Sevco最新發(fā)布的《2023年企業(yè)攻擊面調查報告》分析了超過50萬個IT資產數據，結果顯示，訪問企業(yè)網絡服務的大量IT資產缺少必要的保護措施。

報告發(fā)現，11%的企業(yè)IT資產缺少端點保護，15%的IT資產未被企業(yè)補丁管理解決方案覆蓋，31%的IT資產未被企業(yè)漏洞管理系統(tǒng)覆蓋。中小企業(yè)的情況更糟，未使用托管安全服務的中小企業(yè)中，21%的IT資產缺少端點保護。

在當前的網絡安全環(huán)境中，企業(yè)攻擊面管理(ASM)變得越來越重要。有效的攻擊面管理可以幫助企業(yè)識別、評估和減輕潛在的安全風險，確保企業(yè)信息資產的安全。

以下是企業(yè)進行攻擊面管理的七個最佳實踐：

一、全面了解攻擊面

要建立有效的安全防御，企業(yè)必須了解哪些數字資產已經暴露、攻擊者最有可能針對的網絡資產以及需要哪些保護措施。報告顯示，11%的企業(yè)IT資產缺少端點保護。因此，提高攻擊面可見性至關重要。要查找的漏洞類型包括較舊且安全性較低的計算機或服務器、未打補丁的系統(tǒng)、過時的應用程序和暴露的物聯網設備。

基于對攻擊面的全面了解，企業(yè)可以對事件之前、期間和之后發(fā)生的情況進行(預測)建模。對潛在的事件及其風險進行描述，進一步加強主動防御能力。預測內容包括但不限于：企業(yè)會遭受什么樣的經濟損失?企業(yè)聲譽會受到什么損害?企業(yè)會泄露哪些商業(yè)情報或機密信息?

SANS新興安全趨勢總監(jiān)John Pescatore指出：成功的攻擊面映射策略非常簡單：

• 了解需要保護的內容(準確的資產清單)
• 監(jiān)控這些資產中的漏洞
• 使用威脅情報來了解攻擊者如何攻擊存在這些漏洞的資產

這三個階段都需要具有相應安全技能的熟練員工，以跟上所有三個領域的變化速度。

二、最小化攻擊面

在了解攻擊面后，企業(yè)應該采取措施，減少不必要的網絡暴露，限制和控制訪問權限，確保只有經過驗證和授權的用戶才能訪問相關資源。

企業(yè)可以采取行動來緩解最重要的漏洞和潛在攻擊媒介帶來的風險，然后再執(zhí)行較低優(yōu)先級的任務。

如今大多數網絡安全平臺廠商都提供工具來幫助企業(yè)最大限度地縮小攻擊面。例如，微軟的攻擊面縮小(ASR)規(guī)則可幫助阻止攻擊者常用的進程和可執(zhí)行文件。市場中還有大量其他攻擊面發(fā)現和管理工具，旨在量化攻擊面、最小化和強化攻擊面。

值得注意的是，大多數據泄露事件都是由人為錯誤造成的。因此，減少漏洞和縮小(人員)攻擊面的另一個重要任務是員工的安全意識培訓。

三、制訂和執(zhí)行安全策略

企業(yè)應該制定一套完整的安全策略，并嚴格執(zhí)行。這包括網絡安全、身份驗證、數據保護等各個方面，確保企業(yè)的安全防護體系健全完善。

循證安全方法和策略將大大有助于縮小攻擊面。這包括實施入侵檢測解決方案、定期進行風險評估以及制定明確有效的政策。以下是一些需要考慮的策略：

• 通過強大的身份驗證協(xié)議和訪問控制加強帳戶管理。
• 建立一致的修補和更新策略。
• 維護和測試關鍵數據的備份。
• 對網絡進行分段，以最大程度地減少發(fā)生違規(guī)事件造成的損失。
• 監(jiān)控并淘汰舊設備、裝置和服務。
• 盡可能使用加密。
• 制定BYOD政策和計劃。

四、持續(xù)監(jiān)控和評估機制

企業(yè)應該建立持續(xù)的監(jiān)控和評估機制，實時監(jiān)控網絡活動，及時發(fā)現和響應安全事件，定期評估安全策略的有效性，并根據評估結果進行調整優(yōu)化。

穩(wěn)固的網絡安全計劃需要隨著IT基礎設施的變化和攻擊者的發(fā)展而不斷調整。這需要持續(xù)監(jiān)控和定期測試，后者通常通過第三方滲透測試服務進行。

監(jiān)控通常通過安全信息和事件管理軟件(SIEM)等自動化系統(tǒng)來完成。它將主機系統(tǒng)和應用程序生成的日志數據收集到網絡和安全設備(例如防火墻和防病毒過濾器)。然后，SIEM軟件對事故和事件進行識別、分類和分析。

滲透測試提供公正的第三方反饋，幫助企業(yè)更好地了解漏洞。滲透測試應覆蓋企業(yè)網絡以及BYOD和第三方設備供應商正在使用的核心元素。其中，移動設備約占企業(yè)數據交互的60%。

五、加強電子郵件安全

電子郵件是攻擊者常用的入侵手段之一，企業(yè)應該加強電子郵件的安全防護，例如部署反垃圾郵件和反網絡釣魚的解決方案，提高員工的安全意識和防護能力。一些組織尚未完全部署遏制惡意電子郵件的郵件安全協(xié)議，例如：

發(fā)件人策略框架(SPF)可防止欺騙合法電子郵件返回地址。

域密鑰識別郵件(DKIM)是一種電子郵件身份驗證方法，它使用數字簽名讓電子郵件的收件人知道該郵件是由域名所有者發(fā)送和授權的。

DMARC(即基于域的消息身份驗證報告與合規(guī)性)構建于DKIM協(xié)議以及發(fā)件人策略框架(SPF)協(xié)議之上，可針對電子郵件欺騙提供更強大的防御層。DMARC確?？梢姷摹鞍l(fā)件人”地址與底層IP地址匹配，以防止欺騙。

六、合規(guī)性考慮

企業(yè)的安全策略和措施應該符合相關的法律法規(guī)和標準要求，確保企業(yè)在合規(guī)的基礎上進行安全防護。

所有組織都應制定政策和流程來研究、識別和理解內部標準和政府標準。目標是確保所有安全策略均符合規(guī)定，并對各種攻擊和違規(guī)類型有相應的響應計劃。企業(yè)還需要成立一個工作組并制訂戰(zhàn)略，以便在新政策和法規(guī)生效時進行合規(guī)性審查。

盡管合規(guī)性對于現代網絡安全策略至關重要，但這并不一定意味著它應該是優(yōu)先事項。Pescatore表示：“合規(guī)性往往是第一位的，但幾乎100%發(fā)生信用卡信息泄露事件的公司都符合PCI安全標準，顯然合規(guī)并不能確保安全?！彼J為網絡安全策略應首先評估風險并部署流程或控制措施來保護公司及其客戶。

七、定期進行安全審計

企業(yè)應該定期進行安全審計，通過第三方的評估和檢查，發(fā)現和修復安全漏洞和風險，不斷提高企業(yè)的安全防護水平。

即使是最優(yōu)秀的安全團隊在評估企業(yè)攻擊面時也需要新的視角。雇用安全審核員和分析師可以幫助發(fā)現被忽視的攻擊媒介和漏洞，還可以協(xié)助制定事件管理計劃，以處理潛在的泄露和攻擊。太多企業(yè)沒有為網絡安全攻擊做好準備，原因是缺乏制衡機制來評估自身的安全政策。

Smart Billions首席技術官杰森·米切爾(Jason Mitchell)表示：“當企業(yè)試圖客觀地確定安全風險時，擁有外部、公正的視角可能非常有益。”“使用獨立的監(jiān)控流程來幫助識別風險行為和威脅，避免它們成為端點上的問題，特別是新的數字資產、新加入的供應商和遠程員工?！?/p>