组织的攻击面是指漏洞、途径或方法(有时称为攻击媒介)的总和,黑客可以利用这些漏洞、途径或方法获取对网络或敏感数据进行未经授权访问或者实施网络攻击。
随着组织越来越多地采用云服务和混合(本地/居家办公)办公模式,他们的网络和相关攻击面也变得越来越大、越来越复杂。根据 Randori 的《2022 年攻击面管理状况》,67% 的组织在过去两年中发现攻击面规模有所扩大。行业分析机构 Gartner 将攻击面扩大列为 2022 年第一大安全和风险管理趋势(ibm.com 外部链接)。
安全专家将攻击面分为三个子攻击面:数字攻击面、物理攻击面和社会工程攻击面。
根据 IBM Security X-Force Threat Intelligence 指数获取洞察,以更快且更有效地准备和应对网络攻击。
注册获取《数据泄露成本报告》
数字攻击面可能会将组织的云和内部基础架构暴露给任何拥有互联网连接的黑客。组织数字攻击面中的常见攻击媒介包括:
- 弱密码
- 配置错误
- 软件、操作系统 (OS) 和固件漏洞
- 面向互联网的资产
- 共享数据库和目录
- 过时或陈旧的设备、数据或应用程序
- 影子 IT
弱密码:是指容易猜到的密码或容易通过暴力攻击破解的密码,它们会增加网络罪犯入侵用户帐户以访问网络、窃取敏感信息、传播恶意软件和以其他方式破坏基础架构的风险。根据 IBM 的《2021 年数据泄露成本报告》,凭据泄露是 2021 年最常见的初始攻击媒介。
配置错误:配置不当的网络端口、通道、无线接入点、防火墙或协议会成为黑客的切入点。例如,中间人攻击利用消息传递通道上的弱加密协议来拦截系统之间的通信。
软件、操作系统和固件漏洞:黑客和网络罪犯可以利用第三方应用程序、操作系统和其他软件或固件中的编码或实施错误来渗透网络、获取用户目录访问权限或植入恶意软件。例如,2021 年,网络罪犯利用 Kaseya 的 VSA(虚拟存储设备)平台(ibm.com 外部链接)中的漏洞,伪装成软件更新向 Kaseya 的客户分发勒索软件。
面向互联网的资产:面向公共互联网的 Web 应用程序、Web 服务器和其他资源本质上容易受到攻击。例如,黑客可以将恶意代码注入不安全的应用程序编程接口 (API),导致其不当泄露甚至破坏相关数据库中的敏感信息。
共享数据库和目录:黑客可以利用系统和设备之间共享的数据库和目录来未经授权访问敏感资源或发起勒索软件攻击。2016 年,Virlock 勒索软件(ibm.com 外部链接)通过感染多个设备访问的协作文件夹进行传播。
过时或陈旧的设备、数据或应用程序:未能持续应用更新和补丁会带来安全风险。一个著名示例是勒索软件“WannaCry”,它利用 Microsoft Windows 操作系统漏洞(ibm.com 外部链接)进行传播,且该漏洞有可用的补丁。同样,如果没有卸载、删除或丢弃陈旧的端点、数据集、用户帐户和应用程序,它们就会产生不受监控的漏洞,网络罪犯很容易利用这些漏洞。
影子 IT:“影子 IT”是员工在未经 IT 部门知情或批准的情况下使用的软件、硬件或设备(免费或流行的应用程序、便携式存储设备、不安全的个人移动设备)。由于影子 IT 不受 IT 或安全团队的监控,可能会引入黑客可利用的严重漏洞。
对于物理攻击面暴露的资产和信息,通常只有获得对组织物理办公室或端点设备(服务器、计算机、笔记本电脑、移动设备、IoT 设备或操作硬件)的授权访问权限的用户才能访问。
恶意内部人员:心怀不满或受贿的员工或其他具有恶意意图的用户可能会利用访问权限窃取敏感数据、禁用设备、植入恶意软件或实施更糟糕的行为。
设备盗窃:犯罪分子可能会窃取端点设备,或通过闯入组织的办公场所获取设备。拥有硬件后,黑客就可以访问存储在这些设备上的数据和进程。他们还可能使用设备的身份和权限来访问其他网络资源。远程工作者使用的端点、员工的个人设备以及不当丢弃的设备是典型的盗窃目标。
诱骗:诱骗攻击是指黑客将感染恶意软件的 USB 驱动器放在公共场所,希望诱骗用户将设备插入电脑,无意中下载恶意软件。
社会工程攻击通过各种方式操纵人们犯错误,从而损害他们的个人或组织资产或安全,例如:
- 分享不该分享的信息
- 下载不该下载的软件
- 访问不该访问的网站
- 向犯罪分子汇款
由于社会工程攻击利用的是人类弱点而不是技术或数字系统漏洞,因此有时被称为“人类黑客攻击”。
组织的社会工程攻击面主要是指对社会工程攻击毫无准备或容易受到攻击的授权用户数量。
网络钓鱼是最常见和最臭名昭著的社会工程攻击媒介。在网络钓鱼攻击中,诈骗者会发送电子邮件、短信或语音信息,试图操纵收件人共享敏感信息、下载恶意软件、向不法分子转移资金或资产,或采取其他破坏性行动。诈骗者精心制作网络钓鱼消息,使其看起来或听起来像是来自可信或可靠的组织或个人,例如受欢迎的零售商、政府组织,有时甚至是收件人认识的个人。
根据 IBM 的《2021 年数据泄露成本》报告,社会工程攻击是数据泄露的第二大原因。
攻击面管理 (ASM) 是指将黑客的观点和方法应用于组织的攻击面的流程和技术,即发现并持续监控黑客在针对组织时看到并试图利用的资产和漏洞。ASM 通常包括:
持续发现、清点和监控潜在易受攻击的资产。任何 ASM 计划都始于组织面向互联网的 IT 资产的完整且持续更新的库存,包括本地和云资产。采用黑客的方法不仅可以发现已知资产,还可以发现影子 IT 应用程序或设备。这些应用程序或设备可能已被放弃,但未被删除或停用(孤立 IT)。或者由黑客或恶意软件(异常 IT)植入的资产等 – 基本上是任何可能被黑客或网络威胁利用的资产。
一旦发现资产,就会持续、实时地进行监控,以发现会增加其作为潜在攻击媒介的风险的变化。
攻击面分析、风险评估和优先级划分。ASM 技术根据资产造成的漏洞和安全风险对资产进行评分,并确定资产的优先级以进行威胁响应或修复。
减少和修复攻击面。安全团队可以应用他们从攻击面分析和红队测试中获得的结果,采取各种短期措施来减少攻击面。这可能包括强制使用更严格的密码、停用不再使用的应用程序和端点设备、应用应用程序和操作系统补丁、培训用户识别网络钓鱼诈骗、对办公室进入实行生物识别访问控制,或修改有关软件下载和可移动媒体的安全控制和政策。
组织还可能采取更具结构性或更长期的安全措施来减少攻击面,这些措施可以作为攻击面管理计划的一部分或独立于攻击面管理计划。例如,实施双重身份验证 (2fa) 或多重身份验证可以减少或消除与弱密码或不良密码卫生习惯相关的潜在漏洞。
从更广泛的角度来看,零信任安全方法可以显著减少组织的攻击面。零信任方法要求,无论是在网络外部还是已经在网络内部,所有用户均需经过身份验证、授权和持续验证,以获得并保持对应用程序和数据的访问权限。零信任原则和技术(持续验证、最小特权访问、持续监控、网络微分段)可以减少或消除许多攻击媒介,并为持续的攻击面分析提供有价值的数据。