SecureWorks最新發(fā)布的《2023年威脅狀況報告》顯示，在2023年3月至6月的4個月時間里，勒索軟件泄露網(wǎng)站上公布的受害者人數(shù)達到了前所未有的水平。成立已超過140年的某智能建筑領域全球領導者近期遭受到勒索軟件攻擊，一度導致運營中斷，攻擊者索要5100萬美元贖金。勒索軟件攻擊猛于虎，讓全球所有企業(yè)都如臨大敵。

預防勒索病毒與減少受攻擊面密切相關，因為系統(tǒng)的漏洞或薄弱環(huán)節(jié)往往讓勒索病毒有機可乘。從勒索病毒的防御透視整個企業(yè)的安全防護可以發(fā)現(xiàn)，減少受攻擊面是實現(xiàn)從被動防御到主動安全的必然路徑，也是提升企業(yè)整體安全性的“入口”。

減少受攻擊面是一種安全戰(zhàn)略

所謂攻擊面，是指系統(tǒng)中可被網(wǎng)絡攻擊者攻擊或利用的所有可能的點或區(qū)域。通過減少不同的攻擊面，可以有效防止攻擊的發(fā)生。Gartner將攻擊面擴展列為“2022年最主要的安全和風險管理趨勢”。戴爾科技的調(diào)研顯示，這些極易受到攻擊的“點”主要包括軟件漏洞、配置錯誤、身份驗證機制薄弱、系統(tǒng)未修補、用戶權限過多、開放式網(wǎng)絡端口、物理安全性較差等。

隨著云計算、大數(shù)據(jù)、人工智能等新興應用不斷涌現(xiàn)，越來越多的攻擊面也暴露出來。比如，伴隨著云計算的普及，云上的錯誤配置就有可能導致大規(guī)模的數(shù)據(jù)泄露；再比如，企業(yè)越來越多地引入開源軟件或者將運營外包給第三方供應商，這都會增加攻擊面暴露的幾率。上述安全隱患都會嚴重影響企業(yè)業(yè)務的連續(xù)性，有可能造成無法挽回的損失。

對于各行各業(yè)的企業(yè)來說，減少受攻擊面不僅僅是一個網(wǎng)絡安全概念，更是一種安全戰(zhàn)略，其核心是盡可能減少邊緣、核心或云中可能被用于攻擊系統(tǒng)、網(wǎng)絡或組織的潛在漏洞和入口點，逐步提高企業(yè)預防、抵御和恢復的整體能力，從而減少惡意攻擊者成功發(fā)起網(wǎng)絡攻擊的機會，進一步增強網(wǎng)絡彈性。

Gartner建議，企業(yè)要全面監(jiān)控并嚴格管理攻擊面，并將攻擊面管理納入到企業(yè)整體的網(wǎng)絡安全風險管理計劃之中，從而開啟主動防御的大門。在這種情況下，企業(yè)和組織應該以新的思維方式審視網(wǎng)絡安全，采用超越傳統(tǒng)的安全監(jiān)控、檢測和響應的新方法，更加有效地縮減受攻擊面。

減少受攻擊面會者不難

人們常說，“亡羊補牢，猶未為晚”。但是從主動防御的角度，我們寧愿將相關工作做到事前，盡量避免攻擊面的暴露，這樣才能將安全攻擊帶來的不良影響和損失降到最低?；蛘哒f，大大降低處置安全風險所需投入的成本。

基于多年實踐經(jīng)驗，戴爾科技總結和歸納出一套行之有效的減少受攻擊面的措施和戰(zhàn)略，覆蓋技術、架構、運維、培訓和伙伴等各個維度，希望能夠給企業(yè)的安全實踐帶來有益的啟示和幫助。

1. 打造零信任底座，樹起安全屏障

隨著企業(yè)數(shù)字化轉(zhuǎn)型逐步走向深入，企業(yè)的業(yè)務形態(tài)、IT架構、應用模式等都發(fā)生了翻天覆地的變化。遠程辦公的常態(tài)化、跨云的數(shù)據(jù)傳輸、物聯(lián)網(wǎng)絡的泛在化等，導致了網(wǎng)絡安全邊界的模糊化，傳統(tǒng)的網(wǎng)絡安全方案已經(jīng)無能為力，零信任架構成了新的選擇。

零信任是一個安全概念，其核心理念是企業(yè)和組織不應自動信任其邊界內(nèi)外的任何內(nèi)容，而是必須驗證嘗試連接到其系統(tǒng)的所有內(nèi)容，然后才能授予其訪問權限，并通過整合微分段、身份和訪問管理(IAM)、多因素身份驗證(MFA)和安全分析等解決方案，打造零信任模型。

中國信息通信研究院發(fā)布的《零信任發(fā)展研究報告(2023年)》指出，零信任“持續(xù)驗證、永不信任”、最小化授權、精細化網(wǎng)絡分段流量管理、統(tǒng)一數(shù)字身份等特性，能夠更有效地保障軟件供應鏈安全，抵御勒索軟件攻擊，促進公共數(shù)據(jù)與服務安全開放等。

如今，越來越多的安全廠商引入了網(wǎng)絡分段技術。以前，企業(yè)通常只有一個單一的網(wǎng)絡，所有設備都接入其中，一旦攻擊者進入網(wǎng)絡，就可以暢通無阻，安全隱患防不勝防。所謂網(wǎng)絡分段，顧名思義就是將網(wǎng)絡劃分為具有不同安全級別的分段或分區(qū)，這樣有助于遏制攻擊，并通過隔離關鍵資產(chǎn)和限制網(wǎng)絡不同部分之間的訪問來防止橫向移動，從而最小化威脅影響。

總之，采用零信任架構能夠讓企業(yè)在核心、云和邊緣環(huán)境中提高可見性，增強控制能力，達到保護數(shù)據(jù)與應用的安全、降低風險的目的。

2. 注重安全細節(jié)，封堵所有漏洞

在企業(yè)中，安全漏洞和隱患無處不在，比如網(wǎng)絡釣魚和數(shù)據(jù)泄露等人為錯誤和遺漏，未知的開源軟件或過時的軟件，還有物聯(lián)網(wǎng)或影子IT資產(chǎn)等。為了減少受攻擊面，企業(yè)可能已經(jīng)采取了很多安全手段和措施，以下幾個方面更應該引起足夠重視：

• 配置安全。企業(yè)應確保系統(tǒng)、網(wǎng)絡和設備按照安全最佳實踐進行正確配置，比如禁用不必要的服務，使用強密碼和執(zhí)行訪問控制，以減少潛在的受攻擊面。
• 堅持最低權限原則?；谧畹蜋嘞拊瓌t可對用戶和系統(tǒng)帳戶加以限制，使其僅具有執(zhí)行相應任務所需的最低訪問權限。此方法可限制攻擊者獲得未經(jīng)授權訪問權限所產(chǎn)生的潛在影響。
• 確保應用程序的安全性。實施安全編碼，定期進行安全測試和代碼審查，以及使用Web應用程序防火墻(WAF)。這些措施有助于防范常見的應用程序級攻擊，并減少Web應用程序的受攻擊面。

3. 隨需應變，持續(xù)更新

減少受攻擊面，不是構建了零信任架構，采取了多種防御措施就萬事大吉。黑客正變得越來越有組織性和規(guī)?；?，攻擊技術和手段花樣翻新，同時攻擊也更具針對性和破壞力。

俗話說“魔高一尺，道高一丈”。應對快速變化的攻擊和威脅，企業(yè)的安全防御系統(tǒng)要定期修補和更新。比如，使用全新的安全修補程序，使得軟件、操作系統(tǒng)和應用程序保持更新，這有助于解決已知漏洞，并最大程度地降低風險。

另外，企業(yè)還要加強對內(nèi)部人員的培訓，提高其安全認知，使得員工有能力識別并報告潛在的安全威脅、網(wǎng)絡釣魚企圖和社會工程策略，這樣可以更有效地降低利用人類弱點發(fā)起攻擊的風險。

4. 善于“借力打力”，構建安全生態(tài)

減少受攻擊面，人人有責，人人獲益。企業(yè)、用戶與合作伙伴應該形成一條統(tǒng)一的安全戰(zhàn)線，共同增強防御安全攻擊的能力。

企業(yè)可以與專業(yè)的安全供應商合作，在設計、制造和交付設備與基礎架構的各個階段都充分考慮到安全性，奠定可信賴的基礎。安全廠商能夠提供安全的供應鏈、安全的開發(fā)生命周期和嚴謹?shù)耐{建模，能夠讓企業(yè)比攻擊者先行一步，有備無患。企業(yè)與安全廠商、專業(yè)的技術和服務合作伙伴建立穩(wěn)固的合作關系，可以更好地吸收來自外部的專業(yè)知識、互補的解決方案，進一步提升企業(yè)整體的安全性。

特別值得一提的是，人工智能技術已經(jīng)成為一種新的增強安全防御能力的手段。特別是大模型的興起，加快了人工智能技術在發(fā)現(xiàn)、處置安全攻擊和威脅中的應用。更深入的研究正在持續(xù)進行之中。

循序漸進持之以恒

企業(yè)在數(shù)字化轉(zhuǎn)型的過程中，無論是在邊緣、核心還是云端，都要做到防微杜漸，努力減少受攻擊面，不斷增強自身抵御持續(xù)威脅的能力，為業(yè)務的創(chuàng)新與發(fā)展保駕護航。

減少受攻擊面需要全方位的安全防護策略。戴爾科技通過建立一攬子安全流程，包括評估風險、保護關鍵數(shù)據(jù)和縮小受攻擊面、偵測威脅、從攻擊過程中恢復等多個過程，不斷提升網(wǎng)絡彈性模型的成熟度；同時，戴爾科技還利用全方位端點保護產(chǎn)品組合，減少受攻擊面，通過將內(nèi)置的保護與持續(xù)的警戒功能相結合，持續(xù)降低攻擊對于企業(yè)的影響。

必須明確的是，網(wǎng)絡安全不是一次性任務，而是一個持續(xù)的過程。通過積極主動地實施各類主動防御措施，企業(yè)能夠有效地減少受攻擊面，使攻擊者更難利用漏洞影響企業(yè)的正常運行。在服務商和合作伙伴的助力下，企業(yè)通過定期審計、滲透測試和漏洞評估等方式，可以及時發(fā)現(xiàn)漏洞及不足，不斷完善和優(yōu)化現(xiàn)有的網(wǎng)絡安全體系和機制，將企業(yè)全面的網(wǎng)絡安全戰(zhàn)略落在實處，增強整體防御能力，從容應對各種新興威脅。