什么是攻击面?

攻击面是一个组织的网络攻击漏洞的总和。

坐在办公桌前并使用笔记本电脑的人
什么是攻击面?

组织的攻击面是漏洞、路径或方法(有时称为攻击媒介)的总和,黑客可以使用这些攻击媒介未经授权访问网络或敏感数据,或发起网络攻击。

随着组织越来越多地采用云服务和混合(本地/居家工作)工作模式,其网络和相关攻击面越来越广,越来越复杂。 根据 Randori 的 2022 年攻击面管理状态  (链接位于 ibm.com 外部)(Randori 是 IBM Corp. 的一家子公司),67% 的组织的攻击面规模在过去两年不断扩大。 行业分析组织 Gartner 将攻击面扩展列为2022 年最重要的安全与风险管理趋势  (链接位于 ibm.com 外部)。

安全专家将攻击面分为三种:数字攻击面、物理攻击面和社会工程攻击面。


数字攻击面

数字攻击面会将组织的云和本地基础架构暴露给任何有互联网连接的黑客。 组织数字攻击面常见的攻击媒介包括:

  • 低安全性的密码:容易猜到或易于通过暴力攻击破解的密码会增加网络犯罪分子破坏用户帐户以访问网络、窃取敏感信息、传播恶意软件以及以其他方式破坏基础架构的风险。 根据 IBM 的2021 年数据泄露成本报告,凭据泄露是 2021 年最常被利用的初始攻击媒介。

  • 配置错误:配置不当的网络端口、信道、无线接入点、防火墙或协议成为黑客的切入点。 例如,中间人攻击利用消息传递信道上的低安全性加密协议来拦截系统之间的通信。

  • 软件、操作系统 (OS) 和固件漏洞:黑客和网络犯罪分子可以利用第三方应用程序、操作系统和其他软件或固件中的编码或实施错误来渗透网络,访问用户目录或植入恶意软件。 例如,在 2021 年,网络犯罪分子利用 Kaseya 的虚拟存储设备 (VSA) 平台 (链接位于  ibm.com 外部)中的缺陷,将伪装成软件更新的勒索软件分发给 Kaseya 的客户。

  • 面向互联网的资产:Web 应用程序、Web 服务器和其他面向公共互联网的资源本质上容易受到攻击。 例如,黑客可以将恶意代码注入不安全的应用程序编程接口 (API),致使他们不当泄露甚至破坏关联数据库中的敏感信息。

  • 共享的数据库和目录:黑客可以利用系统和设备之间共享的数据库和目录,未经授权访问敏感资源或发起勒索软件攻击。 2016 年,Virlock 勒索软件 (链接位于  ibm.com 外部)通过感染多个设备访问的协作文件夹传播。

  • 过时或淘汰的设备、数据或应用程序:未能持续一致地应用升级和补丁会产生安全风险。 一个值得注意的例子是 WannaCry 勒索软件,它利用 Microsoft Windows 操作系统漏洞 (链接位于  ibm.com 外部)进行传播,针对该勒索软件有可用的补丁。 同样,当过时的端点、数据集、用户帐户和应用程序未能适当地卸载、删除或废弃时,它们会创建不受监控的漏洞,网络犯罪分子可轻松利用。

  • 影子 IT:“影子 IT”是软件、硬件或设备,指的是员工在 IT 部门不知情或未经其批准的情况下使用的免费或流行的应用程序、便携式存储设备、不安全的个人移动设备。 由于影子 IT 不受 IT 或安全团队的监控,因此会带来黑客可以利用的严重漏洞。


物理攻击面

物理攻击面暴露了通常只有有权访问组织的物理办公室或端点设备(服务器、计算机、笔记本电脑、移动设备、IoT 设备、操作硬件)的用户才能访问的资产和信息。

  • 恶意内部人员:心怀不满或被收买的员工或其他有恶意意图的用户使用其访问权限来窃取敏感数据、禁用设备、植入恶意软件或制造更严重的破坏。

  • 设备偷窃:犯罪分子会窃取端点设备或闯入组织的场所来访问它们。 一旦拥有硬件,黑客就可以访问存储在这些设备上的数据和程序。 他们还可以使用设备的身份和权限访问其他网络资源。 远程工作人员使用的端点、员工的个人设备和未正确废弃的设备是典型的盗窃目标。 

  • 诱饵:诱饵是一种攻击,黑客将受恶意软件感染的 USB 驱动器留在公共场所,试图诱骗用户将设备插入计算机并在无意中下载恶意软件。


社会工程攻击面

社会工程会操纵人们分享他们本不该分享的信息,下载本不该下载的软件,访问本不该访问的网站,向犯罪分子汇款,或者犯下其他损害个人或组织资产或安全的错误。

由于社会工程利用的是人性弱点,而不是技术或数字系统漏洞,因此有时被称为"人性黑客攻击"。

了解更多关于社会工程的信息

组织的社会工程攻击面实际上是对社会工程攻击毫无准备或容易受到社会工程攻击的授权用户数量的总合。

网络钓鱼是人们最熟悉和最常见的社会工程攻击媒介。 在网络钓鱼中,诈骗者发送电子邮件、短信或语音信息,操纵收件人分享敏感信息、下载恶意软件、向错误的人转移金钱或资产,或采取其他破坏性行动。 诈骗者精心制作网络钓鱼信息,使其看起来或听上去像是来自可信或可靠的组织或个人 — 受欢迎的零售商、政府组织,有时甚至是收件人本人认识的个人。

根据 IBM 的2021 年数据泄露成本报告,社会工程是数据泄露的第二大原因。


攻击面管理

攻击面管理 (ASM) 是指根据黑客的角度和方法看待组织攻击面的流程和技术,发现并持续监控黑客在针对组织时看到并尝试利用的资产和漏洞。 ASM 通常涉及:

潜在易受攻击资产的持续发现、库存和监控。 任何 ASM 计划都始于一个对组织面向互联网的 IT 资产(包括本地和云资产)的完整且持续更新的清单。 采用黑客的方法不仅可以确保发现已知资产,还可以发现影子 IT(见上文)、已弃用但未被删除或停用的应用程序或设备(孤立的 IT)、黑客或恶意软件(流氓 IT)植入的资产以及更多 — 基本上包含任何可能被黑客或网络威胁利用的资产。

一旦发现,资产就会被持续实时地监控,以发现增加其作为潜在攻击媒介的风险的变化。

攻击面分析、风险评估和优先级划分. ASM 技术根据资产的漏洞和构成的安全风险对资产进行评分,并确定其优先级以进行威胁响应或补救。

攻击面减少和补救。 安全团队可以应用他们从攻击面分析和红客联盟中得出的结果,采取各种短期行动来减少攻击面。 这些可能包括强制使用安全性更强的密码,停用不再使用的应用程序和端点设备,应用应用程序和操作系统补丁,培训用户识别网络钓鱼诈骗,在办公室入口实施生物识别访问控制,或修改有关软件下载和可移动媒体的安全控制措施和策略。

组织还可以采取更具结构性或更长期的安全措施来减少其攻击面,作为攻击面管理计划的一部分或独立于攻击面管理计划。 例如,实施 双因子认证 (2fa)多因子认证 可减少或消除与低安全性密码或密码安全性较差相关的潜在漏洞。

在更广泛的范围内,零信任安全方法可以显著减少组织的攻击面。 零信任方法要求所有用户 — 无论是在网络外部,还是位于网络内部 — 都必须经过身份验证、授权和持续验证,以便获得并保持对应用程序和数据的访问权限。 零信任原则和技术(持续验证、最低访问特权、持续监控、网络微分段)可以减少或消除许多攻击媒介,并为持续的攻击面分析提供有价值的数据。

了解更多关于攻击面管理的信息


相关解决方案