攻击面可见性研究:揭示IT安全盲点的关键发现

本文基于Ivanti 2025年网络安全报告,深入分析企业攻击面可见性的关键盲点,包括数据孤岛、影子IT、遗留资产和第三方风险等技术挑战,并提出CAASM和EASM等解决方案提升安全可见性。报告显示55%企业存在数据隔离问题,漏洞利用导致的数据泄露同比激增180%。

攻击面可见性研究:揭示关键安全盲点

最后更新:2025年6月9日

安全要点

  • 多数网络安全专业人员报告称,数据孤岛和难以访问的数据限制了威胁可见性,影响事件响应时间,导致难以获得完整的攻击面视图
  • 影子IT、遗留技术、过时技术和第三方供应商都是安全与IT团队缺乏数据洞察的领域
  • 攻击面可见性差距使组织面临更高的数据泄露或合规违规风险
  • 需要采用全面的数据管理策略消除安全和IT孤岛,实现持续的攻击面可见性

无法修复未知的漏洞

主动攻击面管理始于完整的攻击面可见性,但持续存在的网络安全数据盲点使组织易受攻击。Ivanti《2025年网络安全状况报告》发现,孤立和难以访问的数据限制了威胁可见性,阻碍了安全工作和响应时间。

网络安全专业人员报告普遍存在数据盲点

组织的攻击面由所有可能用于访问IT环境的物理、数字和人为入口点组成——通常用于发起网络攻击。现代攻击面是动态且不断扩展的,包含所有连接的软件、硬件、配置、服务器和应用程序。随着攻击面扩大,防御漏洞也会增加。

组织性和数据孤岛给网络安全团队造成关键的攻击面可见性问题。安全专业人员报告称,不完整和难以访问的数据使他们难以检测员工使用的软件(45%)、确定暴露系统的漏洞(41%)以及识别访问网络和企业资源的设备(38%)。

攻击面可见性盲点在哪里?

安全与IT孤岛

攻击面包含的设备、系统和资产越多,生成的数据就越多。但当数据无法访问时,就无法实现完整可见性。Ivanti研究发现,大多数组织(55%)难以处理孤立的IT和安全数据,这些孤岛使识别、优先处理和响应潜在暴露变得更加困难。

44%的安全专业人员报告称,由于安全/IT关系紧张,管理安全风险十分"艰难"。此外,40%的人报告其IT和安全团队使用不同的工具,缺乏集成进一步加剧了问题。

影子IT

影子IT是组织攻击面中常见的隐藏风险。员工经常为方便和生产力使用未经授权的解决方案,没有意识到缺乏IT监督可能破坏安全协议或暴露公司数据。例如,员工使用Google Drive等常见云文件共享服务而未通知IT部门,如果被黑客攻击,会增加数据暴露风险。其他流行AI在线工具(如ChatGPT或Grammarly)也可能缺乏适当的安全配置或与企业IT基础设施的集成。

自带设备(BYOD)工作的兴起——当安全IT部门未监控和管理个人设备使用时——呈现了影子IT的另一个挑战案例。使用U盘和智能手机等个人设备存储和共享敏感信息可能使安全团队 unaware 潜在威胁。

废弃、未使用和遗留资产

技术债务和技术扩张是普遍关注的问题,使安全和IT团队更难以管理和保护其资产。被遗忘或废弃的开发项目、过时的遗留应用程序以及冗余工具和解决方案都导致攻击面扩展,并使识别、监控和响应潜在暴露更加复杂和耗时。

在Ivanti对安全和领导专业人员的调查中,三分之一报告技术债务是其组织的严重问题,43%认为累积的技术债务使其系统更容易受到安全漏洞的影响。令人担忧的是,超过一半的组织(51%)承认使用已终止支持的软件。当不再接收定期安全更新或补丁的资产继续未被发现或忽略时,为攻击者开辟了更多可利用点。

第三方风险

缺乏对保护第三方供应商的可见性和问责是网络安全团队的另一个常见盲点。现代企业依赖众多外部供应商、软件应用程序和依赖项,所有这些组件都应视为总攻击面的延伸。

然而,37%的安全和IT专业人员表示缺乏数据来做出有关供应商风险管理的明智安全决策。此外,研究发现大多数网络安全团队没有标准化流程来评估第三方供应商的安全性。

例如,仅24%自评为"中级"网络安全成熟度的组织要求供应商提供内部渗透测试证据。即使在自报告最高网络安全成熟度的组织中,也只有43%要求供应商提供内部渗透测试证据。

攻击面可见性差的后果

威胁行为者继续开发更复杂的工具和技术来寻找组织攻击面的潜在弱点。根据Verizon《2024年数据泄露调查报告》,2024年因漏洞利用导致的泄露增加了180%,几乎是2023年的三倍。攻击者的目标是快速找到并利用任何漏洞,而您未知和未监控的资产可能为他们敞开大门。

泄露成本

大规模数据泄露的财务和声誉影响是破坏性的——尤其是泄露未被发现和处理的时间越长。IBM研究发现"需要200多天识别和遏制的数据泄露在所有事件类型中平均成本最高,近550万美元。"

合规差距

合规差距是攻击面可见性差和资产清单不完整的另一个后果。未知、未管理的资产通常可能不符合行业和监管合规标准。如果受损,公司可能面临巨额违规罚款并承担这些违规的法律责任。组织不能承担被动策略,仅在成为威胁行为者目标后才优先修复风险。

改善攻击面可见性的步骤

随着现代攻击面持续扩展和威胁行为者不断演变和调整其技术,网络安全团队必须采取主动方法来识别、监控和减轻潜在威胁。

1. 解决数据孤岛发现挑战

安全和IT领导者需要全面的数据管理策略,利用网络资产攻击面管理(CAASM)解决方案和其他商业智能工具,集成整个外部和数字攻击面的数据。将AI和自动化功能引入数据关联过程,允许自动聚合、规范化、去重并在单一用户界面中呈现数据。AI和自动化工具能够处理大规模数据,这是单独人工监督无法比拟的。通过减少这些手动IT和安全团队任务,组织减少孤立、冗余流程并释放安全和IT资源。

2. 审计资产清单

制定严格流程来识别和分类任何新或现有资产,使安全团队更好地确定攻击面中可见性差距可能潜伏的位置。进行攻击面评估涉及彻底审计每种网络资产。包括但不限于:

  • 终端设备
  • 移动设备
  • IoT设备
  • 网络设备
  • 面向互联网的资产
  • 云服务和SaaS应用程序
  • 服务器/数据中心设备
  • 第三方供应商

3. 分类每个资产以揭示可见性盲点

确定所有潜在元素范围后,下一个评估步骤是清点哪些资产可以和不被统计。通常可分为以下类别:

  • 已知已知:您知道是攻击面部分的网络资产
  • 已知未知:您知道是攻击面部分但可能没有可见性和/或未管理的网络资产
  • 未知未知:可能可能是也可能不是攻击面部分的网络资产——您不知道

任何"未知未知"代表安全团队当前盲点的潜在漏洞,需要识别和处理。

4. 用外部攻击面管理澄清"未知"

组织可以缩小可见性差距和识别未知未知资产的一种方法是使用外部攻击面管理(EASM)解决方案,持续扫描和监控面向公众的资产,如域名、IP地址和其他互联网暴露资源,并提供暴露的实时洞察。使用EASM工具使安全团队能够持续搜索新资产、配置变更和潜在漏洞。这种全面可见性使组织更容易识别网络上未经授权的资产,并评估和优先处理要修复的风险。

此外,拥有总攻击面可见性使组织通过照明应移除或合并的废弃、过时或重复资产,更好地应对技术复杂性挑战。

要了解如何评估攻击面和揭示任何可见性差距,请获取Ivanti的攻击面清单。

常见问题

什么是"攻击面"的定义?
组织的攻击面由所有可能用于访问IT环境的物理、数字和人为入口点组成——通常用于发起网络攻击。

什么是"影子IT"?
影子IT指未经授权/未知使用任何IT/安全部门未批准和支持的设备、应用程序或服务。

用于分类组成组织攻击面资产的不同类别是什么?

  • 已知已知:您知道是攻击面部分的网络资产
  • 已知未知:您知道是攻击面部分但可能没有可见性和/或未管理的网络资产
  • 未知未知:可能可能是也可能不是攻击面部分的网络资产——您不知道
comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次