小心“隐形”资产安全风险，暴露面安全梳理成为当务之急

近年来，勒索病毒感染、用户信息泄露、关键信息基础设施网络故障引发生产事故等安全问题层出不穷、难以防范。究其原因，往往都是对外业务系统漏洞修复不及时，未知资产或隐蔽通道被非法利用等暴露面风险所致。为帮助企业应对暴露面安全风险，盛邦安全推出资产暴露面安全梳理专项方案，能够对暴露面风险进行全面摸排，让安全加固有的放矢。

暴露面风险让企业陷入安全危机

如今的网络安全攻击不断向专业化、组织化、团队化演进，网络黑客在针对特定目标进行攻击之前，往往会对目标进行深入研究，重点找到安全漏洞、弱口令账号等暴露在外的安全风险。随后，黑客会精心制定攻击策略，精确定位被忽视的隐藏暴露面并通过 APT 攻击等方式入侵企业相关业务系统，完成对于目标的攻击。

此类暴露在攻击者视线范围内，可以被利用进行入侵的系统、设备、信息等，都属于暴露面。虽然大多数企业都认识到暴露面的风险所在，并想方设法来减少暴露面；但不幸的是，并非所有暴露面都是显而易见的，大量的暴露面都潜藏在不容易被发现的暗处，很容易因为资产排查不彻底、人员疏漏等问题被忽略。一项安全研究表明，大量电厂、供水厂的基础设施人机界面（HMI）被无意暴露在互联网中，其中的关键信息很有可能被用于发动网络攻击，带来基础服务被破坏等严重后果。

要彻底找到企业的风险暴露面并非一件容易的事情。首先，单纯依靠系统运维和安全运维人工梳理很难完整和高效的维护资产台账。传统的配置管理系统或安全审计体系往往依赖专用的接口协议或复杂的系统插件，实施成本高、局限性大，也无法自动化地关联资产属性和脆弱性风险。

其次，随着5G、物联网等数字化技术的应用，企业接入网络的应用与终端将呈现快速增长的趋势，这也意味着企业的风险暴露面会随之增长，并更趋复杂化，再加上网络攻击技术的持续演进，网络安全将面临更加严重的压力。这不仅对于攻防演练的对抗强度提出了挑战，也对暴露面风险的梳理和安全防护提出了更高的要求。

盛邦安全技术总监聂晓磊指出：“对于任何一个企业或组织单位来说，暴露面的风险无法完全杜绝，想要最大化的降低风险，提升整体的安全防护强度，就要做到知己知彼，合理控制。首先要做好暴露面资产的安全梳理工作，然后才是有针对性地进行安全防护。”

（编辑：核心网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!