缺乏網(wǎng)站保護(hù)、發(fā)件人策略框架(SPF)記錄和DNSSEC配置使公司容易受到網(wǎng)絡(luò)釣魚和數(shù)據(jù)泄露攻擊。

在過去的一年中，由于公司未能適應(yīng)數(shù)據(jù)泄露技術(shù)并充分保護(hù)Web應(yīng)用程序，公司的平均風(fēng)險評分有所惡化。

2022年，公司的有效數(shù)據(jù)泄露風(fēng)險從前一年的平均得分30分增加到44分(100分表示風(fēng)險最高)，這表明數(shù)據(jù)泄露的總體風(fēng)險增加了。這是根據(jù)Cymulate的排名得出的，該公司分析了100萬次筆測的數(shù)據(jù)，其中包括在其生產(chǎn)環(huán)境中進(jìn)行的170萬小時攻擊性網(wǎng)絡(luò)安全測試。

該公司在3月28日發(fā)布的《2022年網(wǎng)絡(luò)安全有效性狀況》報告中指出，存在各種持續(xù)存在的問題，導(dǎo)致風(fēng)險增加。報告指出，首先，雖然許多公司正在改進(jìn)網(wǎng)絡(luò)和組策略的采用和嚴(yán)格性，但攻擊者正在適應(yīng)以避開此類保護(hù)。

而且基本要素仍然滯后。該公司發(fā)現(xiàn)，在客戶環(huán)境中發(fā)現(xiàn)的前10名cve中，有4家成立超過兩年。其中包括高嚴(yán)重程度的WinVerifyTrust簽名驗證漏洞(CVE-2013-2900)，該漏洞可以允許惡意可執(zhí)行文件通過安全檢查，以及Microsoft Office中的內(nèi)存破壞漏洞(CVE-2018-0798)。

不過，也有好消息。來自安全評估的數(shù)據(jù)表明，各大公司都提高了主要平臺上惡意軟件檢測的風(fēng)險評分，許多攻擊都被Web網(wǎng)關(guān)阻止了。

Cymulate技術(shù)信息總監(jiān)邁克?德納波利(Mike DeNapoli)表示，總體而言，企業(yè)需要像對待其他業(yè)務(wù)流程一樣對待網(wǎng)絡(luò)安全，定期檢查控制。

他說:“網(wǎng)絡(luò)安全需要成為一個像對待任何其他業(yè)務(wù)流程一樣的流程，要有制衡和定期審查。首席財務(wù)官絕不會允許賬簿保持關(guān)閉狀態(tài)，除非每年有一次，但將所有資金作為數(shù)據(jù)存儲的系統(tǒng)通常只在年度滲透測試期間進(jìn)行檢查，這種情況必須改變?！?/p>

所有這些都是在公司越來越關(guān)注保護(hù)整個攻擊面、提高對網(wǎng)絡(luò)攻擊的彈性以及防止信息系統(tǒng)中斷的背景下出現(xiàn)的。因此，降低復(fù)雜性的網(wǎng)絡(luò)安全服務(wù)和產(chǎn)品變得更受歡迎，而大型科技公司也紛紛加入其中，例如微軟在8月推出了Defender外部攻擊面管理，IBM在6月收購了ASM初創(chuàng)公司Randori。時間會顯示這些趨勢是否會對風(fēng)險產(chǎn)生影響。

雖然waf造成的暴露風(fēng)險已經(jīng)下降，但數(shù)據(jù)泄露風(fēng)險卻增加了。

與此同時，Cymulate對一年攻擊性網(wǎng)絡(luò)安全測試的分析還發(fā)現(xiàn)，云計算和電子郵件繼續(xù)為黑客提供豐富的沙盒。