企業(yè)攻防能力仍顯不足 | 《2022企業(yè)攻擊面管理》報(bào)告解讀

發(fā)布時間 2022-07-28

Hackerone發(fā)布了《2022年企業(yè)攻擊面管理》報(bào)告,報(bào)告中闡述了大部分企業(yè)存在團(tuán)隊(duì)對攻擊面管理準(zhǔn)備不足、測試頻次嚴(yán)重欠缺、現(xiàn)有的處理方案無法應(yīng)對全部風(fēng)險、安全人才嚴(yán)重不足這四大問題,因此企業(yè)對于互聯(lián)網(wǎng)攻擊的防護(hù)能力實(shí)際上遠(yuǎn)低于企業(yè)面臨的攻擊力度,而且這一差距正在放大。針對這一問題,Hackerone在報(bào)告中提出建議,企業(yè)應(yīng)該采取多管齊下的方式,在滿足完善布置基礎(chǔ)攻擊面管理的前提下,加強(qiáng)團(tuán)隊(duì)間的協(xié)作配合,引入白帽子思想從外部對企業(yè)安全進(jìn)行審視,最終實(shí)施好攻擊面管理流程,實(shí)現(xiàn)良好的安全循環(huán)。

image.png

企業(yè)現(xiàn)有安全方案缺陷促成攻防差距

如今企業(yè)的全面數(shù)字化轉(zhuǎn)型、云計(jì)算應(yīng)用的增加、隨時隨地工作的常態(tài)化以及物聯(lián)網(wǎng)(IoT)的出現(xiàn)導(dǎo)致,企業(yè)對于互聯(lián)網(wǎng)以及云的依賴直線上升,有2/3的受訪者表示60%以上的it工作依托云進(jìn)行,預(yù)估到2028年,73%企業(yè)將會擁有遠(yuǎn)程員工。在這一背景下,企業(yè)對于互聯(lián)網(wǎng)攻擊的防護(hù)能力就變得尤為重要。但是如今的局面卻是企業(yè)面對互聯(lián)網(wǎng)攻擊的防護(hù)能力遠(yuǎn)低于實(shí)際的攻擊力度,很多攻擊面實(shí)際上并不能覆蓋防護(hù)到,報(bào)告中的數(shù)據(jù)顯示存在約有38%的攻防覆蓋差距。那么是什么樣的原因造就了如今的局面呢?

image.png

攻防能力差異體現(xiàn)

各個團(tuán)隊(duì)對攻擊面管理準(zhǔn)備不足

一個企業(yè)的攻擊面管理會包括基礎(chǔ)設(shè)施、軟件、應(yīng)用程序和設(shè)備,以及擴(kuò)展的供應(yīng)鏈。但是隨著組織全球化的發(fā)展,企業(yè)的規(guī)模和合作范圍在不斷的擴(kuò)大,這就使得企業(yè)面臨的攻擊面也會隨之不斷擴(kuò)張。不斷擴(kuò)展的攻擊面管理也就會要求開發(fā)、運(yùn)營、IT和安全團(tuán)隊(duì)肩負(fù)起更多的安全責(zé)任,但這種多樣化、擴(kuò)大化的安全責(zé)任會導(dǎo)致四個團(tuán)隊(duì)間出現(xiàn)安全責(zé)任行動的脫節(jié),同時這四大團(tuán)隊(duì)也面臨著各自的問題。

首先是如今開發(fā)團(tuán)隊(duì)更新應(yīng)用的速度越來越快,修補(bǔ)和提供新功能的頻次遠(yuǎn)超過去,這就無意中導(dǎo)致了安全漏洞出現(xiàn)的頻次和概率也在不斷上升。

其次由于企業(yè)的全球化擴(kuò)張趨勢,企業(yè)不斷拓展不同的市場,運(yùn)營團(tuán)隊(duì)就需要在不同云運(yùn)營商和基礎(chǔ)技術(shù)的情況下去配置統(tǒng)一的環(huán)境去運(yùn)行應(yīng)用。但是在差異性條件下,進(jìn)行統(tǒng)一的環(huán)境配置就很容易出現(xiàn)錯誤的配置,從而導(dǎo)致安全漏洞的出現(xiàn)。

再者企業(yè)在進(jìn)行經(jīng)營活動時,無可避免地需要進(jìn)行與其他企業(yè)的合作或者是收購重組,這使得it部門需要進(jìn)行應(yīng)用的整合活動。在管理軟件和SaaS應(yīng)用時,IT部門被迫性地繼承不同的漏洞,這就使得安全漏洞的數(shù)量會源源不斷地增長。

最后是安全團(tuán)隊(duì)的問題。本身優(yōu)質(zhì)的安全運(yùn)營團(tuán)隊(duì)就少之又少,加上隨著互聯(lián)網(wǎng)技術(shù)的快速發(fā)展,網(wǎng)絡(luò)安全相關(guān)的知識內(nèi)容也在快速增長,現(xiàn)有的安全團(tuán)隊(duì)就需要不斷進(jìn)行學(xué)習(xí),但現(xiàn)狀是很多安全團(tuán)隊(duì)缺乏相應(yīng)的新知識,這就造成了安全團(tuán)隊(duì)并不能跟上現(xiàn)有的安全需求。

測試頻次嚴(yán)重欠缺

根據(jù)各種第三方收集的行業(yè)數(shù)據(jù),大型企業(yè)平均至少使用1295個云服務(wù),4110個SaaS應(yīng)用程序,5464個定制應(yīng)用程序,同時正常情況下企業(yè)的各類服務(wù)與應(yīng)用應(yīng)該每年進(jìn)行多次更新與檢測。但是根據(jù)Hackerone的統(tǒng)計(jì)調(diào)查顯示僅有三分之一的受訪者表示他們使用的服務(wù)與應(yīng)用進(jìn)行更新檢測的頻率高于一年一次。考慮到應(yīng)用程序的平均數(shù)量,幾乎60%的HackerOne調(diào)查對象運(yùn)行的五級測試和評估遠(yuǎn)遠(yuǎn)低于理論需要次數(shù)。這就使得企業(yè)使用大部分的應(yīng)用程序以及服務(wù)是沒有經(jīng)過或是只少量經(jīng)過測試的。這些服務(wù)與應(yīng)用程序在企業(yè)互動中普遍是處于較少使用的狀態(tài),但應(yīng)用程序和服務(wù)存在高可利用性漏洞就很可能成為針對企業(yè)網(wǎng)絡(luò)攻擊中最容易的突破口。

現(xiàn)有的處理方案無法應(yīng)對全部風(fēng)險

為了提高抗攻擊能力,大多數(shù)企業(yè)都會使用掃描器或多點(diǎn)式解決方案來幫助了解他們的攻擊面。但現(xiàn)有的掃描器和安全測試存在著大量的缺陷。

image.png

安全測試和掃描工具缺陷占比

同時現(xiàn)有的處理方案還會造成安全團(tuán)隊(duì)以及開發(fā)和運(yùn)營團(tuán)隊(duì)被數(shù)據(jù)淹沒,并形成數(shù)據(jù)孤島化,使得各個團(tuán)隊(duì)難以分析威脅的優(yōu)先級,這就使得有重大破壞潛力的攻擊漏洞難以被及時察覺。在調(diào)查中顯示大多數(shù)調(diào)查對象會利用各種流程來推動開發(fā)、運(yùn)營、it和安全團(tuán)隊(duì)之間的合作,但是現(xiàn)階段這些的團(tuán)隊(duì)合作程度依然有所欠缺,整個流程是偏向于機(jī)械化、僵硬化,缺乏創(chuàng)新性與活性,難以趕上攻擊者的創(chuàng)新手段和創(chuàng)造思維。

安全人才嚴(yán)重不足

各種規(guī)模的企業(yè)都面臨著招聘熟練和有經(jīng)驗(yàn)的人才的挑戰(zhàn),企業(yè)也很難讓他們的團(tuán)隊(duì)了解最新的技術(shù)和網(wǎng)絡(luò)安全威脅。在報(bào)告中顯示超80%的企業(yè)認(rèn)為他們?nèi)狈τ泻细駥I(yè)知識能力的人才團(tuán)隊(duì)。隨著企業(yè)推動數(shù)字化進(jìn)程的加快,他們對云原生和容器技術(shù)組合的需求在不斷增長。但是現(xiàn)階段安全云原生開發(fā)和容器技術(shù)方面的專業(yè)人才還是處于嚴(yán)重匱乏的狀態(tài)。

image.png

新興安全技能知識掌握占比


image.png

企業(yè)對安全人員的需求

如何縮小企業(yè)攻防差距

許多組織認(rèn)為,擁有正確的工具來監(jiān)測其網(wǎng)絡(luò)安全攻擊面就足以管理風(fēng)險。但實(shí)際上多管齊下,多方面針對才能更好地抵御未知的攻擊,縮小攻與防的差異。企業(yè)通常是使用四個主要部分來抵御對其數(shù)字資產(chǎn)環(huán)境的攻擊,即開發(fā)團(tuán)隊(duì)技能、攻擊面管理/監(jiān)測、安全測試程序、安全測試工具和安全。但是即使是這四個組件同時生效,也仍然會存在覆蓋不到的安全漏洞。根據(jù)Hackerone的調(diào)查顯示,這些常用組件僅能夠覆蓋63%,剩余的37%部分是難以覆蓋到的。

image.png

常用組件的覆蓋部分

那么剩余的37%安全風(fēng)險我們該如何應(yīng)對或者是去縮小這部分的比例呢?首先需要增加開發(fā)、IT、運(yùn)營和安全團(tuán)隊(duì)之間的合作,以盡量減少風(fēng)險,同時引入白帽子的思想觀念,脫離原有的傳統(tǒng)思想進(jìn)行拓展性思考,從外部去審視企業(yè)存在的安全風(fēng)險。具體而言擴(kuò)大對經(jīng)驗(yàn)豐富、訓(xùn)練有素和經(jīng)過審查的專業(yè)人員訪問,將正確的技能與正確的項(xiàng)目結(jié)合起來,并且要持續(xù)監(jiān)測和優(yōu)先排序,風(fēng)險最大的資產(chǎn)放在首位進(jìn)行優(yōu)先處理。而在攻擊面測試方法上則需要專注于新的應(yīng)用程序的更新和反復(fù)驗(yàn)證,打破各個部門之間的信息和流程孤島,并最大限度地利用現(xiàn)有安全工具。最后通過伙伴關(guān)系、社群和服務(wù)等,實(shí)現(xiàn)多學(xué)科的技能提升。

image.png

企業(yè)安全結(jié)構(gòu)良性循環(huán)圖

能夠帶來的效益

實(shí)施抗攻擊管理引發(fā)了一個持續(xù)的改進(jìn)循環(huán)。企業(yè)可以更好地了解他們的攻擊面,進(jìn)行符合他們需求的測試,為最關(guān)鍵的資產(chǎn)安排測試,并利用測試結(jié)果來磨練所需的安全技能。然后,這個更加合格和訓(xùn)練有素的團(tuán)隊(duì)可以有能力識別關(guān)鍵資產(chǎn)和問題,并對其進(jìn)行充分的測試。這是一個良性循環(huán),在企業(yè)安全風(fēng)險降低的同時,能夠加強(qiáng)安全團(tuán)隊(duì)的技能水平,最終再次反哺到企業(yè)安全上。

image.png

攻擊面管理實(shí)施前后效益對比

總結(jié)與建議

企業(yè)對于互聯(lián)網(wǎng)以及云的依賴直線上升,意味著需要更強(qiáng)力的網(wǎng)絡(luò)防護(hù)手段去應(yīng)對各種攻擊。但現(xiàn)階段普遍存在著各類的安全問題難以去應(yīng)對,還需要進(jìn)行很多的努力去不斷追趕防護(hù)與攻擊之間的差距。面對這些差距,我們能做的就是建立并完善開發(fā)團(tuán)隊(duì)技能、攻擊面管理/監(jiān)測、安全測試程序、安全測試工具和安全,并且加強(qiáng)團(tuán)隊(duì)間的合作以及運(yùn)用創(chuàng)新性思維,從而建立良性循環(huán)去應(yīng)對未來層出不窮的挑戰(zhàn)。


文章來源:FreeBuf.COM