在網絡資訊保安領域,「受攻擊面」是指可攻擊的漏洞、存取點與攻擊管道,全都可導致企業系統與資料遭到未經授權的存取。
當黑客想要入侵企業的防禦來中斷系統、竊取資料、勒索贖金,或是採取任何其他惡意行動時,受攻擊面就是歹徒的攻擊目標。這使得它成為網絡資訊保安人員關注的重點領域。
受攻擊面包括任何漏洞、入侵點,或是可用來入侵網絡或資訊科技環境的方法,包括任何硬件或軟件,無論是企業內、網絡或雲端。
對大多數企業來說,受攻擊面主要分成三個部分:數碼受攻擊面、實體受攻擊面及社會或人為受攻擊面。傳統的受攻擊面管理方法已不再足夠。所有這些層面都必須持續主動監控,透過網絡風險曝險管理來盡速偵測及攔截威脅。
除了保護受攻擊面外,絕大多數網絡資訊保安團隊也會盡可能縮小受攻擊範圍,讓網絡犯罪集團無法入侵並造成傷害。不過這一點很難做到,因為許多企業的系統和資訊科技環境都比以往更加緊密相連和開放。
進一步了解如何管理您的受攻擊面。
受攻擊面與受攻擊管道
攻擊管道是整體受攻擊面的其中一個範疇,它們都是黑客用來非法存取資料和系統的技巧。許多管道都可用於攻擊的多個環節,例如:
我們對受攻擊面應有何認識?
正如前述,傳統的受攻擊面管理已不再足夠。企業及其網絡資訊保安團隊需要一套網絡風險曝險管理方案來全面清楚受攻擊面全貌。任何受攻擊面分析都應包含網絡設備、雲端伺服器、物聯網裝置、用戶帳號、存取權限等。
此外,企業也必須知道所有資料的儲存位置,尤其是任何業務關鍵、私密、機密、分類或敏感的資料。
綜合這些資訊並隨時保持更新,需要徹底配對受攻擊面的數碼、實體及社交(個人)部份,並且隨時追蹤變化。
受攻擊面的主要風險為何?
受攻擊面(數碼、實體、社會)的每一部份都有自己的風險,因此防禦者必須小心並加以管理。這些風險,包括特定的攻擊管道,隨著技術和威脅的演進而不斷變化。以下是一些範例。
數碼受攻擊面風險
任何可從外部存取的網絡或資源,即使受到加密、認證、防火牆或其他措施的保護,都屬於數碼受攻擊面,而且容易出現:
- 網絡攻擊:勒索程式、病毒及其他惡意程式都可能注入企業系統,讓黑客存取網絡資源、竊取資料、挾持裝置,以及破壞資產和資料。
- 編碼問題與配置錯誤:網絡與雲端技術的配置錯誤,如連接埠、存取點、通訊協定等都為黑客打開大門,是黑客入侵的常見原因。
- 暴露在外的技術:任何連上公眾互聯網的技術,都可能遭到黑客攻擊,包括網站應用程式、網站伺服器、雲端伺服器、應用程式等。
- 過時的技術和應用程式:軟件、韌體及裝置作業系統都必須正確編碼並修補已知的漏洞和威脅,否則就能讓黑客利用來入侵企業。老舊裝置若仍是資訊科技環境的一環,但並未維護或主動使用,也提供相當方便的入侵點給黑客,因為這些裝置通常不會被監控。
- 影子 IT:企業員工所使用的工具若不屬於已知或核准的資訊科技環境,就被視為「影子 IT」工具,而且可能因為網絡資訊保安團隊不知情而產生漏洞。這些工具包括:應用程式、流動儲存裝置、個人手機和平板等等。
- 密碼不足與加密:容易猜測的密碼,不論是因為密碼很明顯、太簡單,或是重複使用於多個帳號,都可能讓黑客取得企業的數碼資源。此外,網絡犯罪集團也因為類似原因而需要竊取登入憑證。加密的目的是要偽裝資訊,讓只有經過授權的人員才能讀取。如果密碼不夠強大,黑客就能擷取資料來發動大規模攻擊。
實體受攻擊面風險
實體受攻擊面採用針對個人實體裝置(如筆記本電腦)或只能在特定地點和設施存取的技術。實體受攻擊面的兩項重大風險包括:
- 失竊和裝置竊盜:筆記本電腦和其他裝置通常會從車上或在無人看管的情況下從公共場所被偷走,甚至在辦公室和其他建築物被竊。一旦黑客擁有了這些裝置,就能利用它們及其內儲存的登入憑證進入企業網絡或存取其他資源。
- 誘騙:在誘餌攻擊中,犯罪集團會將 USB 等可攜式儲存裝置遺留在公共場所,希望有人能將裝置插入電腦來查看其內容。這些「誘餌」 USB 會載入惡意程式,然後載入用戶系統並開始執行攻擊。
社會或人為受攻擊面風險
人類通常稱為網絡資訊保安「第一道防線」,這是因為他們的行為可以直接協助強化或削弱受攻擊面。針對人類行為的網絡攻擊,稱為社交工程攻擊。社會或個人受攻擊面基本上等同於用戶有意或無意間傷害企業的總數。
常見的風險包括:
- 網絡釣魚詐騙包括詐騙電郵、簡訊、語音訊息(今日甚至出現人工智能產生的深偽詐騙、視訊通話),這些詐騙會欺騙用戶採取一些可能危害網絡保安的行動,例如分享敏感資訊、點擊導致惡意程式的連結及發放不該支付的款項等等。人工智能讓網絡釣魚更難偵測,也更具針對性。
- 惡意內部人員:憎恨企業的員工,或是遭到黑客勒索或賄賂的員工,都可以利用合法的授權和存取權限來竊取公司資料、分享登入憑證、安裝惡意程式、損害公司系統,或從事其他有害行為。
我們如何縮小受攻擊面?
沒有任何企業能夠徹底消除受攻擊面,但可以盡力遏止並盡量減少。一旦受攻擊面被對應之後,網絡保安團隊就能實施網絡資訊保安風險管理來持續監控任何變化,主動預估潛在的新興風險,以便發掘機會來降低漏洞與暴露在外的領域,包括:
- 簡化環境、停用任何過時或未使用的軟件和裝置,以及限制端點數量。
- 分割網絡並增加防火牆和其他障礙,讓黑客在登入後更難四處移動。
- 利用受攻擊面分析的結果來找出並消除漏洞和弱點,例如強制輸入更強的密碼、消除老舊的軟件和應用程式、減少影子 IT、實施針對性資訊保安政策與管控等。
- 採用一些最佳實務原則來強化資訊保安措施,包括雙重認證或多重認證,以及零信任方法。由於零信任,因此只有合適的人員才能在有需要時存取特定資料、應用程式及資源。零信任從根本上限制了誰可以使用哪些技術資源、何時及多久。兩者都能保護資產本身,而且如果發生資料外洩,也會更易辨識。
- 透過培訓、測試與定期進修來提升員工的網絡資訊保安意識。教育培訓的主題包括良好的密碼習慣、如何遵守公司政策、如何隨時留意網絡釣魚詐騙和其他社交工程攻擊的風險,以及員工擔心資訊保安可能面臨風險時該採取的行動。
何謂受攻擊面管理?
受攻擊面管理(ASM)是一項傳統的網絡資訊保安方式,目的是要協助企業提升資料與系統的防禦能力。其重點在於了解風險的存在、了解風險的相對嚴重性,以及採取行動來消除人員、流程和技術相關的資訊保安漏洞。受攻擊面管理可讓資訊保安團隊減少進入企業資訊科技生態系的途徑,並掌握新興漏洞與攻擊媒介。
受攻擊面管理變得非常重要,因為企業資訊科技環境比以往更加動態且彼此相連,令受攻擊面變得更大、也更加多樣化。傳統的受攻擊面管理只提供資產發掘與監控方法,以及單一用途的網絡資訊保安端點方案,無法提供完整視野、情報或防護。今日的情勢需要持續監控入侵點,並根據衝擊來判斷防範措施的優先次序。這方法有助將風險轉化成商業術語,並預估威脅,在風險實現之前預先加以中和。
政府在管理受攻擊面方面是否扮演某種角色?
許多司法轄區的機構都制定了法規、法例和公共政策來規管企業如何確保數碼環境安全,包括美國國家標準與技術局的網絡資訊保安風險評分框架,用來評估及管理自己的受攻擊面。
業甽與政府在網絡資訊保安方面的良好合作,有助於提升整體網絡資訊保安防護,並促進有效管理受攻擊面的最佳實務原則。
誰能協助我們管理受攻擊面?
單純管理受攻擊面還不夠,今日的風險情勢需要網絡風險曝險管理功能來主動預測、發掘、評估及防範風險,從而大幅降低網絡資訊保安風險。
Trend Vision One™ 提供了網絡風險曝險管理方案,將關鍵功能如外部受攻擊面管理 (EASM)、網絡資訊保安資產受攻擊面管理(CAASM)、漏洞及防護狀況管理,將雲端、資料、身分、API、人工智能、合規及 SaaS 應用程式整合到一個強大且容易使用的方案。
進一步了解網絡風險曝險管理 來超越受攻擊面的管理。