5月1日，《信息安全技術(shù) 關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)要求》（GB/T 39204-2022）國家標(biāo)準(zhǔn)正式實施。該標(biāo)準(zhǔn)作為關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)標(biāo)準(zhǔn)體系的構(gòu)建基礎(chǔ)，提出了關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)的三項基本原則，為運營者開展關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)工作需求提供了強有力的指導(dǎo)。

?

近些年來，針對關(guān)鍵信息基礎(chǔ)設(shè)施的網(wǎng)絡(luò)攻擊事件愈演愈烈，這些攻擊不僅會對企業(yè)造成直接危害，而且可能導(dǎo)致國家關(guān)鍵信息基礎(chǔ)設(shè)施的癱瘓。這其中，企業(yè)暴露在外的互聯(lián)網(wǎng)資產(chǎn)成為了攻擊者常常“借用”的突破口，也成為了企業(yè)最大的網(wǎng)絡(luò)安全隱患。而被動式防御已經(jīng)無法對抗這種未知的、高強度的網(wǎng)絡(luò)攻擊，這已經(jīng)成為了行業(yè)共識。在《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)要求》中也明確提出關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)要從分析識別、安全防護(hù)、檢測評估、監(jiān)測預(yù)警、主動防御、事件處置等六個方面對關(guān)鍵信息基礎(chǔ)設(shè)施進(jìn)行全生命周期的安全防護(hù)。在主動防御環(huán)節(jié)，正式將收斂暴露面納入保護(hù)要求，要求包括：

?

1)?應(yīng)識別和減少互聯(lián)網(wǎng)和內(nèi)網(wǎng)資產(chǎn)的互聯(lián)網(wǎng)協(xié)議地址、端口、應(yīng)用服務(wù)等暴露面壓縮互聯(lián)網(wǎng)出口數(shù)量。

2)?應(yīng)減少對外暴露組織架構(gòu)、郵箱賬號、組織通信錄等內(nèi)部信息，防范社會工程學(xué)攻擊。

3)?不應(yīng)在公共存儲空間（例如∶?代碼托管平臺、文庫、網(wǎng)盤等）存儲可能被攻擊者利用的技術(shù)文檔。例如∶ 網(wǎng)絡(luò)拓?fù)鋱D、源代碼、互聯(lián)網(wǎng)協(xié)議地址規(guī)劃等。

?

隨著企業(yè)數(shù)字化轉(zhuǎn)型的深入發(fā)展，企業(yè)的“云足跡”和資產(chǎn)暴露正以前所未有的速度擴張，攻擊面也在同步擴大，根據(jù)CybelAngel最新發(fā)布的報告，防火墻之外的資產(chǎn)暴露已經(jīng)成為各行業(yè)網(wǎng)絡(luò)安全威脅的最大來源。一般企業(yè)都會有多個互聯(lián)網(wǎng)出口，這就意味著攻擊者可以有更多的攻擊路徑選擇，也意味著企業(yè)需要投入更多的人力進(jìn)行相應(yīng)的監(jiān)測分析和響應(yīng)工作。因此，企業(yè)需要對這些互聯(lián)網(wǎng)出口進(jìn)行功能規(guī)劃，盡量合并或減少不必要的互聯(lián)網(wǎng)出口。

?

企業(yè)的IT部門普遍存在資產(chǎn)管理缺陷，這就成為了企業(yè)網(wǎng)絡(luò)安全防護(hù)的一個灰色地帶。而對攻擊者來說，最習(xí)慣的滲透方式就是直接找到企業(yè)的這些系統(tǒng)或后臺，通過撞庫、暴力破解等方式進(jìn)行攻擊，從而直接獲取管理權(quán)限。因此，企業(yè)一定要從管理上盡量杜絕這一缺陷，做好資產(chǎn)管理工作。

?

當(dāng)然，企業(yè)除了從管理和流程上做到以上要求，最佳的解決方案是引入專業(yè)的攻擊面管理技術(shù)，更加系統(tǒng)化的做好收斂暴露面工作。作為國內(nèi)首家專注于外部攻擊面管理的網(wǎng)絡(luò)安全公司零零信安在這一領(lǐng)域擁有豐富的實踐經(jīng)驗。零零信安EASM產(chǎn)品能夠?qū)⑵髽I(yè)暴露在外的（數(shù)字資產(chǎn)）與企業(yè)之間映射，通過與漏洞情報數(shù)據(jù)進(jìn)行關(guān)聯(lián)，持續(xù)發(fā)現(xiàn)業(yè)務(wù)數(shù)據(jù)和代碼泄露、組織機構(gòu)和人員信息的泄露、以及對供應(yīng)鏈的攻擊面進(jìn)行檢測，并通過對全球開放網(wǎng)絡(luò)和非公開網(wǎng)絡(luò)的數(shù)千個情報源、數(shù)百億量級數(shù)據(jù)、企業(yè)自身業(yè)務(wù)上下文等進(jìn)行大量數(shù)據(jù)采集和弱點優(yōu)先級分析，為企業(yè)用戶輸出攻擊面情報，幫助企業(yè)充分做好收斂暴露面的工作。

?

?

同時，在Gartner《Hype Cycle for Security in China 2022》報告中，零零信安還入選了攻擊面管理推薦廠商。Gartner在報告中還提及了一些新的驅(qū)動力觀察，強調(diào)了攻擊面管理在當(dāng)下和未來應(yīng)用的潛力，認(rèn)同攻擊面管理在“防御演習(xí)”當(dāng)中的高價值作用，從而提前梳理自身薄弱環(huán)節(jié)。

?

如今，攻防演練已經(jīng)成為企業(yè)網(wǎng)絡(luò)安全防護(hù)體系的基礎(chǔ)配置，以求提升自身的網(wǎng)絡(luò)安全整體防護(hù)能力。我們對攻防演練中攻擊方的常用攻擊手段分析發(fā)現(xiàn)，攻擊方首先會通過各種渠道去收集目標(biāo)企業(yè)的各種信息，收集的情報越詳細(xì)，攻擊就會越隱蔽越快速。從攻方視角來看，這就要求防守方要比攻擊者更了解企業(yè)暴露在互聯(lián)網(wǎng)上的系統(tǒng)、端口、后臺管理系統(tǒng)等信息，互聯(lián)網(wǎng)暴露面越多，防守方壓力越大，也越容易被攻擊方攻破防線。因此，攻擊面管理也成為了攻防演練中防守方急需補充的一項重要安全能力。

?

目前，零零信安旗下國內(nèi)首個在線EASM平臺0.zone發(fā)布以來，注冊用戶已超過5萬，越來越多的企業(yè)用戶正在使用零零信安外部攻擊面管理技術(shù)完善自身的網(wǎng)絡(luò)安全防護(hù)體系。同時，零零信安00SEC-E&E還可以專注于為甲乙方企業(yè)提供外部攻擊面數(shù)據(jù)服務(wù)，目標(biāo)是在安全管理、攻擊檢測、漏洞管理三個場景下，為SOAR、SOC、SIEM、MDR、安全運維（服務(wù)），IDS、IPS、NDR、XDR、蜜罐、CTI、應(yīng)急響應(yīng)團隊（服務(wù)），漏洞管理系統(tǒng)、掃描器、 CAASM、BAS、風(fēng)險評估（服務(wù)）、滲透測試團隊（服務(wù)）等產(chǎn)品和服務(wù)提供基礎(chǔ)數(shù)據(jù)能力，讓國內(nèi)所有安全產(chǎn)品都具備外部攻擊面/暴露面檢測能力。