数字化时代的到来,让企业所拥有的IT资产数量暴涨,这对于IT管理者来说,可不是一件好事情,IT管理如果跟不上数字化的发展,会导致企业出现越来越多的影子资产,而影子资产所带来的安全风险是未知和不可预见的。“摸清家底”是搞好安全运营的第一步,发现影子资产,提升暴露资产的看见能力已经成为企业安全运营需要具备的重要能力。
对于高等教育行业来说,面临着同样的安全挑战。在零零信安与GoUpSec联合发布的《2023高等教育行业暴露面和泛攻击面分析报告》数据分析中发现,随着高等教育行业云计算的普及和数字化的深入,高校网络的终端、应用、数据和身份与访问都呈几何级数增长,高校数据安全管理能力差距不断扩大,导致高校数字资产暴露和数量远高于其他行业。
从选取的研究对象US世界排名和外部暴露的泛数字资产的横向对比可以发现,不同US评级和不同学科偏向以及不同教学理念的大学,其暴露的泛数字资产数量也会有所不同,理论上US评级越高、学科越综合、教学理念开放性越强的大学,泛数字资产暴露数量越多。
报告中指出,暴露在互联网的泛数字资产未必一定有漏洞和风险,但它们的暴露即提供给攻击者一个攻击入口或可能性。成熟的攻击者或政治/商业黑客组织会通过但不限于信息系统的漏洞进行攻击,他们更多的可能会采取综合攻击手段。例如使用邮箱进行钓鱼,寻找和攻击影子资产,在组织暴露的文档和代码中查找配置文件、密码、通讯录、网络拓扑图等,使用SGK的数据登陆企业OA和VPN,对供应链发起攻击,对M&A或企业VIP发起攻击等手段。
暴露在互联网上的泛数字资产越多,消耗的防御资源越多,单一故障点越多。因此,高等教育行业客户想要解决这个安全隐患,做好安全运营最好的办法就是“打开攻击者视角”,提升暴露资产看见能力,将面向公众的暴露资产/泛攻击面纳入攻击面管理和数字风险保护。
2021年,Gartner发布《2021安全运营技术成熟度曲线》,将攻击面管理相关技术定义为新兴技术,而攻击面管理的核心是攻击者视角。以往从防御者角度出发而构建的防御体系已不足以支撑高等教育行业客户的安全运营需要,尤其是在数字化转型的今天,高等教育行业客户逐渐无法掌控影子资产、IT资产、移动应用风险和邮箱泄露引发的钓鱼风险等。不仅如此,攻击者还会利用泄露的互联网上的文档和代码、高管人员信息、暗网中的社工库、勒索软件、供应链等对企业发起攻击。而攻击面管理技术的出现,就是为了帮助用户更好地解决上述问题。
2022年3月,零零信安推出了国内首款外部攻击面管理SaaS平台0.zone,已经可以做到对包括信息系统、敏感目录、电子邮箱、文档、产品代码、供应链、非公开网络情报、人员以及组织等可导致形成攻击点的潜在风险进行查询,能够为客户提供基于攻击者视角的外部攻击面管理技术产品和服务。平台发布以来获得客户及行业的广泛认可,在赛迪顾问《中国攻击面管理白皮书》、Gartner《Hype Cycle for Security in China, 2022》数说安全《2022年中国网络安全十大创新方向》等被列为攻击面管理推荐厂商。
零零信安创始人兼CEO王宇表示,“外部攻击面管理技术的价值在于它能让企业比攻击者更快、更全、更准地获悉企业外部风险,缩短发现风险的时间,帮助企业获得攻击者视角,从而采取更高级别的主动防御措施。未来零零信安将继续深耕于外部攻击面管理领域,坚持创新,努力打造行业内标杆产品,为客户提供更为卓越的产品和服务,更好地为网络安全建设保驾护航。”