组织的攻击面是网络攻击方面的漏洞、途径或方法(有时称为攻击媒介)的总和,黑客可以利用这些攻击面,未经授权地访问网络或敏感数据,或者发起网络攻击。
随着组织越来越多地采用云服务以及混合工作模式(到公司上班/在家工作),其网络和相关攻击面变得越来越大,越来越复杂。 根据 Randori(IBM 的一家子公司)的《2022 年攻击面管理状态》报告(链接位于 ibm.com 外部),67% 的受访组织的攻击面规模在过去两年有所扩大。 行业分析机构 Gartner 将攻击面扩大列为 2022 年头号安全与风险管理趋势(链接位于 ibm.com 外部)。
安全专家将攻击面分为三种:数字攻击面、实体攻击面和社会工程攻击面。
数字攻击面有可能将组织的云和本地基础架构暴露给使用互联网连接的任何黑客。 组织的数字攻击面中常见的攻击媒介包括:
低安全性的密码:容易被猜到或易于通过蛮力攻击破解的密码会增加网络犯罪分子破解用户帐户的风险,从而可以访问网络、窃取敏感信息、传播恶意软件以及以其他方式破坏基础架构。 根据 IBM 的《2021 年数据泄露成本报告》,泄露的凭证是 2021 年最常被利用的初始攻击媒介。
配置错误:配置不当的网络端口、通道、无线接入点、防火墙或协议成为黑客的攻击入口。 例如,中间人攻击利用消息传递通道上的弱加密协议,拦截系统之间的通信。
软件、操作系统 (OS) 和固件漏洞:黑客和网络犯罪分子可以利用第三方应用、操作系统和其他软件或固件中的编码或实现错误来渗透网络、访问用户目录或植入恶意软件。 例如,在 2021 年,网络犯罪分子利用 Kaseya 的虚拟存储设备 (VSA) 平台中的缺陷(链接位于 ibm.com 外部),将伪装成软件更新的勒索软件分发给 Kaseya 的客户。
面向互联网的资产:Web 应用、Web 服务器和其他面向公共互联网的资源本质上容易受到攻击。 例如,黑客可以将恶意代码注入不安全的应用编程接口 (API),致使其不当泄露甚至破坏关联数据库中的敏感信息。
共享的数据库和目录:黑客可以利用系统和设备之间共享的数据库和目录,未经授权地访问敏感资源或发起勒索软件攻击。 2016 年,Virlock 勒索软件(链接位于 ibm.com 外部)通过感染多个设备访问的协作文件夹而广泛传播。
过时或淘汰的设备、数据或应用:如果未坚持安装升级和补丁,可能会产生安全风险。 一个典型的例子是 WannaCry 勒索软件,它利用一个 Microsoft Windows 操作系统漏洞(链接位于 ibm.com 外部)进行传播,而其实针对这个漏洞已经发布了补丁。 与此类似,如果过时的终端、数据集、用户帐户和应用未正确卸载、删除或丢弃,它们也会产生不受监控的漏洞,使网络犯罪分子有机可乘。
影子 IT:"影子 IT"是软件、硬件或设备,指的是员工在 IT 部门不知情或未批准的情况下使用的免费或流行的应用、便携式存储设备以及不安全的个人移动设备。 由于影子 IT 不受 IT 或安全团队的监控,因此会形成黑客可以利用的严重漏洞。
实体攻击面会暴露通常只有授权进入组织的实体办公场所或授权使用终端设备(服务器、计算机、笔记本电脑、移动设备、IoT 设备、运营硬件)的用户才能访问的资产和信息。
恶意内部人员:心怀不满或被收买的员工或其他有恶意意图的用户使用其访问权限窃取敏感数据、禁用设备、植入恶意软件或制造更严重的破坏。
设备偷窃:犯罪分子可能会潜入组织场所,窃取或访问终端设备。 一旦拥有硬件,黑客就可以访问存储在这些设备上的数据和程序。 他们还可以使用设备的身份和许可权,访问其他网络资源。 远程工作人员使用的终端、员工的个人设备和未正确废弃的设备是典型的盗窃目标。
诱饵:诱饵也是一种攻击形势,黑客将已感染恶意软件的 U 盘留在公共场所,试图诱骗用户将设备插入计算机并在无意中下载恶意软件。
社会工程会操纵人们分享他们本不该分享的信息,下载本不该下载的软件,访问本不该访问的网站,向犯罪分子汇款,或者犯下其他损害个人或组织资产或安全的错误。
由于社会工程利用的是人性弱点,而不是技术或数字系统漏洞,因此有时被称为"人性黑客攻击"。
组织的社会工程攻击面实际上是对社会工程攻击毫无准备或容易上当的授权用户数量的总和。
网络钓鱼是人们最熟悉和最普遍的社会工程攻击媒介。 在网络钓鱼中,诈骗者发送电子邮件、短信或语音消息,操纵收件人分享敏感信息、下载恶意软件、向错误的人转移金钱或资产,或采取其他破坏性行动。 诈骗者精心炮制网络钓鱼消息,使其看起来或听上去像是来自可信或可靠的组织或个人,比如热门的零售商、政府组织,有时甚至是收件人本人认识的个人。
根据 IBM 的《2021 年数据泄露成本》报告,社会工程是造成数据泄露的第二大原因。
攻击面管理 (ASM) 是指从黑客的视角和方法出发看待组织攻击面的流程和技术,发现并持续监控黑客在针对组织时可能会看到并尝试利用的资产和漏洞。 ASM 通常涉及:
持续发现、清点和监控存在潜在漏洞的资产。 任何 ASM 计划都始于为组织中面向互联网的 IT 资产(包括本地和云资产)建立完整且持续更新的清单。 采用黑客的方法不仅可以确保发现已知资产,还可以发现影子 IT(见上文)、已弃用但未被删除或停用的应用或设备(孤立的 IT)、黑客或恶意软件植入的资产(流氓 IT)等 — 基本上囊括任何可能被黑客或网络威胁利用的资产。
一旦发现,就会持续实时地监控这些作为潜在攻击媒介的资产,以发现可能导致风险加剧的变化。
攻击面分析、风险评估和优先级划分。 ASM 技术根据资产的漏洞和构成的安全风险对资产进行评分,并确定其优先级以进行威胁响应或补救。
攻击面减少和补救。 安全团队可以应用他们从攻击面分析和红客联盟中获得的结果,采取各种短期措施来减少攻击面。 这可能包括强制使用安全性更强的密码,停用不再使用的应用和终端设备,安装应用和操作系统补丁,培训用户以识别网络钓鱼诈骗,在办公室门口实施生物特征识别门禁控制,或修改有关软件下载和移动介质的安全控制措施和策略。
组织还可以采取更具结构性或更长期的安全措施来减少攻击面,无论是作为攻击面管理计划的一部分,还是独立于攻击面管理计划单独实施。 例如,实施双因子身份验证 (2fa) 或多因子身份验证 可减少或消除与低安全性密码或糟糕的密码策略相关的潜在漏洞。
在更广泛的范围内,零信任安全方法可以显著减少组织的攻击面。 零信任方法要求所有用户 — 无论是在网络外部,还是位于网络内部 — 都必须经过身份验证、授权和持续验证,才能获得并保持对应用和数据的访问权限。 零信任原则和技术(持续验证、最低访问特权、持续监控、网络微分段)有助于减少或消除许多攻击媒介,并为持续的攻击面分析提供有价值的数据。