數(shù)字安全的基礎(chǔ)性日益突出,也帶來了許多新挑戰(zhàn):數(shù)字資產(chǎn)復(fù)雜化、影子化,、攻擊面擴大……近日,,魔方安全發(fā)布《基金行業(yè)攻擊面管理白皮書》(以下簡稱“《白皮書》”),這是國內(nèi)第一份聚焦到金融行業(yè)的攻擊面管理白皮書,。
基金行業(yè)網(wǎng)絡(luò)威脅態(tài)勢
2022年,漏洞數(shù)量整體呈上升趨勢。從永恒之藍到Apache Log4j2,,重大漏洞已經(jīng)成為網(wǎng)絡(luò)安全從業(yè)者無法避免的生活現(xiàn)實。
2022年,,仿冒APP呈遞增趨勢,。《白皮書》顯示,,在仿冒APP中,,排名靠前均為金融行業(yè)相關(guān)的App,其面臨嚴峻的仿冒以及篡改風(fēng)險,。
2022年,,微信小程序仿冒趨勢遞增?!栋灼穼?0家金融類小程序進行安全檢查,,發(fā)現(xiàn)部分小程序存在代碼可被逆向破解從而二次利用的仿冒風(fēng)險。
2022年,,數(shù)據(jù)泄露風(fēng)險加劇,,包括暗網(wǎng)、論壇泄漏,,文庫,、網(wǎng)盤泄漏,代碼泄露。1月至8月,,累計捕獲數(shù)據(jù) 泄露事件超10000起,,金融行業(yè)數(shù)據(jù)泄露事件超過5000+,占據(jù)50%,。
攻擊面管理是破局之道
“攻擊面管理”的技術(shù)理念,,是以保護組織資產(chǎn)安全為出發(fā)點,聚焦在攻擊者的視角去審視網(wǎng)絡(luò)空間內(nèi)不同形態(tài)種類的資產(chǎn)所組成的攻擊暴露面,,更強調(diào)“管理”二字,,這意味著資產(chǎn)的全面性可度量、外部風(fēng)險可度量,、響應(yīng)處置可度量,。《白皮書》展示了攻擊面管理的五個用例,。
01 全面徹底的資產(chǎn)排查
全面且清晰的資產(chǎn)臺賬,,是安全建設(shè)的必答題,也是邁向高水平安全運營的必經(jīng)之路,。75%的 組織目前都沒有可靠且有效的工具去跟蹤,、梳理IT資產(chǎn)信息,而是用Excel電子表格進行管理,。攻擊面管理解決方案能夠及時更新數(shù)據(jù),,建立全網(wǎng)資產(chǎn)視圖,支撐高危漏洞排查響應(yīng),,以及兼容各類個性化場景等,,為資產(chǎn)排查擴大安全視角。
02 全面的風(fēng)險識別與優(yōu)先級排序
在摸清家底之后,,需要認清風(fēng)險,。然而,漏洞數(shù)量每天都在大幅增長,,2021年常見漏洞清單增加到20149個,,大約每天新增55個CVEs。如此,,組織亟需理清當前資產(chǎn)所面臨的風(fēng)險,。攻擊面管理解決方案能夠排查現(xiàn)網(wǎng)中可被真實利用的漏洞集合,并給出合適的處置方案,。即根據(jù)資產(chǎn)的上下文幫助確定修復(fù)動作的優(yōu)先次序,,提供更科學(xué)的 修復(fù)指導(dǎo)建議。
03 持續(xù)跟蹤Shadow IT(影子資產(chǎn))
大部分安全隱患與風(fēng)險來自于未知,,近年來,,業(yè)務(wù)數(shù)字化的步伐進一步加快,,資產(chǎn)云化、多樣化令影子資產(chǎn)的數(shù)量呈指數(shù)級增長,。這類資產(chǎn)往往成為安全部門的管理盲區(qū),進入脫管的狀態(tài),,導(dǎo)致無法得到合規(guī)的檢測,、合理的監(jiān)護。攻擊面管理解決方案能夠持續(xù)地監(jiān)測 Shadow IT,,幫助發(fā)現(xiàn),、研判、納管,,讓“不可見”無所遁形,,讓“不可控”盡在掌控。
04 并購IT風(fēng)險評估
根據(jù)普華永道的數(shù)據(jù),,在技術(shù)和資本的推動下,,2021年全球范圍內(nèi)的兼并和收購激增,規(guī)模超過了5萬億美元,。并購會給組織帶來無法量化的安全風(fēng)險,,這些因并購而增加的資產(chǎn)是動態(tài)和時刻變化的。而攻擊面管理解決方案能夠動態(tài)評估風(fēng)險,,讓并購IT風(fēng)險在掌握之中,。
05 供應(yīng)鏈/第三方風(fēng)險
商業(yè)伙伴和供應(yīng)商可能存在未知危險,他們是組織資產(chǎn)的一部分,。有效的攻擊面解決方案可以幫助組織識別第三方的風(fēng)險資產(chǎn)和與之相關(guān)的漏洞數(shù)據(jù)集,,必梳理清楚與組織基礎(chǔ)設(shè)施的連接與內(nèi)嵌的組件。
更多信息可以來這里獲取==>>電子技術(shù)應(yīng)用-AET<<
