近日，一場行業(yè)矚目的大型實(shí)戰(zhàn)化網(wǎng)絡(luò)安全攻防演練活動落下帷幕，在這場沒有硝煙的博弈中，攻擊方一路攻城掠寨，防守方依托縱深防御體系，從防護(hù)、監(jiān)測到溯源，步步為營，寸土不讓。

在本次攻防演練的過程中，綠盟科技M-SEC社區(qū)監(jiān)測并確認(rèn)了上百個漏洞在被積極利用，其中0day和1day漏洞的數(shù)量較往年有所提升，但nday漏洞依然是主力。

圖片

根據(jù)M-SEC社區(qū)監(jiān)測到的漏洞分析，發(fā)現(xiàn)辦公OA類軟件以及邊界網(wǎng)絡(luò)產(chǎn)品是漏洞挖掘的重點(diǎn)對象，占比達(dá)到了56%。

圖片

在今年的對抗演練中，曝出來的漏洞有較多屬于已知漏洞，廠商也已發(fā)布了修復(fù)補(bǔ)丁，但未做升級的客戶，受到了較大的影響。

圖片

結(jié)合M-SEC社區(qū)匯總的各方情報(bào)信息，可以看出今年攻守雙方的技戰(zhàn)術(shù)呈現(xiàn)出一定的特點(diǎn)，也映射出未來一段時間內(nèi)，攻守雙方需要重點(diǎn)關(guān)注的對象：

• 企業(yè)知識庫與代碼庫仍是泄露密碼的主要渠道；
• 萬物皆可“云”帶來了新的攻擊路徑；
• 軟件供應(yīng)鏈逐漸成為企業(yè)安全防護(hù)的“短板”；

知彼知己，方能百戰(zhàn)百勝，結(jié)合攻防對抗態(tài)勢，安全研究人員通過全面思考，提出以下安全實(shí)踐建議：

針對企業(yè)的安全策略優(yōu)化

• 第三方產(chǎn)品審計(jì)：企業(yè)應(yīng)對第三方產(chǎn)品歷史問題建立持續(xù)的管理和更新機(jī)制，確保已知的安全問題得到持續(xù)地關(guān)注和更新。
• 人員安全意識：持續(xù)提升人員安全意識，定期進(jìn)行安全意識的培訓(xùn)演練考核。
• 口令安全優(yōu)化：加強(qiáng)弱口令、重復(fù)口令的管理，避免由此產(chǎn)生的安全問題。
• 外部攻擊面管理：在不影響業(yè)務(wù)系統(tǒng)發(fā)布的同時，做好充分的外部資源訪問控制，確保外部攻擊面最小化。

針對軟件廠商的安全建議

• 實(shí)時情報(bào)共享：企業(yè)數(shù)字化建設(shè)過程中需要使用到第三方產(chǎn)品，第三方產(chǎn)品的安全風(fēng)險也會給企業(yè)安全帶來影響。因此，企業(yè)一方面需要關(guān)注軟件供應(yīng)鏈漏洞情報(bào)，軟件廠商在做安全升級時，應(yīng)該通報(bào)客戶及時修復(fù)。
• 升級管理策略：需加強(qiáng)軟件產(chǎn)品的升級管理，確保低版本產(chǎn)品遺留問題及時得到升級、更新。
• 安全左移策略：軟件供應(yīng)商應(yīng)關(guān)注自身產(chǎn)品的漏洞，盡早解決高風(fēng)險問題，降低整體安全威脅。
• 交互式安全測試（IAST）產(chǎn)品推廣和落地：可利用漏洞深度檢測方面，IAST產(chǎn)品相較于DAST、SAST產(chǎn)品體現(xiàn)出了巨大的優(yōu)勢，推薦軟件開發(fā)商使用IAST工具進(jìn)行深度漏洞檢測，確保產(chǎn)品的安全性。

官方遠(yuǎn)程運(yùn)營終端安全建議

• 定期審查更新：定期核實(shí)并確保所部署的agent或工具來自可靠、官方的來源，并保持其更新到最新版本。
• 網(wǎng)絡(luò)隔離：盡量將運(yùn)維工具與主業(yè)務(wù)系統(tǒng)進(jìn)行隔離，或者采用專用的、獨(dú)立的網(wǎng)絡(luò)進(jìn)行通信，從而降低潛在風(fēng)險。
• 強(qiáng)身份認(rèn)證：確保僅有得到充分身份驗(yàn)證的管理員或運(yùn)維人員能夠訪問和使用這些工具，從而進(jìn)一步降低被惡意行為者利用的風(fēng)險。

運(yùn)維工具和系統(tǒng)的安全性同樣重要，只有對所有組件都進(jìn)行全面、深入的安全審查和管理，企業(yè)的安全策略才能真正做到全面和有效。

圖片

企業(yè)安全運(yùn)營建設(shè)是一項(xiàng)至關(guān)重要且持續(xù)的任務(wù)，根據(jù)木桶原理，企業(yè)的安全防護(hù)的強(qiáng)弱取決于其短板，綠盟科技安全專家從發(fā)現(xiàn)和解決潛在的安全隱患和風(fēng)險維度，提供如下建議：

1、加強(qiáng)訪問控制和行為審計(jì)

實(shí)施嚴(yán)格的訪問控制策略，確保只有授權(quán)人員才能訪問敏感數(shù)據(jù)和系統(tǒng)。落實(shí)多因素身份驗(yàn)證、最小權(quán)限原則和訪問日志審計(jì)。

2、風(fēng)險評估和審計(jì)

定期進(jìn)行全面的安全風(fēng)險評估，新發(fā)布系統(tǒng)開展全面安全檢測后上線，以便發(fā)現(xiàn)潛在的短板并予以加強(qiáng)。

3、應(yīng)急響應(yīng)計(jì)劃

制定應(yīng)急響應(yīng)計(jì)劃，以便在發(fā)生重大安全事件時有條不紊的采取行動。

4、員工培訓(xùn)和教育

提供持續(xù)的安全培訓(xùn)，提高員工對最新威脅和攻擊技術(shù)的認(rèn)知。教育員工如何識別和避免潛在的安全風(fēng)險，如釣魚郵件和惡意軟件下載等。

5、關(guān)注安全情報(bào)

與安全行業(yè)的領(lǐng)導(dǎo)者建立合作關(guān)系，以獲取最新的安全情報(bào)、技術(shù)和解決方案。

6、建立云地協(xié)同機(jī)制

重點(diǎn)關(guān)注上云的業(yè)務(wù)安全狀態(tài)和風(fēng)險排查，建立云地協(xié)同機(jī)制，更全面掌握自身網(wǎng)絡(luò)安全運(yùn)營狀況。