网络安全之暴露面、攻击面、脆弱性

暴露面
暴露在攻击者视线范围内,可以被利用进行入侵的系统、设备、信息等,都属于暴露面。虽然大多数企业都认识到暴露面的风险所在,并想方设法来减少暴露面;但不幸的是,并非所有暴露面都是显而易见的,大量的暴露面都潜藏在不容易被发现的暗处,很容易因为资产排查不彻底、人员疏漏等问题被忽略。互联网暴露面资产直接面向外部攻击者的威胁。相对于企业内部资产,所面临的安全风险更高。

攻击面
攻击面:是一个给定的计算机或网络系统,可以被黑客访问和利用的漏洞总和。
攻击面包含:
操作系统、中间件、应用程序、承载网络中存在的软件漏洞;
系统和软件中的错误配置与安全控制缺失;
违反安全制度和合规要求的网络配置;
过度宽松的访问控制规则;

减少攻击面的基本策略是减少运行中的软件总量,减少非信任用户可使用的入口点,以及消除用户很少使用的服务。改进信息安全的方法之一就是减少系统与软件的攻击表面。因为关闭不必要的功能,可以避免它们带来的安全风险。减少未授权操作者可调用的代码有助避免安全事故。虽然减少攻击表面有助于防止安全事故,但它不能减少一旦攻击者发现漏洞后可能造成的损害程度。

攻击面从外部攻击视角来审视企业网络资产可能存在的攻击面及脆弱性,如开放端口是否做映射、网络边界是否做隔离、人员行为是否被明确约束等。

脆弱性
脆弱性也可称为弱点或漏洞,是资产或资产组中存在的可能被威胁利用造成损害的薄弱环节。脆弱性一旦被威胁成功利用就可能对资产造成损害。脆弱性可能存在于物理环境、组织、过程、人员、管理、配置、硬件、软件和信息等各个方面。脆弱性是网络系统中可能被利用并造成危害的弱点。

三无七边系统
三无:指具有系统特征且存在”无人管理、无人使用、无人防护”情况的业务/网站/系统/平台。
七边:指测试系统、试验平台、退网未离网系统、工程已上线加载业务但未正式交维系统、与合作伙伴共同运营的业务或系统、责任交接不清的系统、处于衰退期的系统。
三无七边系统是往往是最容易被外部攻破和利用的,所以需要加以重视。但是”三无七边”往往是最不容易发现和忽视的。
“三无七边”系统网络安全管控工作应贯穿规划、设计、建设、入网运行、维护及下线退网整个生命周期。

暴露面不一定存在漏洞也不一定是攻击面,但是因为暴露在攻击者视线范围内,直面外部攻击者的威胁,安全风险高。
攻击面我的理解是既可以被黑客访问又存在漏洞,也就是既是暴露面又有脆弱性,安全风险非常高。
攻击面是从外部攻击的视角来审视可能存在的风险,暴露面和脆弱性从内部管理的视角来审视安全风险。
三无七边系统往往是安全管理人员所忽视的有可能存在暴露面和攻击面而又没有在安全管控范围内的系统,安全风险非常非常高。


作者博客:http://xiejava.ishareread.com


“fullbug”微信公众号

关注:微信公众号,一起学习成长!

0%