数字安全的基础性日益突出,也带来了许多新挑战:数字资产复杂化、影子化、攻击面扩大.......安全419关注到,近日,魔方安全发布《基金行业攻击面管理白皮书》(以下简称“《白皮书》”),这是国内第一份聚焦到金融行业的攻击面管理白皮书。
基金行业网络威胁态势
2022年,漏洞数量整体呈上升趋势。从永恒之蓝到Apache Log4j2,重大漏洞已经成为网络安全从业者无法避免的生活现实。
2022年,仿冒APP呈递增趋势。《白皮书》显示,在仿冒APP中,排名靠前均为金融行业相关的App,其面临严峻的仿冒以及篡改风险。
2022年,微信小程序仿冒趋势递增。《白皮书》对近50家金融类小程序进行安全检查,发现部分小程序存在代码可被逆向破解从而二次利用的仿冒风险。
2022年,数据泄露风险加剧,包括暗网、论坛泄漏,文库、网盘泄漏,代码泄露。1月至8月,累计捕获数据 泄露事件超10000起,金融行业数据泄露事件超过5000+,占据50%。
攻击面管理是破局之道
“攻击面管理”的技术理念,是以保护组织资产安全为出发点,聚焦在攻击者的视角去审视网络空间内不同形态种类的资产所组成的攻击暴露面,更强调“管理”二字,这意味着资产的全面性可度量、外部风险可度量、响应处置可度量。《白皮书》展示了攻击面管理的五个用例。
01、全面彻底的资产排查
全面且清晰的资产台账,是安全建设的必答题,也是迈向高水平安全运营的必经之路。75%的 组织目前都没有可靠且有效的工具去跟踪、梳理IT资产信息,而是用Excel电子表格进行管理。攻击面管理解决方案能够及时更新数据,建立全网资产视图,支撑高危漏洞排查响应,以及兼容各类个性化场景等,为资产排查扩大安全视角。
02、全面的风险识别与优先级排序
在摸清家底之后,需要认清风险。然而,漏洞数量每天都在大幅增长,2021年常见漏洞清单增加到20149个,大约每天新增55个CVEs。如此,组织亟需理清当前资产所面临的风险。攻击面管理解决方案能够排查现网中可被真实利用的漏洞集合,并给出合适的处置方案。即根据资产的上下文帮助确定修复动作的优先次序,提供更科学的 修复指导建议。
03、持续跟踪Shadow IT(影子资产)
大部分安全隐患与风险来自于未知,近年来,业务数字化的步伐进一步加快,资产云化、多样化令影子资产的数量呈指数级增长。这类资产往往成为安全部门的管理盲区,进入脱管的状态,导致无法得到合规的检测、合理的监护。攻击面管理解决方案能够持续地监测 Shadow IT,帮助发现、研判、纳管,让“不可见”无所遁形,让“不可控”尽在掌控。
04、并购IT风险评估
根据普华永道的数据,在技术和资本的推动下,2021年全球范围内的兼并和收购激增,规模超过了5万亿美元。并购会给组织带来无法量化的安全风险,这些因并购而增加的资产是动态和时刻变化的。而攻击面管理解决方案能够动态评估风险,让并购IT风险在掌握之中。
05、供应链/第三方风险
商业伙伴和供应商可能存在未知危险,他们是组织资产的一部分。有效的攻击面解决方案可以帮助组织识别第三方的风险资产和与之相关的漏洞数据集,必梳理清楚与组织基础设施的连接与内嵌的组件。