国产精品一区二区色蜜蜜-97国产在线观看视频-日韩成人午夜福利免费视频-国产91福利在线视频

Hackerone發(fā)布了《2022年企業(yè)攻擊面管理》報告，報告中闡述了大部分企業(yè)存在團隊對攻擊面管理準備不足、測試頻次嚴重欠缺、現(xiàn)有的處理方案無法應(yīng)對全部風險、安全人才嚴重不足這四大問題，因此企業(yè)對于互聯(lián)網(wǎng)攻擊的防護能力實際上遠低于企業(yè)面臨的攻擊力度，而且這一差距正在放大。針對這一問題，Hackerone在報告中提出建議，企業(yè)應(yīng)該采取多管齊下的方式，在滿足完善布置基礎(chǔ)攻擊面管理的前提下，加強團隊間的協(xié)作配合，引入白帽子思想從外部對企業(yè)安全進行審視，最終實施好攻擊面管理流程，實現(xiàn)良好的安全循環(huán)。

企業(yè)現(xiàn)有安全方案缺陷促成攻防差距

如今企業(yè)的全面數(shù)字化轉(zhuǎn)型、云計算應(yīng)用的增加、隨時隨地工作的常態(tài)化以及物聯(lián)網(wǎng)（IoT）的出現(xiàn)導致，企業(yè)對于互聯(lián)網(wǎng)以及云的依賴直線上升，有2/3的受訪者表示60%以上的it工作依托云進行，預(yù)估到2028年，73%企業(yè)將會擁有遠程員工。在這一背景下，企業(yè)對于互聯(lián)網(wǎng)攻擊的防護能力就變得尤為重要。但是如今的局面卻是企業(yè)面對互聯(lián)網(wǎng)攻擊的防護能力遠低于實際的攻擊力度，很多攻擊面實際上并不能覆蓋防護到，報告中的數(shù)據(jù)顯示存在約有38%的攻防覆蓋差距。那么是什么樣的原因造就了如今的局面呢？

攻防能力差異體現(xiàn)

各個團隊對攻擊面管理準備不足

一個企業(yè)的攻擊面管理會包括基礎(chǔ)設(shè)施、軟件、應(yīng)用程序和設(shè)備，以及擴展的供應(yīng)鏈。但是隨著組織全球化的發(fā)展，企業(yè)的規(guī)模和合作范圍在不斷的擴大，這就使得企業(yè)面臨的攻擊面也會隨之不斷擴張。不斷擴展的攻擊面管理也就會要求開發(fā)、運營、IT和安全團隊肩負起更多的安全責任，但這種多樣化、擴大化的安全責任會導致四個團隊間出現(xiàn)安全責任行動的脫節(jié)，同時這四大團隊也面臨著各自的問題。

首先是如今開發(fā)團隊更新應(yīng)用的速度越來越快，修補和提供新功能的頻次遠超過去，這就無意中導致了安全漏洞出現(xiàn)的頻次和概率也在不斷上升。

其次由于企業(yè)的全球化擴張趨勢，企業(yè)不斷拓展不同的市場，運營團隊就需要在不同云運營商和基礎(chǔ)技術(shù)的情況下去配置統(tǒng)一的環(huán)境去運行應(yīng)用。但是在差異性條件下，進行統(tǒng)一的環(huán)境配置就很容易出現(xiàn)錯誤的配置，從而導致安全漏洞的出現(xiàn)。

再者企業(yè)在進行經(jīng)營活動時，無可避免地需要進行與其他企業(yè)的合作或者是收購重組，這使得it部門需要進行應(yīng)用的整合活動。在管理軟件和SaaS應(yīng)用時，IT部門被迫性地繼承不同的漏洞，這就使得安全漏洞的數(shù)量會源源不斷地增長。

最后是安全團隊的問題。本身優(yōu)質(zhì)的安全運營團隊就少之又少，加上隨著互聯(lián)網(wǎng)技術(shù)的快速發(fā)展，網(wǎng)絡(luò)安全相關(guān)的知識內(nèi)容也在快速增長，現(xiàn)有的安全團隊就需要不斷進行學習，但現(xiàn)狀是很多安全團隊缺乏相應(yīng)的新知識，這就造成了安全團隊并不能跟上現(xiàn)有的安全需求。

測試頻次嚴重欠缺

根據(jù)各種第三方收集的行業(yè)數(shù)據(jù)，大型企業(yè)平均至少使用1295個云服務(wù)，4110個SaaS應(yīng)用程序，5464個定制應(yīng)用程序，同時正常情況下企業(yè)的各類服務(wù)與應(yīng)用應(yīng)該每年進行多次更新與檢測。但是根據(jù)Hackerone的統(tǒng)計調(diào)查顯示僅有三分之一的受訪者表示他們使用的服務(wù)與應(yīng)用進行更新檢測的頻率高于一年一次?？紤]到應(yīng)用程序的平均數(shù)量，幾乎60%的HackerOne調(diào)查對象運行的五級測試和評估遠遠低于理論需要次數(shù)。這就使得企業(yè)使用大部分的應(yīng)用程序以及服務(wù)是沒有經(jīng)過或是只少量經(jīng)過測試的。這些服務(wù)與應(yīng)用程序在企業(yè)互動中普遍是處于較少使用的狀態(tài)，但應(yīng)用程序和服務(wù)存在高可利用性漏洞就很可能成為針對企業(yè)網(wǎng)絡(luò)攻擊中最容易的突破口。

現(xiàn)有的處理方案無法應(yīng)對全部風險

為了提高抗攻擊能力，大多數(shù)企業(yè)都會使用掃描器或多點式解決方案來幫助了解他們的攻擊面。但現(xiàn)有的掃描器和安全測試存在著大量的缺陷。

安全測試和掃描工具缺陷占比

同時現(xiàn)有的處理方案還會造成安全團隊以及開發(fā)和運營團隊被數(shù)據(jù)淹沒，并形成數(shù)據(jù)孤島化，使得各個團隊難以分析威脅的優(yōu)先級，這就使得有重大破壞潛力的攻擊漏洞難以被及時察覺。在調(diào)查中顯示大多數(shù)調(diào)查對象會利用各種流程來推動開發(fā)、運營、it和安全團隊之間的合作，但是現(xiàn)階段這些的團隊合作程度依然有所欠缺，整個流程是偏向于機械化、僵硬化，缺乏創(chuàng)新性與活性，難以趕上攻擊者的創(chuàng)新手段和創(chuàng)造思維。

安全人才嚴重不足

各種規(guī)模的企業(yè)都面臨著招聘熟練和有經(jīng)驗的人才的挑戰(zhàn)，企業(yè)也很難讓他們的團隊了解最新的技術(shù)和網(wǎng)絡(luò)安全威脅。在報告中顯示超80%的企業(yè)認為他們?nèi)狈τ泻细駥I(yè)知識能力的人才團隊。隨著企業(yè)推動數(shù)字化進程的加快，他們對云原生和容器技術(shù)組合的需求在不斷增長。但是現(xiàn)階段安全云原生開發(fā)和容器技術(shù)方面的專業(yè)人才還是處于嚴重匱乏的狀態(tài)。

新興安全技能知識掌握占比

企業(yè)對安全人員的需求

如何縮小企業(yè)攻防差距

許多組織認為，擁有正確的工具來監(jiān)測其網(wǎng)絡(luò)安全攻擊面就足以管理風險。但實際上多管齊下，多方面針對才能更好地抵御未知的攻擊，縮小攻與防的差異。企業(yè)通常是使用四個主要部分來抵御對其數(shù)字資產(chǎn)環(huán)境的攻擊，即開發(fā)團隊技能、攻擊面管理/監(jiān)測、安全測試程序、安全測試工具和安全。但是即使是這四個組件同時生效，也仍然會存在覆蓋不到的安全漏洞。根據(jù)Hackerone的調(diào)查顯示，這些常用組件僅能夠覆蓋63%，剩余的37%部分是難以覆蓋到的。

常用組件的覆蓋部分

那么剩余的37%安全風險我們該如何應(yīng)對或者是去縮小這部分的比例呢？首先需要增加開發(fā)、IT、運營和安全團隊之間的合作，以盡量減少風險，同時引入白帽子的思想觀念，脫離原有的傳統(tǒng)思想進行拓展性思考，從外部去審視企業(yè)存在的安全風險。具體而言擴大對經(jīng)驗豐富、訓練有素和經(jīng)過審查的專業(yè)人員訪問，將正確的技能與正確的項目結(jié)合起來，并且要持續(xù)監(jiān)測和優(yōu)先排序，風險最大的資產(chǎn)放在首位進行優(yōu)先處理。而在攻擊面測試方法上則需要專注于新的應(yīng)用程序的更新和反復驗證，打破各個部門之間的信息和流程孤島，并最大限度地利用現(xiàn)有安全工具。最后通過伙伴關(guān)系、社群和服務(wù)等，實現(xiàn)多學科的技能提升。

企業(yè)安全結(jié)構(gòu)良性循環(huán)圖

能夠帶來的效益

實施抗攻擊管理引發(fā)了一個持續(xù)的改進循環(huán)。企業(yè)可以更好地了解他們的攻擊面，進行符合他們需求的測試，為最關(guān)鍵的資產(chǎn)安排測試，并利用測試結(jié)果來磨練所需的安全技能。然后，這個更加合格和訓練有素的團隊可以有能力識別關(guān)鍵資產(chǎn)和問題，并對其進行充分的測試。這是一個良性循環(huán)，在企業(yè)安全風險降低的同時，能夠加強安全團隊的技能水平，最終再次反哺到企業(yè)安全上。

攻擊面管理實施前后效益對比

總結(jié)與建議

企業(yè)對于互聯(lián)網(wǎng)以及云的依賴直線上升，意味著需要更強力的網(wǎng)絡(luò)防護手段去應(yīng)對各種攻擊。但現(xiàn)階段普遍存在著各類的安全問題難以去應(yīng)對，還需要進行很多的努力去不斷追趕防護與攻擊之間的差距。面對這些差距，我們能做的就是建立并完善開發(fā)團隊技能、攻擊面管理/監(jiān)測、安全測試程序、安全測試工具和安全，并且加強團隊間的合作以及運用創(chuàng)新性思維，從而建立良性循環(huán)去應(yīng)對未來層出不窮的挑戰(zhàn)。

文章來源：FreeBuf.COM