跳转至内容部分

IT 术语解析

什么是攻击面?

攻击面是指可用于访问 IT 环境的所有潜在入口点,通常用于发起网络攻击。

“攻击面”这一概念近来受到越来越多关注。Google 趋势显示,在过去五年中,“攻击面”作为搜索词的热度持续上升。

Google Trends results for 'attack surface' from April 2018 to April 2023

2018 年 4 月至 2023 年 4 月期间“攻击面”的 Google 趋势结果

组织对攻击面这一主题的兴趣不断增加,与实际攻击面的扩大趋势相吻合。三分之二的组织表示,其攻击面在过去一年中有所扩大。远程工作的扩展以及云应用和物联网端点等可通过互联网访问的资产使用量增加,是主要驱动因素。

当前形势表明,IT 和安全专业人员不仅必须了解这一主题,还需要能够采取行动来识别、管理并减少其组织的攻击面。

网络安全现状研究报告系列

2024 年攻击面管理报告

组织的攻击面正在快速扩大。Ivanti 的研究探讨了这一问题的规模,以及实现全面攻击面管理的策略。

ASM 报告

网络安全中的攻击面是什么?

与任何技术概念一样,在讨论攻击面时,了解与该概念相关的术语非常重要,这样各方才能使用共同语言进行沟通。因此,我们将从攻击面的相关术语开始介绍。

对于“攻击面”的定义并不完全相同。以下是网络安全领域一些权威机构给出的定义:

我们将“攻击面”定义为可用于访问 IT 环境的所有潜在入口点,通常用于发起网络攻击。这些入口点可以是数字的、物理的,也可以是人员相关的。


了解更多:减少组织攻击面的 8 项最佳实践

什么是数字攻击面?

数字攻击面由任何会将组织的 IT 基础设施和系统(无论在云端还是本地)暴露给可连接互联网的外部方的事物构成。换言之,就是通往您环境的数字入口点。

有人认为,数字攻击面基本上就是网络攻击面,因为它由连接到公司网络的所有硬件和软件组成。然而,构成数字攻击面的组件多种多样。除了简单意义上的“硬件”和“软件”之外,这些组件包括但不限于:

  • 代码。
  • 面向互联网的应用和服务器。
  • IT 系统、资产和工具的错误配置。
  • 设备和应用等过时的 IT 资产。
  • 密码。
  • 端口。
  • 恶意接入点。
  • 影子 IT。
  • 共享数据库。
  • 共享目录。
  • 软件、固件和操作系统中的漏洞。
  • 网站。

攻击者可以利用上述所有组件来访问 IT 环境。

什么是物理攻击面?

物理攻击面是指可能成为恶意行为者攻击目标的任何实体对象。正如有人将数字攻击面视为网络攻击面一样,也可以将物理攻击面大致归类为端点攻击面,因为它通常主要由台式机、笔记本电脑、移动设备和物联网设备组成。这些设备在丢失或被盗后,往往会落入恶意行为者手中。

除端点外,物理攻击面还包括:

  • USB 端口。
  • 安全摄像头和 USB 网络摄像头。
  • 硬盘。
  • 网络硬件。
  • 打印机等办公设备。
  • 办公室和数据中心等物理场所的入口点。
  • 存储在废弃硬件上或写在纸上的用户数据和登录凭据。
  • 遗失的员工 ID 卡、钥匙扣或身份验证令牌。

基本上,只要是可以实际触碰到的事物,都属于物理攻击面的一部分。

什么是人员攻击面?

网络和端点攻击面备受关注,但还有一种攻击面经常被忽视:人员攻击面。这或许可以解释为什么 Verizon 的《2023 年数据泄露调查报告》 (DBIR) 所分析的泄露事件中,有 74% 涉及人为因素。

人员攻击面源于用户或管理员未遵循安全最佳实践。这些失误主要表现为人们受到社会工程攻击的诱骗。根据Verizon 报告,网络钓鱼和借口攻击(通常与网络钓鱼配合使用)是受害者最多的两类社会工程攻击。难怪在《Press Reset:2023 年网络安全现状报告》调查的组织中,有 43% 在过去两年内遭遇过网络钓鱼攻击。

构成人员攻击面的其他因素可能包括:

  • 未定期为系统打补丁。
  • 使用弱密码和重复密码。
  • 用户权限分配不当。
  • 将办公楼大门撑开不关。
  • 允许未经授权的人员尾随进入或搭便车进入安全区域。
  • 未消除网络设计缺陷。
  • 允许敏感信息通过肩窥被窃取。
  • 因将未知 USB 驱动器插入计算机而遭遇诱饵攻击
  • 敏感数据处置不当。

这样的例子不胜枚举。虽然目前分享的示例通常是无意行为,可归因于缺乏经验和疏忽,但人员攻击面也包括恶意内部人员的蓄意行为。根据美国网络安全与基础设施安全局 (CISA) 的定义,蓄意威胁是指“内部人员利用其授权访问权限或对组织的了解来损害该组织的可能性。”

请注意,不同的攻击向量可能被视为多种攻击面类型的一部分。例如,撑开大门的示例既可视为人员攻击面的一部分,因为门是由人撑开的;也可视为物理攻击面的一部分,因为门是一个实体对象,可提供进入物理场所的入口。归根结底,重要的并不是某个攻击向量归属于哪种攻击面,而是您能够识别、管理,并在可能的情况下消除该向量。


了解更多:攻击面发现:如何识别组织的攻击面