一、互聯(lián)網(wǎng)暴露資產(chǎn)防護(hù)指南

IT安全負(fù)責(zé)人需要持續(xù)分析和保護(hù)企業(yè)攻擊面，這就要求他們必須全面掌握所有通過互聯(lián)網(wǎng)暴露的資產(chǎn)。從物聯(lián)網(wǎng)設(shè)備、云基礎(chǔ)設(shè)施、Web應(yīng)用到防火墻和VPN網(wǎng)關(guān)，企業(yè)聯(lián)網(wǎng)資產(chǎn)數(shù)量正呈指數(shù)級(jí)增長(zhǎng)。這些資產(chǎn)雖然提供了數(shù)據(jù)訪問、傳感器監(jiān)控、服務(wù)器管理、電商平臺(tái)等業(yè)務(wù)支持，但每新增一個(gè)暴露資產(chǎn)就意味著外部攻擊面的擴(kuò)大，網(wǎng)絡(luò)攻擊成功風(fēng)險(xiǎn)也隨之攀升。

資產(chǎn)發(fā)現(xiàn)遠(yuǎn)遠(yuǎn)不夠

多數(shù)企業(yè)的外部攻擊面每日都在動(dòng)態(tài)變化，其復(fù)雜程度給安全團(tuán)隊(duì)帶來嚴(yán)峻挑戰(zhàn)。安全負(fù)責(zé)人必須持續(xù)監(jiān)控新增的互聯(lián)網(wǎng)暴露資產(chǎn)，并及時(shí)掌握新發(fā)現(xiàn)的安全漏洞。首席信息安全官（CISO）需要具備識(shí)別潛在漏洞和錯(cuò)誤配置的敏銳度，同時(shí)組建能夠有效應(yīng)對(duì)威脅的專業(yè)團(tuán)隊(duì)。但面對(duì)眾多漏洞，修復(fù)優(yōu)先級(jí)如何確定？有效的IT基礎(chǔ)設(shè)施防護(hù)需要建立多層次的外部攻擊面管理（EASM）體系，其中包含對(duì)漏洞實(shí)際風(fēng)險(xiǎn)的評(píng)估。這一迭代過程可分為四個(gè)關(guān)鍵步驟。

第一步：資產(chǎn)識(shí)別與分類

全面掌握資產(chǎn)是實(shí)施有效防護(hù)的基礎(chǔ)，但資產(chǎn)識(shí)別工作對(duì)中型企業(yè)已屬不易，對(duì)擁有眾多子公司的大型集團(tuán)更是巨大挑戰(zhàn)。影子IT現(xiàn)象（員工未經(jīng)IT部門批準(zhǔn)擅自安裝軟件或使用云服務(wù)）進(jìn)一步加劇了資產(chǎn)管控難度。為此，企業(yè)需要通過自動(dòng)化工具定期掃描外部攻擊面，理想情況下不僅能識(shí)別所有相關(guān)資產(chǎn)，還能將其準(zhǔn)確歸類到對(duì)應(yīng)業(yè)務(wù)單元。EASM遠(yuǎn)超傳統(tǒng)資產(chǎn)發(fā)現(xiàn)和漏洞掃描的范疇，它能識(shí)別包括廢棄云資產(chǎn)、錯(cuò)誤配置的IT/IoT設(shè)備在內(nèi)的各類"盲點(diǎn)"。

第二步：風(fēng)險(xiǎn)檢測(cè)

企業(yè)需要通過多層次的測(cè)試手段來評(píng)估潛在威脅：

• 使用動(dòng)態(tài)應(yīng)用安全測(cè)試（DAST）檢測(cè)應(yīng)用漏洞
• 核查是否有機(jī)密數(shù)據(jù)（如工業(yè)控制系統(tǒng)數(shù)據(jù)）意外暴露在互聯(lián)網(wǎng)
• 通過憑證測(cè)試發(fā)現(xiàn)未授權(quán)訪問風(fēng)險(xiǎn)
• 持續(xù)監(jiān)控資產(chǎn)是否受已知漏洞影響

第三步：風(fēng)險(xiǎn)評(píng)估

發(fā)現(xiàn)漏洞后需從三個(gè)維度評(píng)估風(fēng)險(xiǎn)等級(jí)：

• 可利用性：漏洞是否存在已知攻擊向量，還是僅停留在理論層面？
• 吸引力：漏洞所在資產(chǎn)是否具有攻擊價(jià)值（如核心數(shù)據(jù)庫(kù)比孤立系統(tǒng)更具吸引力）？
• 可發(fā)現(xiàn)性：資產(chǎn)是否易于被攻擊者識(shí)別（如官網(wǎng)直接暴露還是隱藏于子公司網(wǎng)絡(luò)）？

第四步：優(yōu)先級(jí)排序與修復(fù)

縮短關(guān)鍵漏洞的響應(yīng)時(shí)間是降低風(fēng)險(xiǎn)的核心要素。當(dāng)待修復(fù)問題超出團(tuán)隊(duì)處理能力時(shí)，需建立科學(xué)的優(yōu)先級(jí)排序機(jī)制。例如，無需認(rèn)證即可訪問的客戶數(shù)據(jù)庫(kù)漏洞，其風(fēng)險(xiǎn)等級(jí)遠(yuǎn)高于僅存在理論攻擊可能的IP攝像頭漏洞。統(tǒng)計(jì)顯示，企業(yè)當(dāng)前90%的外部網(wǎng)絡(luò)風(fēng)險(xiǎn)往往集中于約10個(gè)關(guān)鍵漏洞。修復(fù)完成后，還應(yīng)通過外部驗(yàn)證確認(rèn)措施有效性。

二、典型案例：變更管理失效事件

某電商企業(yè)為應(yīng)對(duì)"被遺忘權(quán)"合規(guī)要求，聘請(qǐng)外部開發(fā)團(tuán)隊(duì)協(xié)助代碼改造。承包商部署了Jenkins服務(wù)器以便協(xié)作，但后續(xù)防火墻變更意外使該服務(wù)器暴露于互聯(lián)網(wǎng)。由于該服務(wù)器未納入企業(yè)IT管理體系，存在默認(rèn)密碼未修改等安全隱患。攻擊者通過Groovy腳本獲取root權(quán)限后，竊取了AWS API密鑰，最終導(dǎo)致數(shù)TB包含客戶個(gè)人信息（PII）的S3存儲(chǔ)桶數(shù)據(jù)泄露。這個(gè)本為加強(qiáng)數(shù)據(jù)保護(hù)的項(xiàng)目，反而釀成重大數(shù)據(jù)泄露事件。

三、持續(xù)化、集中化的EASM防護(hù)體系

半年度的滲透測(cè)試或漏洞掃描等零散措施已無法滿足防護(hù)需求。有效的EASM解決方案應(yīng)具備兩大特征：

• 持續(xù)性：定期驗(yàn)證所有外部資產(chǎn)的準(zhǔn)確性及風(fēng)險(xiǎn)狀態(tài)
• 統(tǒng)一性：通過集中式平臺(tái)整合發(fā)現(xiàn)、分類、評(píng)估、修復(fù)全流程

理想的EASM平臺(tái)能每周自動(dòng)掃描關(guān)鍵資產(chǎn)，為IT團(tuán)隊(duì)提供明確的修復(fù)建議，并通過API對(duì)接現(xiàn)有系統(tǒng)實(shí)現(xiàn)快速響應(yīng)。但需注意，技術(shù)方案雖能縮短漏洞檢測(cè)時(shí)間（MTTD），實(shí)際修復(fù)效率（MTTR）仍取決于部門的響應(yīng)速度。只有技術(shù)與人力協(xié)同配合，四步法才能真正發(fā)揮降低外部網(wǎng)絡(luò)風(fēng)險(xiǎn)的作用。