02企业网络安全暴露管理技术实践-Tenable.pdf

1、提高安全提高安全”可见性可见性”抵御网络安全威胁抵御网络安全威胁-暴露风险管理安全实践分享暴露风险管理安全实践分享赵阳赵阳Tenable中国区总经理中国区总经理新出现的恶意软件恶意软件包含针对针对 Active Directory Active Directory的特定代码60%的企业对暴露在互联网攻击面资产和风险没有全面掌握90%利用漏洞的攻击归咎于在疫情期间拥有了技术途径74%25K2022 年公布的漏洞数量2%低危中危高危严重41%42%15%几乎是2016年的4倍CVSS 7+补救策略补救策略 浪费安全团队76%的时间 在您的环境中留下44%的风险漏洞暴露面各种风险是企业整个攻击面的最

2、薄弱环节暴露面各种风险是企业整个攻击面的最薄弱环节OT VULNERABILITIES美国油管美国油管道运营商道运营商APPLICATION VULNERABILITIES万豪集团万豪集团ACCESS PERMISSIONS本田汽车本田汽车SOFTWARE VULNERABILITIES台积电台积电EXTERNAL ATTACK SURFACE国内国内某制造业某制造业PUBLIC CLOUD CONFIGURATION新加坡新加坡第一资本第一资本基础设施Web 应用程序/API身份本地和远程 IT面向互联网的资产公有云勒索软件攻击的常见攻击路径勒索软件攻击的常见攻击路径 钓鱼活动钓鱼活动暴力破

3、解暴力破解漏洞利用漏洞利用初始端点初始端点中招中招公司基础公司基础设施制图设施制图本地权限本地权限获取获取横向移动横向移动特权帐户上的特权帐户上的凭据重现凭据重现AD的特权的特权升级升级后利用（持久后利用（持久性、植入后门）性、植入后门）业务资源业务资源篡改篡改使用侧通道使用侧通道渗出数据渗出数据目标识别目标识别数据泄露数据泄露/勒索攻杀链勒索攻杀链“到到2026年，优先基于持续暴露管理计划进行安全投资的组织年，优先基于持续暴露管理计划进行安全投资的组织遭受入侵的可能性将降低三倍遭受入侵的可能性将降低三倍”Gartner:Implement a Continuous Threat Exposu

4、re Management(CTEM)Program July,2022重要发现重要发现：很少有客户被入侵是因为零日漏洞漏洞管理很少能跟上组织自身的发展，导致攻击面迅速扩大由于业务上下文和责任考虑不充分，仅使用优先级列表不足以动员非安全团队并纠正问题 在处理暴露管理方案时，长期保持动态和当前的安全态势是一项关键挑战主要建议主要建议：通过用于管理更广泛的暴露面的方案，而不是简单地从多个不同的漏洞评估工具中处理遥测数据建立定期可重复的周期，遵循五个流程确定范围、发现、确定优先级、验证和动员利用攻击面管理ASM和安全态势验证BAS等新兴领域解决威胁暴露问题将CTEM与超越于安全的自动化修复的补救和工

5、作流集成，以确保所需的跨团队协作成为标准https:/ 年顶级恶意软件年顶级恶意软件相关利用漏洞分析相关利用漏洞分析这这 17 个漏洞中有个漏洞中有14个在微软产品中个在微软产品中其中其中9个缺陷可能导致代码执行个缺陷可能导致代码执行除除4个漏洞，其他所有漏洞发布都超过了个漏洞，其他所有漏洞发布都超过了两年两年最老的一个漏洞在最老的一个漏洞在2015年出了补丁年出了补丁只有只有一个一个是特权提升漏洞是特权提升漏洞2022年漏洞和威胁形势结论我们在 2020 年和 2021 年发布了同样的警告。然而两年过去了，这些缺陷仍然是漏洞形势中的最大风险之一。未修补的漏洞为攻击者获得对企业的初始访问权限或

6、提升在企业内的特权，提供了最具成本效益和最直接的方法。务必尽快确定环境中的哪些资产暴露于本报告中列出的漏洞。2021 年 Log4Shell 漏洞对行业如何应对供应链问题产生了深远影响。研究人员、记者以及更广泛的高管和董事会都在等待“下一个 Log4Shell”的出现。企业必须在漏洞出现时检查漏洞的具体细节，以评估真正的潜在影响，而不是关注漏洞的名头或围绕漏洞的谣言。保护网络的关键在于能够快速评估环境的各个方面，以识别所有资产。我们遏制勒索的努力没有放松。勒索软件即将消亡的报道被大大夸大了。勒索软件本身对生态系统中的各个参与者来说都是一项有利可图的商业冒险，我们不能仅根据数据泄漏网站上的条目数