數字安全的基礎性日益突出，也帶來了許多新挑戰：數字資產復雜化、影子化、攻擊面擴大……近日，魔方安全發布《基金行業攻擊面管理白皮書》（以下簡稱“《白皮書》”），這是國內第一份聚焦到金融行業的攻擊面管理白皮書。

　　基金行業網絡威脅態勢

　　2022年，漏洞數量整體呈上升趨勢。從永恒之藍到Apache Log4j2，重大漏洞已經成為網絡安全從業者無法避免的生活現實。

　　2022年，仿冒APP呈遞增趨勢。《白皮書》顯示，在仿冒APP中，排名靠前均為金融行業相關的App，其面臨嚴峻的仿冒以及篡改風險。

　　2022年，微信小程序仿冒趨勢遞增。《白皮書》對近50家金融類小程序進行安全檢查，發現部分小程序存在代碼可被逆向破解從而二次利用的仿冒風險。

　　2022年，數據泄露風險加劇，包括暗網、論壇泄漏，文庫、網盤泄漏，代碼泄露。1月至8月，累計捕獲數據 泄露事件超10000起，金融行業數據泄露事件超過5000+，占據50%。

　　攻擊面管理是破局之道

　　“攻擊面管理”的技術理念，是以保護組織資產安全為出發點，聚焦在攻擊者的視角去審視網絡空間內不同形態種類的資產所組成的攻擊暴露面，更強調“管理”二字，這意味著資產的全面性可度量、外部風險可度量、響應處置可度量。《白皮書》展示了攻擊面管理的五個用例。

　　01 全面徹底的資產排查

　　全面且清晰的資產臺賬，是安全建設的必答題，也是邁向高水平安全運營的必經之路。75%的 組織目前都沒有可靠且有效的工具去跟蹤、梳理IT資產信息，而是用Excel電子表格進行管理。攻擊面管理解決方案能夠及時更新數據，建立全網資產視圖，支撐高危漏洞排查響應，以及兼容各類個性化場景等，為資產排查擴大安全視角。

　　02 全面的風險識別與優先級排序

　　在摸清家底之后，需要認清風險。然而，漏洞數量每天都在大幅增長，2021年常見漏洞清單增加到20149個，大約每天新增55個CVEs。如此，組織亟需理清當前資產所面臨的風險。攻擊面管理解決方案能夠排查現網中可被真實利用的漏洞集合，并給出合適的處置方案。即根據資產的上下文幫助確定修復動作的優先次序，提供更科學的 修復指導建議。

　　03 持續跟蹤Shadow IT（影子資產）

　　大部分安全隱患與風險來自于未知，近年來，業務數字化的步伐進一步加快，資產云化、多樣化令影子資產的數量呈指數級增長。這類資產往往成為安全部門的管理盲區，進入脫管的狀態，導致無法得到合規的檢測、合理的監護。攻擊面管理解決方案能夠持續地監測 Shadow IT，幫助發現、研判、納管，讓“不可見”無所遁形，讓“不可控”盡在掌控。

　　04 并購IT風險評估

　　根據普華永道的數據，在技術和資本的推動下，2021年全球范圍內的兼并和收購激增，規模超過了5萬億美元。并購會給組織帶來無法量化的安全風險，這些因并購而增加的資產是動態和時刻變化的。而攻擊面管理解決方案能夠動態評估風險，讓并購IT風險在掌握之中。

　　05 供應鏈/第三方風險

　　商業伙伴和供應商可能存在未知危險，他們是組織資產的一部分。有效的攻擊面解決方案可以幫助組織識別第三方的風險資產和與之相關的漏洞數據集，必梳理清楚與組織基礎設施的連接與內嵌的組件。

　　更多信息可以來這里獲取==>>電子技術應用-AET<<