攻击面可见性研究揭示关键安全盲点

本文基于Ivanti 2025年网络安全报告,深入分析企业攻击面可见性盲点的成因、影响及解决方案,涵盖数据孤岛、影子IT、遗留资产和第三方风险等关键领域,并提供提升可见性的具体技术措施。

攻击面可见性:研究揭示关键安全盲点

关键要点

  • 大多数网络安全专业人员报告称,数据孤岛和不可访问的数据限制了威胁可见性,阻碍了事件响应时间,并难以获得完整的攻击面视图。
  • 影子IT、遗留和过时技术以及第三方供应商都是安全和IT团队缺乏数据和洞察力以做出明智安全决策的领域。
  • 攻击面可见性差距使组织面临更大的数据泄露或合规违规风险。
  • 为了获得对其攻击面的完整和持续可见性,组织需要一个全面的数据管理策略,以消除安全和IT孤岛。

数据盲点普遍存在

您无法修复您不知道已损坏的东西。主动攻击面管理始于完全的攻击面可见性,但持久的网络安全数据盲点使组织容易受到攻击。Ivanti的2025年网络安全状况报告发现,孤岛和不可访问的数据限制了威胁可见性,并阻碍了安全工作和响应时间。

您组织的攻击面由所有可能用于访问IT环境的物理、数字和人类入口点组成——通常是为了发起网络攻击。现代攻击面是动态且不断扩展的,包括所有连接的软件、硬件、配置、服务器和应用程序。随着攻击面的增长,防御中的潜在差距也在增加。

组织和数据孤岛给网络安全团队带来了关键的攻击面可见性问题。安全专业人员报告称,不完整和不可访问的数据使他们难以检测员工使用的软件(45%)、确定暴露其系统的漏洞(41%)以及识别访问其网络和公司资源的设备(38%)。在开始最小化和防御漏洞之前,必须了解常见攻击面可见性差距发生的位置和原因,并制定策略来解决这些盲点。

攻击面可见性盲点在哪里?

安全团队经常忽略许多攻击面可见性盲点。

安全和IT孤岛

构成攻击面的设备、系统和资产越多,攻击面生成的数据就越多。然而,当这些数据无法访问时,您无法实现完全可见性。Ivanti的2025年研究发现,大多数组织(55%)在孤岛的IT和安全数据方面遇到困难,这些孤岛使识别、优先处理和响应潜在暴露变得更加困难。

44%的受访安全专业人员报告称,由于具有挑战性的安全/IT关系,管理安全风险是一项“斗争”。此外,40%的人报告称,他们的IT和安全团队使用不同的工具,这种缺乏集成进一步加剧了问题。

影子IT

影子IT是组织攻击面中常见的隐藏风险。员工经常为了方便和提高生产力而利用未经授权的解决方案,没有意识到缺乏IT监督可能会损害安全协议或暴露公司数据。例如,员工使用常见的基于云的文件共享服务(如Google Drive)而不通知IT部门,如果被黑客针对,会增加潜在数据暴露的风险。其他流行的AI在线工具(如ChatGPT或Grammarly)也可能缺乏适当的安全配置或与公司IT基础设施的集成。

自带设备(BYOD)工作的兴起——当个人设备使用不受安全和IT部门监控和管理时——呈现了另一个具有挑战性的影子IT案例。使用个人设备(如闪存驱动器和智能手机)存储和共享敏感信息可能使安全团队 unaware of potential threats.

废弃、未使用和遗留资产

技术债务和技术蔓延是广泛关注的问题,使安全和IT团队更难以管理和保护其资产。被遗忘或废弃的开发项目、过时的遗留应用程序以及冗余的工具和解决方案都 contribute to attack surface expansion and make it more complex and time-consuming to identify, monitor and respond to potential exposures.

在Ivanti对安全和领导专业人员的调查中,三分之一的人报告称,技术债务是其组织的严重关切,43%的人认为这种累积的技术债务使其系统更容易受到安全漏洞的影响。令人担忧的是,超过一半的受访组织(51%)承认使用已达到生命终期的软件。当不再接收定期安全更新或补丁的资产继续未被发现或被忽略时,它为攻击者利用打开了更多潜在点。

第三方风险

缺乏对保护第三方供应商的可见性和问责制是网络安全团队的另一个常见盲点。现代企业依赖许多其他外部供应商、软件应用程序和依赖项,所有这些组件都应被视为总攻击面的延伸。

然而,Ivanti报告中的37%的安全和IT专业人员表示,他们缺乏数据来做出有关供应商风险管理的明智安全决策。此外,研究发现,大多数网络安全团队没有用于评估第三方供应商安全性的标准化流程。

例如,仅24%自称为具有“中级”网络安全成熟度的组织要求供应商提供内部渗透测试的证据。即使在自报告具有最高网络安全成熟度的组织中,也只有43%要求供应商提供内部渗透测试的证据。

攻击面可见性差的后果

威胁行为者继续开发更复杂的工具和技术,以寻找组织攻击面上的潜在弱点。根据Verizon的2024年数据泄露调查报告,2024年由于漏洞利用导致的泄露增加了180%,几乎是2023年的三倍。攻击者的目标是快速找到并利用任何差距,而您未知和未监控的资产可能为他们打开了大门。

泄露成本

大规模数据泄露的财务和声誉影响是破坏性的——特别是泄露未被发现和未解决的时间越长。IBM研究发现,“识别和 containment 超过200天的数据泄露在所有事件类型中具有最高的平均成本,接近550万美元。”

合规差距

合规差距是攻击面可见性差和不完整资产清单的另一个后果。未知、未管理的资产通常可能不符合行业和监管合规标准。如果受到损害,公司可能面临巨额不合规费用,并对此类违规行为承担法律责任。组织无法承担仅在成为威胁行为者目标后才优先修复风险的反应性策略。

提高攻击面可见性的步骤

随着现代攻击面的不断扩展和威胁行为者不断发展和调整其技术,网络安全团队必须采用主动方法来识别、监控和缓解潜在威胁。

1. 解决数据孤岛发现挑战

安全和IT领导者需要一个全面的数据管理策略,利用网络资产攻击面管理(CAASM)解决方案和其他商业智能工具,集成整个外部和数字攻击面的数据。将AI和自动化功能利用到数据关联过程中,允许这些数据自动聚合、规范化、去重并在单个用户界面中呈现。AI和自动化工具能够以人类监督 alone 无法匹配的大规模处理数据。通过减少这些手动IT和安全团队任务,组织减少了孤岛、冗余流程,并释放了安全和IT资源。

2. 审计您的资产清单

开发一个严格的过程来识别和分类任何新或现有资产,将使安全团队更好地确定其攻击面中可能潜伏的可见性差距。进行攻击面评估涉及对每种网络资产的彻底审计。这包括但不限于:

  • 终端设备
  • 移动设备
  • IoT设备
  • 网络设备
  • 面向互联网的资产
  • 云服务和SaaS应用程序
  • 服务器/数据中心设备
  • 第三方供应商

3. 分类每个资产以揭示可见性盲点

在考虑所有潜在元素后,下一个评估步骤是清点哪些资产可以 and cannot be accounted for. 这通常可以分解为以下类别:

  • 已知已知:您知道是攻击面一部分的网络资产。
  • 已知未知:您知道是攻击面一部分但可能没有可见性和/或未 under management 的网络资产。
  • 未知未知:可能或可能不是攻击面一部分的网络资产——您不知道。

任何“未知未知”代表安全团队目前盲目的潜在漏洞,需要被识别和解决。

4. 用外部攻击面管理澄清“未知”

组织可以努力关闭可见性差距并识别未知-未知资产的一种方法是使用外部攻击面管理(EASM)解决方案,该解决方案 continuously scans and monitors public-facing assets, such as domain names, IP addresses and other internet-exposed resources and offers real-time insight into exposures. 使用EASM工具使安全团队能够 continuously search for new assets, changes in configurations and potential vulnerabilities. 这种全面的可见性允许组织更轻松地识别其网络上的未经授权资产,并评估和优先处理要修复的风险。

此外,拥有完全的攻击面可见性允许组织通过 illuminating abandoned, outdated or duplicate assets that should be removed or consolidated 来更好地应对其技术复杂性挑战。

要了解有关如何评估攻击面并揭示任何可见性差距的更多信息,请获取Ivanti的攻击面清单。

常见问题解答

什么是“攻击面”的定义? 组织的攻击面由所有可能用于访问IT环境的物理、数字和人类入口点组成——通常是为了发起网络攻击。

什么是“影子IT”? 影子IT指的是未经授权/未知使用任何未经IT/安全部门批准和支持的设备、应用程序或服务。

用于分类构成组织攻击面的资产的不同类别是什么?

  • 已知已知:您知道是攻击面一部分的网络资产。
  • 已知未知:您知道是攻击面一部分但可能没有可见性和/或未 under management 的网络资产。
  • 未知未知:可能或可能不是攻击面一部分的网络资产——您不知道。
comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次