企业攻击面管理的七个最佳实践

Sevco最新发布的《2023年企业攻击面调查报告》分析了超过50万个IT资产数据，结果显示，访问企业网络服务的大量IT资产缺少必要的保护措施。

报告发现，11%的企业IT资产缺少端点保护，15%的IT资产未被企业补丁管理解决方案覆盖，31%的IT资产未被企业漏洞管理系统覆盖。中小企业的情况更糟，未使用托管安全服务的中小企业中，21%的IT资产缺少端点保护。

在当前的网络安全环境中，企业攻击面管理（ASM）变得越来越重要。有效的攻击面管理可以帮助企业识别、评估和减轻潜在的安全风险，确保企业信息资产的安全。

以下是企业进行攻击面管理的七个最佳实践：

一、全面了解攻击面

要建立有效的安全防御，企业必须了解哪些数字资产已经暴露、攻击者最有可能针对的网络资产以及需要哪些保护措施。报告显示，11%的企业IT资产缺少端点保护。因此，提高攻击面可见性至关重要。要查找的漏洞类型包括较旧且安全性较低的计算机或服务器、未打补丁的系统、过时的应用程序和暴露的物联网设备。

基于对攻击面的全面了解，企业可以对事件之前、期间和之后发生的情况进行（预测）建模。对潜在的事件及其风险进行描述，进一步加强主动防御能力。预测内容包括但不限于：企业会遭受什么样的经济损失？企业声誉会受到什么损害？企业会泄露哪些商业情报或机密信息？

SANS新兴安全趋势总监John Pescatore指出：成功的攻击面映射策略非常简单：

• 了解需要保护的内容（准确的资产清单）
• 监控这些资产中的漏洞
• 使用威胁情报来了解攻击者如何攻击存在这些漏洞的资产

这三个阶段都需要具有相应安全技能的熟练员工，以跟上所有三个领域的变化速度。

二、最小化攻击面

在了解攻击面后，企业应该采取措施，减少不必要的网络暴露，限制和控制访问权限，确保只有经过验证和授权的用户才能访问相关资源。

企业可以采取行动来缓解最重要的漏洞和潜在攻击媒介带来的风险，然后再执行较低优先级的任务。

如今大多数网络安全平台厂商都提供工具来帮助企业最大限度地缩小攻击面。例如，微软的攻击面缩小(ASR)规则可帮助阻止攻击者常用的进程和可执行文件。市场中还有大量其他攻击面发现和管理工具，旨在量化攻击面、最小化和强化攻击面。

值得注意的是，大多数据泄露事件都是由人为错误造成的。因此，减少漏洞和缩小（人员）攻击面的另一个重要任务是员工的安全意识培训。

三、制订和执行安全策略

企业应该制定一套完整的安全策略，并严格执行。这包括网络安全、身份验证、数据保护等各个方面，确保企业的安全防护体系健全完善。

循证安全方法和策略将大大有助于缩小攻击面。这包括实施入侵检测解决方案、定期进行风险评估以及制定明确有效的政策。以下是一些需要考虑的策略：

• 通过强大的身份验证协议和访问控制加强帐户管理。
• 建立一致的修补和更新策略。
• 维护和测试关键数据的备份。
• 对网络进行分段，以最大程度地减少发生违规事件造成的损失。
• 监控并淘汰旧设备、装置和服务。
• 尽可能使用加密。
• 制定BYOD政策和计划。

四、持续监控和评估机制

企业应该建立持续的监控和评估机制，实时监控网络活动，及时发现和响应安全事件，定期评估安全策略的有效性，并根据评估结果进行调整优化。

稳固的网络安全计划需要随着IT基础设施的变化和攻击者的发展而不断调整。这需要持续监控和定期测试，后者通常通过第三方渗透测试服务进行。

监控通常通过安全信息和事件管理软件(SIEM)等自动化系统来完成。它将主机系统和应用程序生成的日志数据收集到网络和安全设备（例如防火墙和防病毒过滤器）。然后，SIEM软件对事故和事件进行识别、分类和分析。

渗透测试提供公正的第三方反馈，帮助企业更好地了解漏洞。渗透测试应覆盖企业网络以及BYOD和第三方设备供应商正在使用的核心元素。其中，移动设备约占企业数据交互的60%。

五、加强电子邮件安全

电子邮件是攻击者常用的入侵手段之一，企业应该加强电子邮件的安全防护，例如部署反垃圾邮件和反网络钓鱼的解决方案，提高员工的安全意识和防护能力。一些组织尚未完全部署遏制恶意电子邮件的邮件安全协议，例如：

• 发件人策略框架(SPF)可防止欺骗合法电子邮件返回地址。
• 域密钥识别邮件(DKIM)是一种电子邮件身份验证方法，它使用数字签名让电子邮件的收件人知道该邮件是由域名所有者发送和授权的。
• DMARC（即基于域的消息身份验证报告与合规性）构建于DKIM协议以及发件人策略框架(SPF)协议之上，可针对电子邮件欺骗提供更强大的防御层。DMARC确保可见的“发件人”地址与底层IP地址匹配，以防止欺骗。

六、合规性考虑

企业的安全策略和措施应该符合相关的法律法规和标准要求，确保企业在合规的基础上进行安全防护。

所有组织都应制定政策和流程来研究、识别和理解内部标准和政府标准。目标是确保所有安全策略均符合规定，并对各种攻击和违规类型有相应的响应计划。企业还需要成立一个工作组并制订战略，以便在新政策和法规生效时进行合规性审查。

尽管合规性对于现代网络安全策略至关重要，但这并不一定意味着它应该是优先事项。Pescatore表示：“合规性往往是第一位的，但几乎100%发生信用卡信息泄露事件的公司都符合PCI安全标准，显然合规并不能确保安全。”他认为网络安全策略应首先评估风险并部署流程或控制措施来保护公司及其客户。

七、定期进行安全审计

企业应该定期进行安全审计，通过第三方的评估和检查，发现和修复安全漏洞和风险，不断提高企业的安全防护水平。

即使是最优秀的安全团队在评估企业攻击面时也需要新的视角。雇用安全审核员和分析师可以帮助发现被忽视的攻击媒介和漏洞，还可以协助制定事件管理计划，以处理潜在的泄露和攻击。太多企业没有为网络安全攻击做好准备，原因是缺乏制衡机制来评估自身的安全政策。

Smart Billions首席技术官杰森·米切尔(Jason Mitchell)表示：“当企业试图客观地确定安全风险时，拥有外部、公正的视角可能非常有益。”“使用独立的监控流程来帮助识别风险行为和威胁，避免它们成为端点上的问题，特别是新的数字资产、新加入的供应商和远程员工。”