网络安全现状研究报告系列
2024 年攻击面管理报告
组织的攻击面正在快速扩大。Ivanti 的研究探讨了这一问题的规模,以及实现全面攻击面管理的策略。
IT 术语解析
攻击面是指可用于访问 IT 环境的所有潜在入口点,通常用于发起网络攻击。
组织的攻击面正在快速扩大。Ivanti 的研究探讨了这一问题的规模,以及实现全面攻击面管理的策略。

与任何技术概念一样,在讨论攻击面时,了解与该概念相关的术语非常重要,这样各方才能使用共同语言进行沟通。因此,我们将从攻击面的相关术语开始介绍。
对于“攻击面”的定义并不完全相同。以下是网络安全领域一些权威机构给出的定义:
我们将“攻击面”定义为可用于访问 IT 环境的所有潜在入口点,通常用于发起网络攻击。这些入口点可以是数字的、物理的,也可以是人员相关的。
了解更多:减少组织攻击面的 8 项最佳实践
数字攻击面由任何会将组织的 IT 基础设施和系统(无论在云端还是本地)暴露给可连接互联网的外部方的事物构成。换言之,就是通往您环境的数字入口点。
有人认为,数字攻击面基本上就是网络攻击面,因为它由连接到公司网络的所有硬件和软件组成。然而,构成数字攻击面的组件多种多样。除了简单意义上的“硬件”和“软件”之外,这些组件包括但不限于:
攻击者可以利用上述所有组件来访问 IT 环境。
物理攻击面是指可能成为恶意行为者攻击目标的任何实体对象。正如有人将数字攻击面视为网络攻击面一样,也可以将物理攻击面大致归类为端点攻击面,因为它通常主要由台式机、笔记本电脑、移动设备和物联网设备组成。这些设备在丢失或被盗后,往往会落入恶意行为者手中。
除端点外,物理攻击面还包括:
基本上,只要是可以实际触碰到的事物,都属于物理攻击面的一部分。
网络和端点攻击面备受关注,但还有一种攻击面经常被忽视:人员攻击面。这或许可以解释为什么 Verizon 的《2023 年数据泄露调查报告》 (DBIR) 所分析的泄露事件中,有 74% 涉及人为因素。
人员攻击面源于用户或管理员未遵循安全最佳实践。这些失误主要表现为人们受到社会工程攻击的诱骗。根据Verizon 报告,网络钓鱼和借口攻击(通常与网络钓鱼配合使用)是受害者最多的两类社会工程攻击。难怪在《Press Reset:2023 年网络安全现状报告》调查的组织中,有 43% 在过去两年内遭遇过网络钓鱼攻击。
构成人员攻击面的其他因素可能包括:
这样的例子不胜枚举。虽然目前分享的示例通常是无意行为,可归因于缺乏经验和疏忽,但人员攻击面也包括恶意内部人员的蓄意行为。根据美国网络安全与基础设施安全局 (CISA) 的定义,蓄意威胁是指“内部人员利用其授权访问权限或对组织的了解来损害该组织的可能性。”
请注意,不同的攻击向量可能被视为多种攻击面类型的一部分。例如,撑开大门的示例既可视为人员攻击面的一部分,因为门是由人撑开的;也可视为物理攻击面的一部分,因为门是一个实体对象,可提供进入物理场所的入口。归根结底,重要的并不是某个攻击向量归属于哪种攻击面,而是您能够识别、管理,并在可能的情况下消除该向量。
了解更多:攻击面发现:如何识别组织的攻击面