了解企业资产存在的暴露面,掌握这些暴露面存在的潜在风险是开展有效安全计划的基础。为了更全面地了解企业在攻击面管理上的现状以及所面临的困难与挑战,Randori与ESG日前开展了一项调查,对398位企业安全团队负责人进行了访谈和调研,并发布了《2022年攻击面管理现状报告》,报告数据显示:
研究发现,行业正在努力跟上数字环境的快速扩张和不断变化的步伐,但缺乏有效做到这一点所需的工具和流程。结果导致了真正暴露给攻击者的风险与安全团队已知的风险之间的差距越来越大。研究人员认为,以下三种力量正成为推动攻击面管理(ASM)解决方案需求不断增长的重要因素:
1、攻击面继续扩大,但可见性仍然很差
报告调研发现,在过去一年中,随着远程办公人员数量、云解决方案和SaaS应用程序使用量的不断增加,企业组织的外部攻击面进一步扩大。
从表面上看,攻击面扩大并不奇怪,因为世界一直朝着更为互联和分散的方向发展,连接到互联网的资产数量自然会增加,攻击面扩大也是理所当然的。但值得警惕的是,导致攻击面扩张的原因,除了云采用率和SaaS应用程序及服务的增长外,企业对第三方供应商的日益依赖也是重要因素,企业组织对第三方供应商处的资产可见性管理能力不足,这引入了新的风险和盲点。
值得庆幸的是,调查显示绝大多数企业都认为应该提升对攻击面的监控能力,但这种意识形态并没有发挥作用。40%的受访企业仍然依赖于传统的IT资产管理系统进行攻击面的检测和发现;41%的企业通过广泛的网络威胁情报系统对新威胁进行监测。
虽然企业目前所采用的方案具有一定的价值,但传统的资产管理系统仅涵盖企业的IT和安全团队已知的资产,而网络威胁情报解决方案也仅能监测已知的威胁。这两种工具都不具备主动发现未知攻击面或对因未被企业重视的攻击面进行管理的能力,而这些恰好是企业进行安全管理的重要驱动力。
相比之下,专用的ASM解决方案具备自动监控和持续发现功能,可提高对攻击面的可见性。但调查显示,目前只有34%的受访企业在其安全堆栈中拥有该专用解决方案。这意味着半数以上的企业在攻击面的可见性方面仍处于劣势,由于未采用专用的ASM工具,这些企业组织面临的攻击威胁风险更大。
2、现有管理流程效率有待提高
2021年12月,Log4j漏洞被披露后,短短5小时内,Randori公司就开发出了一个有效的漏洞利用;48小时内,GreyNoise Intelligence等公司便观察到了针对该漏洞的广泛利用尝试。
这表明攻击者的速度正变得越来越快,攻击者采取行动时,大多数的企业组织却仍挣扎在了解自身是否暴露的阶段。企业组织平均需要80多小时来编译其攻击面的更新清单,而攻击者仅需48小时就能开发出有效的漏洞利用。
当被问及“将采取什么行动来改善攻击面管理”时,31%的受访企业表示将增加专用于发现和评估外部资产状况的漏洞扫描频率;29%的企业将根据关于资产可利用性的威胁情报,提高分析外部攻击面中资产并为资产分配风险评分的能力;25%的企业表示将为安全和IT人员提供更多的攻击面管理培训。
3、外部攻击面管理成为重要的投资领域
调查显示,73%的企业仍在使用电子表格管理企业攻击面;34%的企业拥有专用的外部攻击面管理(external attack surface management,EASM)解决方案;31%的企业将EASM作为2022年的重点投资领域,他们将围绕其攻击面管理计划建立正式的KPI和指标,并开始利用EASM解决方案从渗透测试和攻防演练工作中获得更大的价值。
专用的EASM解决方案能够消除传统电子表格在对攻击面管理时导致的编译、管理混乱问题。还可以通过持续监控暴露的资产,在新风险出现时及时向企业发出警报,了解企业对诸如Log4j等漏洞问题的暴露程度就像检查员工的电子邮件或登录控制台一样简单,可大大降低安全团队的工作压力,降低安全人员倦怠的风险。
外部攻击面管理的重要意义体现在多个方面。其中最主要的是,攻击面是抵御攻击的第一道防线。如果企业的攻击面中有大量未知或未受管理的资产,则可能随时遭遇未知攻击。
对外部攻击面进行管理可以实现对企业攻击面的持续可见性监测,能够帮助企业更加准确地评估这些风险。一般来说,企业的攻击面一直处于变化之中,这也是持续性监测的重要意义所在。
此外,企业对外部攻击面管理的了解只是一个开始。随着企业的攻击面不断扩大,不能仅停留在对风险的识别、发现和监控上,企业还必须能够通过持续的测试和验证来改进其安全控制措施,以确保企业资产和基础设施能够得到妥善的防护。
当青岛*测控技术有限公司遇上安企神,测控技术数据安全将迎来哪些新变化?
海*测控技术有限公司是海*微电子有限公司100%控股子公司,是由青岛市政府、山东省政府及行业领军企业共同出资成立的第三方检测平台。旨在集成电路可靠性验证及测试分析领域打造国内一流集成电路检测、分析、设计开发及技术解决方案等集成电路产业共性技术服务平台。海*以海洋装备和高端设备集成电路可靠性验证和测试分析为特色,主要为海...
"聚势谋远:重庆*医药集团与安企神达成战略合作,探索医药+科技融合发展新路径!
重庆*医药集团有限公司成立于2017年8月,是在重庆市*区医药(集团)有限责任公司基础上组建成立的大型医药产业企业。是重庆*经济技术开发(集团)有限公司控股的混合所有制企业和市级重点项目三峡国际健康产业园投资单位,位列全国百强医药流通企业。公司下辖重庆*制药有限公司、*医药科技重庆有限公司、重庆*肿瘤医院等十余家子公司...
聚焦核心数据安全:山东卫禾*股份有限公司携手安企神软件构建防泄密屏障!
项目背景山东卫禾*股份有限公司于2015年注册成立,公司拥有总资产1.5亿元,公司具有齿轮检测中心、三坐标测量仪、全谱直读光谱仪等关键研发设备。运用UGNX7.5、MASTA5.4等研发软件进行研发,具有强大的技术研发能力,拥有31项专利,坚持产学研结合,设有山东卫禾*技术研究院,并不断加强研发平台建设,打造创新型企业...
安全+智造双升级!江阴*电子有限公司携手安企神开启企业防护新时代!
江阴*电子有限公司成立于1989年,是一家电子元器件集成设计和生产服务的领先供应商。产品应用包括数据采集、计算机外围设备和其他电子产品。还进入了汽车电子行业、航空航天行业、工业控制行业、医疗器械行业和消费电子行业,为客户提供更广泛的高附加值产品和服务。随着科技产业的快速发展和市场需求的增加,现已成功转型为一家提供完整解...
福建*医药公司联手安企神软件,成功落地应用程序、网站黑名单设置与USB管控方案!
项目背景福建*医药有限公司前身是福建*工贸责任有限公司,2015年重组后成为中国五百强企业——*医药集团的子公司。 系中国最大的民营医药集团,是在中国医药商业行业处于领先地位的上市公司。公司成立于2015年08月04日,经营范围包括中药饮片、中成药、化学原料药、化学药制剂等。应用需求管控公司电脑安装程序和使用程序,禁...