百万次渗透测试显示企业安全态势正在恶化

缺乏网站保护、发件人策略框架（SPF）记录和DNSSEC配置使公司更容易受到网络钓鱼和数据泄露攻击。

根据网络安全公司Cymulate基于1万次渗透测试数据的企业安全态势评估，2022年企业数据泄露风险大幅增长，评分从2021年的30分大幅到44分。（Cymulate的进攻性安全测试包括了针对生产环境的渗透测试。）

WAF导致的暴露风险有所下降，但数据泄露风险却在快速增长

Cymulate发现，在客户环境中发现的十大严重漏洞中，平均有四个已经存在两年以上。其中包括高严重性的WinVerifyTrust签名验证漏洞（CVE-2013-2900），该漏洞可允许恶意可执行文件通过安全检查，以及Microsoft Office中的内存损坏漏洞（CVE-2018-0798）。

不过，也有好消息。安全评估的数据表明，企业跨平台恶意软件检测的风险评分普遍提高了，大量攻击被Web网关阻止。

与此同时，Cymulat的进攻性网络安全测试还发现，云和电子邮件依然是黑客的游乐场。

攻击越来越多地来自流行的云

越来越多的攻击者开始利用流行的云服务（例如亚马逊和Azure）而不是流行的文件共享服务（如Dropbox和Box）发动攻击，来逃避电子邮件附件过滤器和其他安全技术。因为企业很难阻止来自大型可信云服务提供商的数据。

在Cymulate研究中，最成功的攻击策略包括在偷渡式入侵场景中通过浏览器攻击用户，存档和泄露数据，并将该数据传输到AWS或Azure等云服务帐户。

电子邮件安全的网络效应

在Cymulate渗透测试发现的前十大风险中，近一半与IT基础设施缺乏安全措施有关。常见问题包括无法识别网络钓鱼域名、无法配置DNSSEC以及缺乏两种关键邮件安全技术：DMARC（基于域名的邮件身份验证、报告和一致性）和SPF（发件人策略框架）。

总体而言，公司在部署关键的电子邮件安全和完整性技术方面进展缓慢，例如DMARC、SPF和第三种技术，即域密钥识别邮件（DKIM），这有助于防止网络钓鱼成功和品牌欺诈。报告指出，虽然实施DMARC、DKIM和SPF的公司可以更好地防止基于电子邮件的攻击，但只有当邮件发送接收方都使用时，技术标准才能发挥网络效应。

报告还显示，不同行业各有优劣势。例如，教育和酒店业的数据泄露风险最高，而科技行业对直接威胁的保护水平最低。科技行业和政府的Web应用防火墙的防护都低于平均水平。