如何做好《关键信息基础设施安全保护要求》提到的收敛暴露面？

最新推荐文章于 2024-05-30 16:19:28 发布

教IT的小强

最新推荐文章于 2024-05-30 16:19:28 发布

阅读量897

点赞数 24

文章标签：安全网络 web安全

本文链接：https://blog.csdn.net/m0_59598029/article/details/136671123

版权

5月1日，《信息安全技术关键信息基础设施安全保护要求》（GB/T
39204-2022）国家标准正式实施。该标准作为关键信息基础设施安全保护标准体系的构建基础，提出了关键信息基础设施安全保护的三项基本原则，为运营者开展关键信息基础设施保护工作需求提供了强有力的指导。

近些年来，针对关键信息基础设施的网络攻击事件愈演愈烈，这些攻击不仅会对企业造成直接危害，而且可能导致国家关键信息基础设施的瘫痪。这其中，企业暴露在外的互联网资产成为了攻击者常常“借用”的突破口，也成为了企业最大的网络安全隐患。而被动式防御已经无法对抗这种未知的、高强度的网络攻击，这已经成为了行业共识。在《关键信息基础设施安全保护要求》中也明确提出关键信息基础设施保护要从分析识别、安全防护、检测评估、监测预警、主动防御、事件处置等六个方面对关键信息基础设施进行全生命周期的安全防护。在主动防御环节，正式将收敛暴露面纳入保护要求，要求包括：

1)应识别和减少互联网和内网资产的互联网协议地址、端口、应用服务等暴露面压缩互联网出口数量。
2)应减少对外暴露组织架构、邮箱账号、组织通信录等内部信息，防范社会工程学攻击。
3)不应在公共存储空间（例如∶ 代码托管平台、文库、网盘等）存储可能被攻击者利用的技术文档。例如∶ 网络拓扑图、源代码、互联网协议地址规划等。

随着企业数字化转型的深入发展，企业的“云足迹”和资产暴露正以前所未有的速度扩张，攻击面也在同步扩大，根据CybelAngel最新发布的报告，防火墙之外的资产暴露已经成为各行业网络安全威胁的最大来源。一般企业都会有多个互联网出口，这就意味着攻击者可以有更多的攻击路径选择，也意味着企业需要投入更多的人力进行相应的监测分析和响应工作。因此，企业需要对这些互联网出口进行功能规划，尽量合并或减少不必要的互联网出口。

企业的IT部门普遍存在资产管理缺陷，这就成为了企业网络安全防护的一个灰色地带。而对攻击者来说，最习惯的渗透方式就是直接找到企业的这些系统或后台，通过撞库、暴力破解等方式进行攻击，从而直接获取管理权限。因此，企业一定要从管理上尽量杜绝这一缺陷，做好资产管理工作。

当然，企业除了从管理和流程上做到以上要求，最佳的解决方案是引入专业的攻击面管理技术，更加系统化的做好收敛暴露面工作。作为国内首家专注于外部攻击面管理的网络安全公司零零信安在这一领域拥有丰富的实践经验。零零信安EASM产品能够将企业暴露在外的（数字资产）与企业之间映射，通过与漏洞情报数据进行关联，持续发现业务数据和代码泄露、组织机构和人员信息的泄露、以及对供应链的攻击面进行检测，并通过对全球开放网络和非公开网络的数千个情报源、数百亿量级数据、企业自身业务上下文等进行大量数据采集和弱点优先级分析，为企业用户输出攻击面情报，帮助企业充分做好收敛暴露面的工作。
![在这里插入图片描述](https://img-
blog.csdnimg.cn/76f7a74d6bec40c5806aa3ad5706de27.png#pic_center)

同时，在Gartner《Hype Cycle for Security in China
2022》报告中，零零信安还入选了攻击面管理推荐厂商。Gartner在报告中还提及了一些新的驱动力观察，强调了攻击面管理在当下和未来应用的潜力，认同攻击面管理在“防御演习”当中的高价值作用，从而提前梳理自身薄弱环节。

如今，攻防演练已经成为企业网络安全防护体系的基础配置，以求提升自身的网络安全整体防护能力。我们对攻防演练中攻击方的常用攻击手段分析发现，攻击方首先会通过各种渠道去收集目标企业的各种信息，收集的情报越详细，攻击就会越隐蔽越快速。从攻方视角来看，这就要求防守方要比攻击者更了解企业暴露在互联网上的系统、端口、后台管理系统等信息，互联网暴露面越多，防守方压力越大，也越容易被攻击方攻破防线。因此，攻击面管理也成为了攻防演练中防守方急需补充的一项重要安全能力。

目前，零零信安旗下国内首个在线EASM平台0.zone发布以来，注册用户已超过5万，越来越多的企业用户正在使用零零信安外部攻击面管理技术完善自身的网络安全防护体系。同时，零零信安00SEC-E&E还可以专注于为甲乙方企业提供外部攻击面数据服务，目标是在安全管理、攻击检测、漏洞管理三个场景下，为SOAR、SOC、SIEM、MDR、安全运维（服务），IDS、IPS、NDR、XDR、蜜罐、CTI、应急响应团队（服务），漏洞管理系统、扫描器、
CAASM、BAS、风险评估（服务）、渗透测试团队（服务）等产品和服务提供基础数据能力，让国内所有安全产品都具备外部攻击面/暴露面检测能力。

题外话

初入计算机行业的人或者大学计算机相关专业毕业生，很多因缺少实战经验，就业处处碰壁。下面我们来看两组数据：

2023届全国高校毕业生预计达到1158万人，就业形势严峻；

国家网络安全宣传周公布的数据显示，到2027年我国网络安全人员缺口将达327万。

一方面是每年应届毕业生就业形势严峻，一方面是网络安全人才百万缺口。

6月9日，麦可思研究2023年版就业蓝皮书（包括《2023年中国本科生就业报告》《2023年中国高职生就业报告》）正式发布。

2022届大学毕业生月收入较高的前10个专业

本科计算机类、高职自动化类专业月收入较高。2022届本科计算机类、高职自动化类专业月收入分别为6863元、5339元。其中，本科计算机类专业起薪与2021届基本持平，高职自动化类月收入增长明显，2022届反超铁道运输类专业（5295元）排在第一位。

具体看专业，2022届本科月收入较高的专业是信息安全（7579元）。对比2018届，电子科学与技术、自动化等与人工智能相关的本科专业表现不俗，较五年前起薪涨幅均达到了19%。数据科学与大数据技术虽是近年新增专业但表现亮眼，已跻身2022届本科毕业生毕业半年后月收入较高专业前三。五年前唯一进入本科高薪榜前10的人文社科类专业——法语已退出前10之列。

“没有网络安全就没有国家安全”。当前，网络安全已被提升到国家战略的高度，成为影响国家安全、社会稳定至关重要的因素之一。

网络安全行业特点

1、就业薪资非常高，涨薪快 2022年猎聘网发布网络安全行业就业薪资行业最高人均33.77万！

2、人才缺口大，就业机会多

2019年9月18日《中华人民共和国中央人民政府》官方网站发表：我国网络空间安全人才需求140万人，而全国各大学校每年培养的人员不到1.5W人。猎聘网《2021年上半年网络安全报告》预测2027年网安人才需求300W，现在从事网络安全行业的从业人员只有10W人。

行业发展空间大，岗位非常多

网络安全行业产业以来，随即新增加了几十个网络安全行业岗位︰网络安全专家、网络安全分析师、安全咨询师、网络安全工程师、安全架构师、安全运维工程师、渗透工程师、信息安全管理员、数据安全工程师、网络安全运营工程师、网络安全应急响应工程师、数据鉴定师、网络安全产品经理、网络安全服务工程师、网络安全培训师、网络安全审计员、威胁情报分析工程师、灾难恢复专业人员、实战攻防专业人员…

职业增值潜力大

网络安全专业具有很强的技术特性，尤其是掌握工作中的核心网络架构、安全技术，在职业发展上具有不可替代的竞争优势。

随着个人能力的不断提升，所从事工作的职业价值也会随着自身经验的丰富以及项目运作的成熟，升值空间一路看涨，这也是为什么受大家欢迎的主要原因。

从某种程度来讲，在网络安全领域，跟医生职业一样，越老越吃香，因为技术愈加成熟，自然工作会受到重视，升职加薪则是水到渠成之事。

黑客&网络安全如何学习

今天只要你给我的文章点赞，我私藏的网安学习资料一样免费共享给你们，来看看有哪些东西。