当吸引人变得有风险时——你的攻击面看起来如何？

在数字化和不断变化的商业需求的时代，生产环境已经成为一个活的有机体。一个组织内的多个职能和团队最终会影响攻击者查看组织资产的方式，或者换句话说，外部攻击面。这大大增加了定义风险管理策略的必要性。

为了在有效评估和管理网络安全风险的同时满足业务需求，组织应考虑两个主要因素：大小和它的对攻击者的吸引力虽然组织通常专注于说明其攻击面的大小，但其吸引力通常不是首要因素，尽管它可能会对风险产生重大影响。

攻击面大小

有多少资产可以从外部世界访问？

业务需求和安全之间存在微妙的平衡。尽管有充分的理由将更多资产暴露在互联网上（即，为了用户体验、第三方集成和软件架构要求），但代价是攻击面增加。增强的连接性最终意味着对手有更多的潜在突破点。

攻击面越大，对手“游乐场”可用的资产越多，组织就越需要降低暴露风险。这需要精心制定的政策和程序来监控攻击面并持续保护暴露的资产。当然，还有一些基本措施，例如定期扫描软件漏洞和修补。然而，还需要考虑配置问题、影子IT、泄漏的凭据和访问管理方面。

重要的一点是：测试和验证的频率至少应与组织攻击面的变化速度保持一致。一个组织对其环境做出的改变越多，就越需要评估攻击面。然而，即使在变化最小的时期，常规测试仍然是必要的。

攻击面吸引力

虽然外部攻击面的大小是网络安全风险的一个众所周知的指标，但另一个同样重要的方面——尽管对当今的组织来说更难以理解——是如何有吸引力的攻击面面向潜在攻击者。

当对手寻找潜在的受害者时，他们会寻找最低的果实。无论这是损害特定目标组织的最简单方式，还是实现目标的最容易攻击目标，他们都会被外部资产中潜在安全薄弱点的指标所吸引，并将相应地确定其活动的优先级。

当我们谈论“有吸引力”的资产时，我们不一定指可以在黑市上出售的有吸引力的目标，例如个人数据。吸引力是有可能被对手滥用的资产的属性。然后将这些标记为传播攻击的潜在起点。

一个组织的资产可能都被修补到最新和最优秀的软件上。然而，这些资产可能仍具有吸引力。例如，大量开放端口增加了可用于传播攻击的协议数量。必须强调的是，攻击不一定与漏洞有关，但可能是对知名服务的滥用。Pentera Labs的这篇博文描述了如何滥用PsExec实用程序，这是一个很好的例子。此外，某些特定端口可能更具吸引力，例如端口22，它允许从外部世界进行SSH访问。

另一个例子是允许文件上传的网站。对于一些组织来说，这是一项关键服务，可以帮助他们开展业务，但对于攻击者来说，这却是一种方便的方式。组织很清楚风险，可以用不同的方式应对风险，但这不会改变这项资产的吸引力及其相应的风险潜力。

处理景点的主要挑战是它们是移动目标。每次配置更改时，景点的实例数量和严重程度都会发生变化。

为了有效评估吸引力的严重程度，必须了解对手在枚举阶段检测到吸引力的难度，更重要的是，了解利用吸引力的难度。例如，拥有VPN连接很容易检测到，但很难利用，因此，在组织的风险管理计划中，这可能是较低的优先级。另一方面，拥有在线联系表单很容易检测，并且SQL注入和利用Log4Shell等漏洞的风险级别很高。

减少景点数量可以降低组织的风险，但这并不总是可能的。因此，在满足业务需求的同时，了解潜在风险并定义解决风险的计划应该是组织控制外部攻击面的风险敞口的首要任务。