漏洞超出您的想象

CVE 或软件漏洞仅构成 IT 安全环境中安全风险的一部分。攻击面巨大，存在许多安全风险，必须将其视为软件漏洞，以减少风险暴露并防止大规模网络攻击

软件漏洞是操作系统或应用程序中的一个弱点，攻击者可以利用它来入侵 IT 网络。当公开披露时，这些软件漏洞通常被分配一个 CVE 标识符。CVE 是指漏洞时的一个流行术语，平均每天发现 50 到 60 个 CVE。

显然，漏洞正在迅速增加，给 IT 安全团队带来了挑战。此外，超过 40% 的已发现漏洞没有分配 CVE 标识符，并且很容易被网络犯罪分子利用。这些漏洞漏洞允许未经授权访问网络，从而导致勒索软件和恶意软件攻击。

IT 安全团队必须实施无缝的漏洞管理流程以防止网络攻击。他们应该不断地识别网络中的漏洞，彻底评估它们，根据其严重性对其进行优先级排序，使用相关补丁进行修复，并报告所有数据以进行战略分析。

很明显，CVE 或软件漏洞是一个严重的安全漏洞，但这些漏洞是攻击者寻找的唯一形式的漏洞吗？为了回答这个问题，我们需要从整个攻击面的角度重新考虑漏洞。

软件漏洞是攻击面中唯一的漏洞吗？

CVE 或软件漏洞仅导致 IT 漏洞环境中的部分安全风险。攻击面包括许多漏洞，包括错误配置的防火墙策略、不可用的防病毒软件、未经授权的应用程序、对计划任务缺乏可见性、不需要的服务和端口、隐藏资产和公开可发现的文件，以及大量安全控制偏差和异常。

所有这些漏洞和安全风险与软件漏洞一样具有威胁性，并且可以轻松打开网关以应对一系列网络攻击。IT 安全团队应该超越 CVE 和软件漏洞，并开始管理这些安全风险，以获得强大的安全态势并对抗攻击。

IT 安全领域的主要安全风险

以下是与软件漏洞一样具有威胁性的顶级安全风险，需要将其视为 IT 安全环境中的漏洞。

• 软件漏洞：软件漏洞是 IT 网络最关键的安全风险。尽管它们受到了安全团队的大量关注，但它们在典型的 IT 基础架构中仍然大量存在。在管理其他安全风险的同时，IT 安全团队必须引入一个持续的自动化流程，以快速检测和修复软件漏洞。
• 配置错误：安全配置错误是指配置不正确的设置，会使组织的 IT 基础设施面临风险。尽管安全错误配置不是应用程序或操作系统的一部分，但它们控制着使应用程序和操作系统运行的设置。例如，弱系统密码或弱加密是一种安全错误配置，可以为许多攻击打开大门，包括暴力攻击。
• IT 资产暴露： IT 安全团队应该对 IT 基础架构拥有完整且持续的可见性。任何 IT 资产的恶意进入都会在很大程度上破坏安全性。例如，使用未经授权的应用程序或设备将对组织的安全造成巨大威胁，引发数据盗窃等攻击。同样，影子 IT、生命周期结束和支持结束的软件以及不需要的端口和服务必须在网络中被识别和处理。
• 缺少安全补丁：缺少补丁是 IT 网络中的关键安全风险之一。许多攻击，包括臭名昭著的 WannaCry 勒索软件，都是由于缺少未按时应用的补丁造成的。除了修复漏洞外，补丁在保持系统稳定、最新和免受网络攻击方面发挥着重要作用。必须不断修补所有操作系统和第三方应用程序，以保护您的网络免受潜在攻击。
• 安全控制的偏差：必须在设备中实施许多安全控制以获得足够的安全性。如果这些安全控制没有正确配置，它们可能会导致安全事故。例如，应始终启用防病毒和防火墙等关键安全控制。这些设置中的任何错误，或者即使它们被意外禁用，都会成为 IT 网络中令人担忧的安全漏洞。

与上述安全风险一样，IT 基础设施中存在的安全偏差和状态异常与软件漏洞一样令人担忧。仅通过管理 CVE 无法减少攻击面。必须严格管理上面讨论的所有漏洞和安全风险，以最大限度地减少攻击面和打击网络攻击。

同样，选择不同的解决方案来管理所有这些漏洞和安全风险只会造成混乱和复杂性。IT 安全团队应该开始寻找能够从一个地方自动检测和修复漏洞、IT 资产暴露、错误配置、安全控制偏差和状态异常的解决方案。只有平等对待所有这些漏洞的工具才能满足当今的 IT 安全需求，并为无威胁的 IT 环境铺平道路。