攻击面(Attack Surface)
攻击面(Attack Surface) 是什么?
攻击面(Attack Surface)攻击者可以尝试进入、窃取数据或操控系统的所有点的总和,包括网络、软件、身份、供应链与人员。
组织的攻击面是所有暴露入口点的完整集合:面向互联网的资产、第三方 SaaS、API、终端、移动应用、网络协议、源码仓库、IoT/OT 设备、云控制平面、身份以及易受社会工程攻击的人员渠道。它是动态的,随每一项新功能、新供应商和配置变更而不断扩大。分析人员通常将其划分为数字攻击面(软件与暴露的服务)、物理攻击面(设备与介质)以及社会攻击面(被钓鱼攻击瞄准的人员)。
2023 年的 MOVEit Transfer 攻击活动是一个教科书式的例证。一个 SQL 注入漏洞 CVE-2023-34362 潜藏在一台面向互联网的文件传输设备中;在漏洞披露时,Shodan 显示约有 2500 个暴露的 MOVEit 实例,而 Cl0p 勒索软件团伙将其作为零日漏洞加以利用,通过这些组织攻击面上一个被遗忘的边缘点,入侵了数百家机构。其中的教训是:未受管理或"影子 IT"资产——一个开发用 S3 桶、一台被废弃的 VPN 设备、一个易被接管的陈旧子域名——恰恰是攻击者最先窥探的地方。
攻击面管理(ASM)与外部攻击面管理(EASM)工具会持续发现资产、对其进行指纹识别,并对暴露按优先级排序。收敛攻击面则依赖于加固系统、下线遗留服务、最小化权限、网络分段、快速为面向互联网的软件打补丁,以及清理无用的依赖与账号。
flowchart TD
O[组织] --> D[数字攻击面<br/>互联网资产 API SaaS 云]
O --> P[物理攻击面<br/>终端 IoT 与 OT 介质]
O --> S[社会攻击面<br/>员工 钓鱼目标]
D --> EASM[EASM 持续发现<br/>加指纹识别]
EASM --> X{是否发现暴露}
X -->|是 例如未打补丁的 MOVEit| R[打补丁 下线<br/>分段 最小权限]
X -->|否| M[持续监控]
R --> M● 示例
- 01
被遗忘的开发用 S3 桶和一个 CI/CD 管理 SaaS 都在 EASM 扫描中被列为新增的暴露资产。
- 02
停用一台闲置的 VPN 设备可减小网络攻击面。
● 常见问题
攻击面(Attack Surface) 是什么?
攻击者可以尝试进入、窃取数据或操控系统的所有点的总和,包括网络、软件、身份、供应链与人员。 它属于网络安全的 合规与框架 分类。
攻击面(Attack Surface) 是什么意思?
攻击者可以尝试进入、窃取数据或操控系统的所有点的总和,包括网络、软件、身份、供应链与人员。
如何防御 攻击面(Attack Surface)?
针对 攻击面(Attack Surface) 的防御通常结合技术控制与运营实践,详见上方完整定义。