SANS 关于企业资产可见性和攻击面防御态势洞察与建议

近日，SANS发布《2023可见性与攻击面》报告，调查企业在可见性和攻击面方面的防御态势并提出相关建议，为企业提供指导。此次调查是为了更好地了解组织防御立场相对可见性和攻击面，并得到来自攻击和防御双方的450多名受访者的回应。

可见性与攻击面区别

可见性是指了解组织网络上有哪些必要的资产；
组织存在潜在的攻击面或连接点可被攻击者利用；
组织能够了解攻击者的动机并获得所需可见性，就能改善其安全态势；
因业务需要而存在的攻击面是一种组织风险；
为了组织的安全，必须保护或尽量减少现有的攻击面；
组织在应对攻击面方面十分薄弱。

最薄弱的环节，防御最牢固

在以防御为导向的受访者中，8%的人表示不打补丁或不知道是否打补丁，但92% 的人表示为部分IT 资产打补丁。不过，在这92% 的受访者中，有19% 的人表示他们没有定期打补丁；
30%的攻击者几乎不尊重企业的防御系统；
防御措施与攻击者关注的重点有所偏差。

最薄弱的环节是对外联系

94% 的受访组织至少有限地使用了云服务；
近 90%的受访组织表示使用了第三方服务和附属机构。

这些统计数据的汇总显示，所有受访组织在用户、基础设施连接以及与第三方/合作伙伴交换信息方面都有大量的外部连接，是必须防御的攻击面。

受访者主要为防御者

72% 的受访者自我认定为企业的防御者；
15%的受访者自我认定为某种攻击者，如红队成员或渗透测试人员；

这些数字可能表明组织倾向于防御而非攻击，这也在意料之中。2023 年调查受访者统计数据快照如下：（详见图1）

图 1.受访者人群统计数据

有效性自主评估

数字显示，只有29% 的防御计划在评估防御策略的有效性方面实现了自动化和连续性。这意味着，72%的项目没有实现完全自动化，是临时性的，或者与最佳实践不符（详见图2）。

图 2.策略成熟度

数据是关键资产，敏感数据被大多数受访者视为最关键的资产。首先关注数据可能是直观的，但事实上，组织的其他属性或要素可能与数据同样重要，甚至可能比数据更重要。我们必须保护我们的数据，但在保护数据的同时如果忽视员工的安全培训是极不现实的。

守方响应

安全培训

关于安全培训，36% 的受访者表示，在其组织中，包括安全意识在内的安全培训为非正式的，或者未进行该培训（详见图 3）。如果这么高比例的组织不重视或不优先考虑与安全相关的培训，可能会面临巨大的威胁和漏洞。

图 3.安全培训现状

关于安全培训计划更新，半数以上的受访者表示没有根据技术变化更新培训计划，而是根据规定的日程表进行培训计划的更新（详见图4）。

图 4.安全培训更新频率

关于安全培训计划及目标，62%的受访者表示，在计算员工的年度计划和目标时会考虑安全因素（详见图5）。

图 5.安全培训在年度规划和目标中是否被提及

过半的受访组织将奖金和目标与信息安全挂钩。如果关注信息安全，并为此支付报酬，那安全文化可能就会随之产生。企业正在将信息安全视为一种业务实践（详见图6）。

图 6.安全指标和补偿

钓鱼活动

关于钓鱼活动，近年来，许多重大攻击都是从网络钓鱼开始的。如果想对网络钓鱼免疫，就需要反复对他们进行网络钓鱼演练。然而，事实上只有32%的受访者表示他们的网络钓鱼演练频率高于每季度一次（详见图7）。

图 7.网络钓鱼演练频率

报告指标

关于报告指标，正式报告和衡量标准是当今的热门话题，大多数受访者都有一个正式的指标计划来支持其信息安全计划。然而，38%的受访者要么没有计划或不知道（详见图8）。

图 8.安全规划指标

社交媒体安全

关于社交媒体安全，略超半数的受访者会跟踪和跟进社交媒体事件，以确定所使用的策略、技术和流程。近一半控制社交媒体的受访者没有一套强大的控制措施来跟踪和评估社交媒体事件（详见图9）。

图 9.社交媒体访问控制

信息安全

关于信息安全，约 91%的受访者认为其信息安全状况良好（详见图10）。虽然这个比例很高，但不一定代表真实情况。根据经验，很少有组织正式表达其风险承受能力。

图 10.信息安全

安全测量

关于安全测量，仅29%的受访者表示他们在持续地自动化地衡量自身安全策略的成熟度（详见图11）。自动收集可以通过程序设置，因此也更容易监测和控制。根据哈灵顿的观点，测量是控制的第一步，而控制则是改进的基础。

图 11.安全策略成熟度

攻击面

关于攻击面，62%的受访者表示最高程度的风险来自员工和不受监控的账户（详见图12）。人为错误是安全防御的最薄弱环节，需要持续投入资源进行培训。然而，预算的使用需要反映出各种活动的重要性以及每项活动对威胁的影响程度。因此，我们应将预算用于影响最大的领域。

图 12.关键攻击面

攻方响应

现在将介绍那些被认定为攻击方的人的反应。这包括那些作为红队成员或渗透测试人员为组织工作的人，以及那些可能在组织外扮演进攻角色的人。

关于攻击可见性，以进攻为导向的受访者被问到"当从互联网上查看一个组织的网络时，视野有多全面时，” 96%的受访者表示可以看到入侵该组织所需的一切，或者至少有足够的能力在该组织的网络上建立存在，（详见图13）。

图 13.网络视图

关于补丁窗口与漏洞利用时间，攻击者会在防御系统打上补丁之前利用漏洞，据调查，有66%的攻击者能够在7天之内利用漏洞实施攻击行为。（详见图14）。在大部分针对漏洞的攻击被利用时，只有不到一半的系统及时修复。攻击者不会将攻击局限于用户设备。

图 14.漏洞利用速度

关于攻击技术，以进攻为导向的受访者正在使用组织、服务器作为第一个切入点（详见图15）。67%的受访者表示在网络中找到立足点，找到对攻击目标有用的东西，或者找到完成任务所需的一切资源。

图 15.关注 DMZ系统

关于攻击初始切入点，为了获得初始切入点，攻击者主要关注组织的服务器。如果再加上可见IP 地址和开放端口这一攻击向量，那么数据就进一步有力地支持了这一结论（详见图16）。

图 16.攻击面成功率

关于攻击工具，攻击者使用的工具似乎与其对其他问题的回答相吻合，侧重于通过具有可见IP 地址和开放端口的服务器获取初始进入点。

诸如Nmap、代理服务器（用于入侵网络服务器）和Metasploit 等工具通常用于从互联网入侵服务器（详见图17）。

图 17.使用中的攻击工具

关于对防御措施的重视程度，据调查，仅有41%的攻击者感觉目标组织的安全工作比较有效（详见图18）。

图 18.确定目标的安全态势

结论

作为网络防御方，必须更好地扮演风险管理者的角色，识别风险对资产的影响程度，并据此评估攻击面，确保高价值目标得到有效防护。而事实上，迄今为止的防御努力与进攻方的攻击目标往往并不一致，解决这一问题需要从两方面着手，即解决根本问题与附属问题。本文给出两方面建议：

解决根本问题

重视安全。许多组织已形成这样一种观点，即网络安全是可以承受的成本投入。安全团队和整个组织需要转变观念，在战略意识上达成一致，收敛可被攻击者利用的攻击面。
注重培训和安全意识的培养。信息安全培训能够最大程度上提升我们的防护能力，也存在最大的改进空间。单纯在技术、流程上所作的安全措施，并不能完全应对安全威胁。
部署可提供攻击面可见性的解决方案。获取包括部署、云、远程和物联网/OT 资源的可见性，可帮助安全团队积极主动地保护自身网络安全。
更快地修补所有漏洞。安全团队需要更快、更持续地修补漏洞。几乎所有攻击者都表示会在漏洞报告后 7 天内发起攻击。但防守方却很难在 30 天或更长的时间内完成漏洞修补。
保护攻击面。初始访问权限是攻击者的重要目标，因为一旦获取，就可发起获取任意信息，安全团队需要扩展更广泛的安全控制范围。
加固系统。为了减少攻击者滥用可见性的机会，必须尽可能地收敛攻击面。可以通过使用安全配置、关闭不需要的服务以及消除可能造成攻击面的不需要的功能来实现。
仅靠以上措施无法确保100%的安全性，因此必须采取其他辅助防御措施。

解决附属问题

提升纵深防御。纵深防御的概念是，不依靠任何单一的防御技术来进行安全防御，鉴于攻击者可能采取任意威胁行为达成入侵，安全团队需要采取更多样的安全措施，以期降低入侵可能性，并且降低入侵的负面影响。
监控及响应。为了降低入侵影响，安全团队必须采取措施减少攻击者在系统中驻留的时间，因此需要持续监控入侵迹象，并迅速做出响应。

如果防守方不了解进攻方，就不能指望其安全措施100%有效，本次调研对象普遍认为自己采取了有效的安全措施，但恰恰相反，安全团队面临的威胁比想象的更多。以上列出的安全建议并不是开创性的，但也侧面说明我们还没有实施基本的安全策略来应对安全威胁。

往期回顾