèn)題，特別是新的數(shù)字資產(chǎn)、新加入的供應(yīng)商和遠(yuǎn)程員工。”