數(shù)字化時(shí)代的到來(lái)，讓企業(yè)所擁有的IT資產(chǎn)數(shù)量暴漲，這對(duì)于IT管理者來(lái)說(shuō)，可不是一件好事情，IT管理如果跟不上數(shù)字化的發(fā)展，會(huì)導(dǎo)致企業(yè)出現(xiàn)越來(lái)越多的影子資產(chǎn)，而影子資產(chǎn)所帶來(lái)的安全風(fēng)險(xiǎn)是未知和不可預(yù)見(jiàn)的?！懊寮业住笔歉愫冒踩\(yùn)營(yíng)的第一步，發(fā)現(xiàn)影子資產(chǎn)，提升暴露資產(chǎn)的看見(jiàn)能力已經(jīng)成為企業(yè)安全運(yùn)營(yíng)需要具備的重要能力。

對(duì)于高等教育行業(yè)來(lái)說(shuō)，面臨著同樣的安全挑戰(zhàn)。在零零信安與GoUpSec聯(lián)合發(fā)布的《2023高等教育行業(yè)暴露面和泛攻擊面分析報(bào)告》數(shù)據(jù)分析中發(fā)現(xiàn)，隨著高等教育行業(yè)云計(jì)算的普及和數(shù)字化的深入，高校網(wǎng)絡(luò)的終端、應(yīng)用、數(shù)據(jù)和身份與訪問(wèn)都呈幾何級(jí)數(shù)增長(zhǎng)，高校數(shù)據(jù)安全管理能力差距不斷擴(kuò)大，導(dǎo)致高校數(shù)字資產(chǎn)暴露和數(shù)量遠(yuǎn)高于其他行業(yè)。

從選取的研究對(duì)象US世界排名和外部暴露的泛數(shù)字資產(chǎn)的橫向?qū)Ρ瓤梢园l(fā)現(xiàn)，不同US評(píng)級(jí)和不同學(xué)科偏向以及不同教學(xué)理念的大學(xué)，其暴露的泛數(shù)字資產(chǎn)數(shù)量也會(huì)有所不同，理論上US評(píng)級(jí)越高、學(xué)科越綜合、教學(xué)理念開(kāi)放性越強(qiáng)的大學(xué)，泛數(shù)字資產(chǎn)暴露數(shù)量越多。

報(bào)告中指出，暴露在互聯(lián)網(wǎng)的泛數(shù)字資產(chǎn)未必一定有漏洞和風(fēng)險(xiǎn)，但它們的暴露即提供給攻擊者一個(gè)攻擊入口或可能性。成熟的攻擊者或政治/商業(yè)黑客組織會(huì)通過(guò)但不限于信息系統(tǒng)的漏洞進(jìn)行攻擊，他們更多的可能會(huì)采取綜合攻擊手段。例如使用郵箱進(jìn)行釣魚(yú)，尋找和攻擊影子資產(chǎn)，在組織暴露的文檔和代碼中查找配置文件、密碼、通訊錄、網(wǎng)絡(luò)拓?fù)鋱D等，使用SGK的數(shù)據(jù)登陸企業(yè)OA和VPN，對(duì)供應(yīng)鏈發(fā)起攻擊，對(duì)M&A或企業(yè)VIP發(fā)起攻擊等手段。

暴露在互聯(lián)網(wǎng)上的泛數(shù)字資產(chǎn)越多，消耗的防御資源越多，單一故障點(diǎn)越多。因此，高等教育行業(yè)客戶想要解決這個(gè)安全隱患，做好安全運(yùn)營(yíng)最好的辦法就是“打開(kāi)攻擊者視角”，提升暴露資產(chǎn)看見(jiàn)能力，將面向公眾的暴露資產(chǎn)/泛攻擊面納入攻擊面管理和數(shù)字風(fēng)險(xiǎn)保護(hù)。

2021年，Gartner發(fā)布《2021安全運(yùn)營(yíng)技術(shù)成熟度曲線》，將攻擊面管理相關(guān)技術(shù)定義為新興技術(shù)，而攻擊面管理的核心是攻擊者視角。以往從防御者角度出發(fā)而構(gòu)建的防御體系已不足以支撐高等教育行業(yè)客戶的安全運(yùn)營(yíng)需要，尤其是在數(shù)字化轉(zhuǎn)型的今天，高等教育行業(yè)客戶逐漸無(wú)法掌控影子資產(chǎn)、IT資產(chǎn)、移動(dòng)應(yīng)用風(fēng)險(xiǎn)和郵箱泄露引發(fā)的釣魚(yú)風(fēng)險(xiǎn)等。不僅如此，攻擊者還會(huì)利用泄露的互聯(lián)網(wǎng)上的文檔和代碼、高管人員信息、暗網(wǎng)中的社工庫(kù)、勒索軟件、供應(yīng)鏈等對(duì)企業(yè)發(fā)起攻擊。而攻擊面管理技術(shù)的出現(xiàn)，就是為了幫助用戶更好地解決上述問(wèn)題。

2022年3月，零零信安推出了國(guó)內(nèi)首款外部攻擊面管理SaaS平臺(tái)0.zone，已經(jīng)可以做到對(duì)包括信息系統(tǒng)、敏感目錄、電子郵箱、文檔、產(chǎn)品代碼、供應(yīng)鏈、非公開(kāi)網(wǎng)絡(luò)情報(bào)、人員以及組織等可導(dǎo)致形成攻擊點(diǎn)的潛在風(fēng)險(xiǎn)進(jìn)行查詢，能夠?yàn)榭蛻籼峁┗诠粽咭暯堑耐獠抗裘婀芾砑夹g(shù)產(chǎn)品和服務(wù)。平臺(tái)發(fā)布以來(lái)獲得客戶及行業(yè)的廣泛認(rèn)可，在賽迪顧問(wèn)《中國(guó)攻擊面管理白皮書》、Gartner《Hype Cycle for Security in China, 2022》數(shù)說(shuō)安全《2022年中國(guó)網(wǎng)絡(luò)安全十大創(chuàng)新方向》等被列為攻擊面管理推薦廠商。

零零信安創(chuàng)始人兼CEO王宇表示，“外部攻擊面管理技術(shù)的價(jià)值在于它能讓企業(yè)比攻擊者更快、更全、更準(zhǔn)地獲悉企業(yè)外部風(fēng)險(xiǎn)，縮短發(fā)現(xiàn)風(fēng)險(xiǎn)的時(shí)間，幫助企業(yè)獲得攻擊者視角，從而采取更高級(jí)別的主動(dòng)防御措施。未來(lái)零零信安將繼續(xù)深耕于外部攻擊面管理領(lǐng)域，堅(jiān)持創(chuàng)新，努力打造行業(yè)內(nèi)標(biāo)桿產(chǎn)品，為客戶提供更為卓越的產(chǎn)品和服務(wù)，更好地為網(wǎng)絡(luò)安全建設(shè)保駕護(hù)航?！?/p>