根据Randori和ESG联合进行的《2022年攻击面管理现状报告》的数据,在过去的一年里,随着远程办公人数的增加,云解决方案和SaaS应用程序的使用增加,企业组织的网络应用攻击面进一步扩大。从表面上看,攻击面的扩大并不奇怪,因为世界已经朝着更加互联和去中心化的方向发展,连接到互联网的计算设备的数量自然会不断增加。然而,值得注意的是,许多企业的安全团队难以跟上数字环境的快速扩张和不断变化,因为他们缺乏有效管理它的工具和流程,导致漏洞暴露给不同的攻击者来自安全团队已知的人。风险存在巨大差异。下面总结了现代企业数字化攻击面最常见的七大风险和挑战:1.访问控制管理薄弱尽管现代企业不断提高访问网络应用系统的安全性,但攻击者仍然有办法发现和利用漏洞与访问控制权限相关。此外,许多云服务提供商的安全措施往往不够有效,薄弱的云授权方式难以阻止攻击者进入云端后提升权限,扩大对敏感数据的访问权限。由于当今云服务的易用性和简单性,很多非专业技术人员也可以在云端配置IT应用服务,但这难免会导致安全疏忽和误配置。2.易受攻击的域名系统域名系统(DNS)是互联网数据访问的基本组成部分,但由于其设计时并未考虑到可能存在的安全风险,因此自然容易受到网络攻击。如今,几乎每个企业在其数字供应链中都使用各种DNS服务器,因此攻击者将DNS服务器视为极具吸引力的攻击目标。“内幕”级别的信任并利用它轻松发起网络攻击。3.第三方网络应用程序和系统几乎所有的现代企业都需要使用网络应用程序进行关键业务操作,这意味着在其中存储和共享大量敏感数据,包括电子邮件地址、密码和信用卡号。这些Web应用程序与多个第三方系统和服务进行交互或连接,这无疑进一步增加了访问服务的攻击面。攻击者正在密切关注数字供应链中的攻击向量,包括通过SQL注入攻击获得的漏洞、权限配置错误以及用于获取数据访问权限的身份验证缺陷。因此,现代企业不仅需要保护自己组织的应用,每一个关联的Web应用和第三方系统也需要保护。4.不安全的电子邮件服务电子邮件仍然是员工、客户和合作伙伴之间最流行的业务通信方式之一。电子邮件易于访问和使用也使其容易受到网络攻击。每个组织使用不同的内部和外部电子邮件服务器进行日常通信,这意味着电子邮件安全的最佳实践因公司和服务提供商而异。网络攻击者经过培训可以识别易受攻击的电子邮件服务器并发起接管尝试。一旦他们进入电子邮件服务器,他们就会对他们可以接触到的任何人发起基于电子邮件的网络钓鱼攻击。5.影子IT失控影子IT是指信息技术,包括系统、软件、应用程序和设备,在未经IT团队批准的情况下被组织的员工使用。近年来,随着员工在家中使用个人设备登录工作,影子IT越来越受欢迎。员工经常在不了解相关安全标准和风险的情况下通过云存储迁移工作负载和数据,组织的安全团队也没有密切关注。有时,员工在创建公共服务时可能会出现配置错误,导致漏洞被利用。同时,由于影子IT的性质,IT和安全部门很难对这些设备漏洞进行有效监控和管理,因此往往无法及时了解安全事件的攻击过程。6.海量联网资产和设备全球联网计算设备数量已达数十亿台,增长速度惊人,这主要是因为现代企业的数字化转型正以前所未有的速度发展。显然,管理如此多的网络连接需要大型、复杂、分布式、专门构建的基础设施。事实上,在很多企业网络中,还存在着大量长期未被使用的服务器、系统和应用。这些资产使用过时的软件,缺乏甚至没有日常安全维护,长期暴露在网络攻击者面前。7.云计算的责任共担模型云计算(无论是公共的还是私有的)为组织提供了一种快速、简单和廉价的方式来更新和发展他们的数字基础设施。然而,美国国家安全局(NSA)表示,随着组织进一步将业务和数据迁移到云端,它们也将自己置于更大的风险环境中。谷歌云、亚马逊云和微软Azure等云服务提供商都使用云安全责任共担模型。因此,云应用的大部分安全责任仍然需要由使用这些云的企业来承担。更复杂的是,不同的云服务提供商提供不同的安全承诺和服务,这给多云应用企业带来了困扰,因为需要针对不同的云数据和应用制定不同的安全策略。参考链接:https://www.scmagazine.com/perspective/cloud-security/seven-deadly-sins-hiding-in-the-companys-attack-surface
