新冠疫情加速了云采用、数字化转型和远程工作的扩展,加之普通公司每天都有新资产涌入网络,其数字足迹和攻击面变得更广、更分散、更具动态性。
伴随着企业网复杂程度的提升,如何识别网络资产,了解资产的脆弱性和潜在的攻击方式就显得尤为重要。
安全风险源于未知数字资产
·2020年12月某市非公开系统证书泄露
·2022年4月该系统云配置accessKey泄露
·es数据库首批泄露147MB数据
·7月第二批次泄露公民数据26.4TB
·同月该数据以数十万美元被售卖
数据泄漏是指任何私人数字数据都是公开的,而没有任何识别要求。当一个未经授权的实体访问您的关键数据时将成为一种入侵。具体有哪些情景可能会造成数据的泄露呢?
①攻击者或外部竞争对手,基于经济利益或政治原因驱动,通过层出不穷的高超技术手段来窃取企业的各种重要数据,企业与企业之间采用多种方式窃取竞争对手机密信息,自古以来都是普遍发生的。如果企业不重视对自身机密信息的保护,不仅会在商业竞争中处于被动还会造成直接经济损失,甚至会导致整体行业的衰落。
②企业内部人员安全意识薄弱,如员工在办公终端上插入来历不明的U盘或使用非正规渠道下载的盗版软件、单击钓鱼邮件的诱导内容等都能导致终端被控制造成数据泄露。部分人员对于数据安全的分级不够明确,操作失误。一些存储设备丢失和维修失密,移动存储设备例如常用电子设备、移动硬盘、手机存储卡等一旦遗失、维修或者报废后,其存储数据往往暴露无遗。部分中高层涉密人员无意识的泄露数据等造成企业信息数据泄露。离职人员由于权限管理的疏忽在离职时有意或无意违规带走一些专利著作及源码等核心数据。
③对于帐号生命周期管理不善,权限划分及认证鉴别方式失控,导致人员对数据的密级访问权限不对等,高密级数据流向低权限帐号,涉密数据流向无权限帐号等。使用一些不安全的加密方式或明文存储、公开的存储位置、管理密钥或存储介质丢失、未完全擦除报废,存储数据发生泄露。对一些合作渠道商管理不善造成了数据交互泄露,发布信息审核不当涉及密级数据泄露,信息数据流入了并未授权或者正处于竞争关系的第三方。
④企业自身供应链泄露及第三方供应商泄露。企业的一些自身产品生产和流通过程中的采购部门、生产部门、仓储部门、销售部门等组成的供需网络往往包含企业大量敏感信息,如果这类系统被恶意攻击者入侵就可造成数据泄露。一些企业由于业务需要,使用或者购买了第三方服务,如供应商代码仓库、供应商外包人员服务、供应商提供的SaaS服务等。那么恶意攻击者就可以通过入侵相关系统来窃取数据或是第三方供应商为了牟取利益泄露数据。
⑤互联网搜索引擎通过收录企业的相关网站,导致数据泄露。企业相关的技术研发运维人员违规的将代码上传至公开的代码仓库,如GitHub或者公开的百度网盘也可以导致数据泄露。
影子资产与边界资产成为最大安全隐患
根据调研机构Forrester Research公司的调查显示,在数字化转型和软件即服务时代,98%的企业决策者决定使用云计算。企业的IT职能部门使用多个公共云提供商的服务来创建多云产品组合,如今无疑已经成为一种常态。
94%的企业在使用云服务,导致接入节点大幅度增多,基础外围防护设备难以全面覆盖。企业如今面临的挑战在于服务、安全性和成本控制的日益复杂的管理。
随着基础设施即服务(IaaS)和平台即服务(PaaS)的大量使用,云存储泄露专有数据或机密信息的事件比2021年增长了150%。
远程办公的普及使切入点和设备大量增加。软件即服务时代,第三方依赖增加,第三方工具被大量采购和使用。当前云服务商的安全交付能力良莠不齐,在SaaS环境中的数据是否会被泄露或篡改、丢失都存在不确定性。因此,对云化的影子资产无法感知,就造成数据安全无法得到保障。
此外,企业组织中可能一直有人与外部提供商保持联系,所以通常情况下都甚至不清楚攻击面包含了什么。每一个影子资产和边界资产都将成为单一风险点。
如果造成数据泄露即将面临的惩罚
《中华人民共和国数据安全法》2021.9.1起实施
·对数据泄露进行:监测、预警、研判、应急、防止危害扩大等要求。
·最高处以1000万元罚款、吊销营业执照、追究法律责任。
《中华人民共和国个人信息保护法》2021.11.1起实施
·履行部门具有保护职责,对信息泄露要有汇报、通知、应急、减轻危害等预案。
·最高处以5000万元/上一年5%营业额罚款、吊销营业执照、追究法律责任。
《关键信息基础设施安全保护要求》2023.5.1起实施
在2022.10.12发布,2023.05.01起实施的《关键信息基础设施安全保护要求》第十章主动防御中提到了对于收敛暴露面的要求:
·应识别和减少互联网和内网资产的互联网协议地址、端口、应用服务等暴露面压缩互联网出口数量。
·应减少对外暴露组织架构、邮箱账号、组织通信录等内部信息,防范社会工程学攻击。
·不应在公共存储空间(例如∶ 代码托管平台、文库、网盘等)存储可能被攻击者利用的技术文档。例如∶ 网络拓扑图、源代码、互联网协议地址规划等。
面对攻击企业应先发制人主动出击
近日发布由Ponemon Institute操刀、IBM赞助与分析的《2022年数据泄露成本报告》深入分析了全球550个组织在 2021年3月至2022年3月期间所遭遇的真实数据泄露事件。
报告分析,全球数据泄露成本在过去两年间上涨近13%。其中60%的受访组织表示他们在遭遇数据泄露事件之后提高了自身产品或服务的价格。83%的受访组织不止一次遭遇过数据泄露事件,而网络攻击不断所导致的数据泄露事件更是成为企业挥之不去的梦魇。
IBM Security X-Force的全球负责人Charles Henderson 表示:“面对攻击,企业应先发制人,采取主动出击的安全保护策略,阻止攻击者达成不法目的,并将攻击造成的影响降到最低。越是试图完善其周边防御、而非加大检测和风险响应投入的企业,就越有可能遭遇更多的数据泄露事件,导致成本飙升。从这份报告可以看出,当企业遭遇攻击时,采用正确的策略和技术可以带来截然不同的结果。”
保护现代企业机构数字足迹免受新威胁
Gartner表示,安全和风险管理领导者必须应对图中七大趋势,才能保护现代企业机构不断扩张的数字足迹免受新威胁影响。
由图可以看出企业的受攻击面正在扩大。网络系统和物联网的使用、开源代码、云应用、复杂的数字供应链和社交媒体等引发的风险使企业机构暴露出的受攻击面超出了其可控资产的范围。
这就要求企业机构必须采用比传统的安全监控、检测和响应更先进的方法,来管理更大范围的安全风险。零零信安所处的EASM技术赛道,即以外部攻击者视角来审视企业自身的风险暴露面,帮助企业持续评估外部风险并提供早期威胁预警,从而为企业减少攻击面提供有力抓手。
零零信安:外部攻击面管理和暴露面收敛专家
中国安全成熟度曲线“攻击面管理”代表厂商
中国 《攻击面管理市场研究报告》推荐厂商
中国网络安全市场年度报告“攻击面管理”典型厂商
全方位感知风险威胁比攻击者更快更强
随着现在数据的丰富和检测、关联能力的提升、响应能力更加自动化,APT识别/跟踪,攻击溯源,威胁狩猎与响应,团伙分析,态势感知等安全防御目标已经远远超出了传统孤立检测系统的应用范畴。应用日志、检测事件日志、资产信息、评估结果等数据已经成为了数据检测的标配。多源异构数据的接入和关联,为事件的可视化、检测、推理、响应和治理提供了全面的支撑。零零信安基于大数据立体攻防、以攻促防、主动防御、力求取得立竿见影效果的理念,为客户提供基于攻击者视角的外部攻击面管理技术产品和服务。系统化能力能够覆盖企业的信息系统(IP设备、子域名、敏感目录、组件、云端、影子资产、边缘资产)、移动应用、M&A和供应链、漏洞和口令、文档和代码泄露、邮箱和人员列表、企业VIP和管理员、全网情报等风险敞口。
虽然现在对于数据提取的工具已经非常强大,但是仅从表面网页提取数据通常是不够的。零零信安外部攻击面管理以大数据采集和智能分析为技术核心,当前已采集原始数据达数十亿条,能够进行智能处理和关联分析后的数据达到了近万亿条,每秒最大数据吞吐量为400万,智能分析速度可达到10万条/秒,每天互联网风险文件和代码检测速度最大可达1.2亿个,每天暗网入库数量为10-15万篇。
2021年全球重大安全事件4,145起,其中由漏洞攻击引起的就有2,761起,占67%以上由外部攻击引起的3,176起,占77%以上,利用外部暴露资产进行远程漏洞攻击,引发的安全事件占绝大多数,也是需要重点关注的方面。对于那些已经被发掘出来的漏洞,黑客极有可能趁漏洞的信息还未大范围传播的时候,利用这段时间差来攻击目标机器,此时绝大多数企业或用户并没有获取到相关的漏洞信息自然也无从防御。零零信安外部攻击面管理平台不仅能够为企业提供 0day、勒索蠕虫、免杀病毒、定向攻击情报等预警信息,还能够进行全球范围全自动数据采集和高效存储,为企业第一时间发现全网售卖相关信息,协助企业及时报警、上报有关单位,及时通知受影响用户采取措施等,辅助企业更好地制定应急策略。
随着数字时代的来临,数据安全开始逐渐被重视,传统权限类、枷锁类数据防护产品性能逐渐无法满足企业需要。零零信安产品不仅能够对数据进行分类分级,完整梳理企业数据资产,还能针对重要数据和敏感数据采取适当、合理的整改建议,帮助企业对资产进行规范化管理和保护来确保企业数字资产的安全。在数据“裸奔”时代,零零信安秉持“防微杜渐未雨绸缪”的理念,不断完善产品功能与服务做您安全路上最专业的护航者!