企业动态

    近日，有消息曝出，韩国总统尹锡悦在被国会弹劾之前，公开批评了韩国选举管理委员会的计算机系统存在严重安全问题。他指出，在部分系统设备的检查中发现了严重的问题，国家情报院的职员尝试模拟黑客攻击后发现可以轻易操纵数据，防火墙形同虚设，且使用的密码异常简单，类似于“12345”。而负责系统安全管理的，也是一家缺乏专业性的小公司。

    在此，我们姑且不探究尹锡悦此番言论的动机，但它揭示了一个普遍存在的问题：即使是在高度敏感的领域，弱口令仍然频繁出现。知名密码管理器NordPass在11月发布了2024年度全球最流行密码榜单，十大密码分别为：123456、123456789、12345678、password、qwerty123、qwerty1、111111、12345、secret、123123。这些都是极易被破解的组合，给用户的账户安全带来了巨大隐患。

    紧抓“两高一弱”，精准防控安全风险

    我国对于弱口令问题的关注与整治由来已久。特别是“两高一弱”（高危漏洞、高危端口、弱口令）问题的专项整治行动，已经持续开展多年。早在2016年，首届国家网络安全宣传周上，“两高一弱”概念就被首次提出。此后，在公安部门及各行业主管部门的持续推动下，形成了“两高一弱”问题的常态化专项排查工作机制，以确保及时识别并修复潜在的安全隐患。

    “两高一弱”专项整治之所以年年被强调，主要是因为这些问题具有显著的危害性和顽固性：

    一、容易被忽略

    尽管企业和个人的网络安全意识逐渐提升，但部分企业或组织由于专业知识匮乏、资源有限或者对网络安全重视不足等原因，未能及时发现和修复这些安全问题。此外，随着业务的发展和技术的更新换代，新的系统和设备不断引入，可能导致新旧系统的安全管理存在脱节，从而使得“两高一弱”的问题容易被忽视。

    二、危害性大

    高危漏洞一旦被黑客利用，可能导致数据泄露、系统崩溃甚至整个网络环境受到严重威胁。高危端口若未得到妥善管理，将增加被攻击的风险。而弱口令则如同虚设，使得攻击者能够轻易获取敏感信息或控制账户，对个人隐私和企业安全构成极大威胁，更有甚者，会给一些重点涉密部门带来泄密风险。

    三、长期存在

    由于技术进步和业务需求的变化，信息系统不断演变，新的安全隐患也随之出现。“两高一弱”问题往往伴随着系统的生命周期而长期存在，需要持续的关注与治理。

    四、复杂度增加

    随着云计算、物联网等新技术的应用，企业的IT架构变得越来越复杂，这不仅增加了管理难度，也使得识别和解决“两高一弱”的问题变得更加困难。

    在企业日益依赖技术和互联系统的背景下，Gartner于《2024中国安全技术成熟度曲线》报告中提到，中国的数字化格局正在迅速扩大，“这种扩张导致数字资产的数量和复杂性空前增加”，有效的攻击面管理通过主动识别和解决攻击者的潜在入口点，能够降低诸如供应链攻击、网络钓鱼等有针对性的网络威胁。

    奇安信安全专家指出，“难以全面掌握所有数字资产的状态和变化，是当前资产安全运营面临的主要痛点。数字资产数量和复杂性的增长，使得传统的安全策略已不足以应对日益复杂的网络威胁。”因此，加强自动化工具的应用，让企业在面对庞大且不断变化的数字资产时，不仅能实时监控和评估资产安全状态，还能迅速采取措施防止潜在威胁。

    资产安全运营“难”点多，时空动态监测是关键

    事前阶段，“难盘点、难发现”：表现在多源异构资产数据人工梳理难度大，准确率低，难盘点；同时影子资产等违规资产难以及时发现；

    事中阶段，“难定位、难排查”：发生安全事件时，难以快速定位问题资产；在资产排查时，由于资产信息不全，难以在风险分析时提供有效数据；

    事后阶段，“难闭环、难度量”：由于资产管理信息缺失，难以推动风险处置和闭环；运营效果难以评估和度量，运营方式不知如何改进

    为了帮助政企安全团队掌握网络安全姿态、收敛资产攻击面、防护网络攻击路径，奇安信推出了网络资产攻击面管理系统（CAASM），以多源资产数据融合分析为核心竞争力，具备资产盘点、隐患识别、违规监测、响应处置能力。

    CAASM通过API与安全系统、网络设备、IT基础设施对接，对资产、风险、策略、业务、网络、组织、人员等数据进行融合和关联，构建时空动态的资产地图。通过数据碰撞，持续监测资产安全姿态，精准识别高危资产和违规资产。

    “数据+运行”双核驱动，打造智慧资产安全运营体系

    资产安全管理脱离不开信息化管理，而信息化管理的成熟度决定了资产安全运营效果的上限。

    资产安全运行构想图，描绘的是资产安全运行真实的场景

    最下层是信息化管理层，代表着组织内部IT运维管理相关的角色、流程和系统，包括资产上线、下线、变更管理和资产运行状态监控，为资产安全运营提供基础数据。

    中间层是安全运营层，通过CAASM多源数据融合能力，将不同数据源中的有效信息相互补全和利用，消解数据冲突，更新资产信息，构建资产之间的关系，形成全局视角时空动态的资产地图。通过数据碰撞分析，识别资产安全风险，触发资产安全运营工作任务，协同安全运营人员和IT运维人员处置解决，持续收敛风险敞口。

    最上层代表着奇安信安全知识运营能力，通过接入上层安全专家团队持续运营的漏洞情报，一方面可以通过漏洞情报评估资产影响范围，为运营人员制定处置方案提供数据支撑；另一方面，依据情报不同运营阶段输出的切片信息，以数据驱动漏洞、配置、补丁相关的工作任务，通过成果输出收敛资产攻击面，促进资产安全管理闭环。

    总体来看，CAASM可以通过对采集整理后的全量资产安全数据进行持续的碰撞与分析工作，发现资产安全事项，随即触发安全运营流程，持续驱动安全与运维人员消除问题与风险，输出相应运营成果。运营工作流程结束后，新发生的数据变更将为新一轮的数据碰撞分析提供输入、循环往复。CAASM以“数据+运行”双核驱动的模式，达到收敛组织网络资产攻击面、有效防护网络攻击路径的目标。

    为什么越来越多的企业安全负责人开始重视攻击面管理？根据IDC在《IDC Technology Assessment：中国攻击面管理厂商技术评估，2024》中的分析，尽管企业已经部署了多种网络安全防护产品，如网络安全网关、终端安全软件、安全运营中心等，但这些安全防护措施基本都是基于企业内部视角进行的，与实际的网络攻击路径可能存在差异。“以子之矛攻子之盾”，只有站在攻击者的角度审视自身的防御体系，才能真正发现并修补那些可能被利用的安全漏洞，从而有效提升整体的安全防护能力。