什么是攻击面？

攻击面是指攻击者可以利用来获得对系统、网络或数据的未经授权的访问的所有潜在入口点。由于攻击向量可以是威胁行为者用来非法访问企业 IT 基础设施的任何方式或方法，因此企业 IT 环境特征的攻击向量越多，其攻击面就越广。

攻击面分为三种类型：

• 身体的

• 数字的

• 社会工程学

企业的物理攻击面包括计算机、移动设备、外部存储驱动器、笔记本电脑和物联网机器等硬件。物理攻击面可以通过内部攻击、被盗设备、退役硬件处理不当、远程团队的疏忽以及许多其他危险情况来利用。 

社会工程攻击面特指人为因素，包括组织内个人对操纵和欺骗的敏感性。与通常涉及利用系统中的技术弱点的物理和数字漏洞不同，社会工程攻击利用人类情感、认知偏差和缺乏意识来诱骗用户损害安全。

另一方面，由于云计算技术的全球采用，数字攻击面带来了更复杂的风险。数字或云攻击面包括错误配置、糟糕的 IAM（身份访问管理）、公开暴露的资源和非官方委托的资源（称为影子 IT）。 

绝大多数数据泄露都是利用组织的云攻击面。到 2023 年，只有 18% 的数据泄露事实上针对云环境之外的数据。

云攻击面由哪些组件组成？

应用程序接口 (API)

API 是充当多个异构云应用程序之间的结缔组织的软件。它们是云环境无缝的秘密。不安全和未加密的 API 是造成企业攻击面的重要因素。举个例子：2023 年，本田电子商务平台中的一个 API 漏洞导致客户数据、经销商记录和其他敏感文件遭到泄露。 

第三方应用程序

企业通过委托第三方应用程序和工具来扩大攻击面。这些应用程序包括媒体播放器、网络浏览器以及协作和通信工具。如今，大量的第三方应用程序是云计算不可避免的一个方面。然而，如果无法保护这些应用程序的安全，可能会导致攻击面激增。

十分之六的供应链公司将在未来两年内以基于云的数字漏洞作为不委托第三方供应商的理由。虽然这看起来像是一种合理的安全预防措施，但它会带来重大影响，包括失去第三方供应商提供的潜在变革性服务。企业不应消除第三方协作，而应承认第三方应用程序的固有风险并减轻它们。 

数据库和存储桶

企业利用云服务提供商 (CSP) 的存储解决方案来存储数据。尽管这些解决方案的数据存储既快速又方便，但仍需要考虑安全隐患。例如，公司需要明确划分哪些安全责任属于他们，哪些属于他们的 CSP。每当企业未能做到这一点时，就可能导致灾难性的安全事件。例如，配置错误和公开暴露的存储桶可能很快导致数据泄露。 

数据

几乎所有对企业攻击面的利用都旨在窃取数据。保护数据存储容器的安全是不够的。数据本身需要保护以最大限度地减少攻击面。保护攻击面中的数据层的一些常见技术包括加密、基于角色的访问控制 (RBAC) 和备份。

容器和容器管理平台

容器和容器编排系统（例如 Kubernetes）在现代基于云的 IT 环境中变得越来越普遍。容器文化的兴起在 Dockerfile、Kubernetes YAML 清单和 Helm 图表中的基础设施即代码 (IaC) 文件中引入了许多根深蒂固的风险。容器环境带来了许多好处，但如果不加以控制，可能会增加企业的攻击面。 

用户

人们很容易将注意力集中在复杂的云拓扑上，而忘记是谁在操纵这些空间。用户或“数字身份”（包括人和机器）是企业攻击面的动态且高风险的组成部分。过度特权的访问以及弱密码和凭据是与云环境中的用户相关的一些风险。网络犯罪分子可以利用这些风险在企业的 IT 环境中横向移动、窃取数据并破坏内部系统。

代码存储库

高强度 DevOps 环境的兴起增加了企业的攻击面。代码存储库是威胁行为者可利用的潜在载体。这可能是由于安全缺陷、影子代码以及秘密或敏感代码造成的。这也可能是因为在公共存储库中意外发布了早期迭代代码。此外，未在软件开发生命周期 (SDLC) 早期集成安全性的公司可能会面临更广泛的攻击面。 

人工智能（AI）

人工智能是基于云的攻击面的最新补充。公司越来越多地利用人工智能工具来增强其云运营。虽然人工智能可以促进流程并提高效率，但它也可能带来重大的安全风险。这使得人工智能管道和工具（包括影子人工智能）成为启动重大攻击活动的载体。

2023 年 6 月，我们的研究团队发现，当Microsoft 的 AI 研究人员使用 SAS 令牌共享信息时，微软意外泄露了 38TB 的敏感数据，SAS 令牌支持 Azure 帐户之间的数据共享。除了开源的人工智能训练数据外，研究人员还意外泄露了私人文件。这一事件反映了未来几年可能影响组织人工智能管道的众多安全风险之一。

什么是攻击面管理？ 

攻击面管理是评估、分析和修复组织攻击面潜在漏洞的工具、流程和实践的组合。攻击面管理采用从外到内的有利位置来了解威胁行为者如何利用组织攻击面中的弱点来进行恶意活动。

这种第三方视角至关重要，因为如果不知道哪些外围威胁行为者想要突破、他们计划如何这样做以及他们进入企业云环境后打算做什么，几乎不可能构建最佳防御。 

我们将在下一节中更详细地探讨典型的攻击面管理生命周期，包括三个步骤：攻击面分析、攻击面监控和攻击面减少。

攻击面分析涉及映射攻击面的组件，例如 API、第三方资源、存储桶、数据、容器、数字身份、代码存储库和 AI 工具。在攻击面分析过程中，获得这些不同云资产的相互关联的整体视图至关重要。攻击面监控涉及对这些资产的持续不断的监控。稳健的监控还包括高级别监控以及针对组织特定分支机构的专门和分段监控。

减少攻击面重点是尽可能多地消除威胁行为者的潜在入口。一些关键的攻击面减少策略和实践包括调整人和机器数字身份的权利大小、修改安全控制、优化 API 配置、引入防火墙以及通过零信任防御来保护硬件和端点。

攻击面管理不应该是周期性的。相反，它应该是一个持续、连续和循环的过程：分析、监控、减少、重复。对攻击面管理保持警惕尤为重要，因为威胁行为者不会使用相同的工具和策略来破坏您的防御。他们不断创新，寻找新方法来避开你的防御工事。这就是为什么休眠攻击面管理本身就是一种安全风险。另一方面，充满活力、蓬勃发展和创新的攻击面管理生态系统将减少漏洞并最大限度地减少攻击面。

管理攻击面的几个简单步骤 

第 1 步：分析攻击面

除非公司知道要保护什么，否则他们无法保护自己免受危险。因此，攻击面管理的第一步是识别、汇总和分析云资产，以了解其攻击面的范围和规模。此步骤本质上涉及评估众多攻击媒介（通常是大量 IaaS、PaaS 和 SaaS 服务），并对风险进行优先级排序。在此步骤中，需要分析云环境的每个方面和每一层。

第 2 步：监控攻击面

在绘制并总结攻击向量后，是时候监控整个生态系统以检查您的攻击面是否受到攻击。在此步骤中使用的工具和策略示例包括活动日志记录、持续漏洞扫描、基于风险的优先级、数据安全确认和第三方资源评估。企业还应该权衡运营效率和强大的安全性之间的平衡，以确定风险偏好。

第 3 步：减少攻击面

一旦您分析了攻击面并持续监控活动，您就会知道在哪里以及如何最大限度地降低风险。减少攻击面的一些有效策略包括停用休眠或冗余的用户、应用程序和资源，以及采用零信任概念，例如最小特权、即时 (JIT) 访问和多重身份验证 (MFA)。企业还应该分段和隔离其网络，培训人员遵循安全最佳实践，加密静态和流入数据，并修补漏洞。 

请记住，世界各地的许多组织都在关注攻击面管理中零信任的重要性。据 Gartner 称，到 2026 年，每 10 个大型企业中就有 1 个将采用完全成熟的零信任计划。 

正如我们所看到的，全面的攻击面管理生命周期分为三个步骤：分析、监控和减少。使用孤立的工具和遗留安全方法来优化这些步骤可能非常具有挑战性。专业安全解决方案可以帮助您以超越威胁行为者的工具和策略的速度和效率水平管理攻击面。