據Randori與ESG聯合開展的《2022年攻擊面管理現狀報告》數據顯示，在過去一年中，隨著遠程辦公人員數量、云解決方案和SaaS應用程序使用量的不斷增加，企業組織的網絡應用攻擊面進一步擴大。從表面上看，攻擊面擴大并不奇怪，因為世界一直朝著更為互聯和分散的方向發展，連接到互聯網的計算設備自然會持續性增加。
　　但值得警惕的是，很多企業的安全團隊難以跟上數字環境快速擴張和不斷變化的步伐，因為缺乏對其有效管理的工具和流程，結果導致了暴露給攻擊者的漏洞與安全團隊已知的風險之間存在巨大差異。

　　以下梳理總結了現代企業在數字攻擊面方面最常見的7種風險和挑戰：

　　1.脆弱的訪問控制管理

　　雖然現代企業都在不斷完善網絡應用系統訪問的安全性，但攻擊者仍有辦法找到并利用與訪問控制授權相關的漏洞。此外，很多云服務商的安全措施常常不夠有效，脆弱的云授權方法也難以阻止攻擊者在進入云后提升權限，擴大對敏感數據的訪問權。由于如今的云服務具有易用性和簡單性，這樣很多非專業技術人員也可以在云端配置IT應用服務，但這將不可避免地導致安全性疏忽和錯誤配置。

　　2.易受攻擊的域名系統

　　域名系統（DNS）是互聯網數據訪問的基礎性部分，但由于其在設計時并未考慮可能的安全風險，因此其天然就易受網絡攻擊。如今，幾乎每家企業都在其數字供應鏈中使用各種DNS服務器，因此攻擊者已將DNS服務器視為非常具有吸引力的攻擊目標，通過漏洞利用就可以劫持系統，這樣就可以獲得類似“內部人員”等級的信任度，并以此輕松發動網絡攻擊。

　　3.第三方Web應用與系統

　　幾乎所有的現代企業都需要利用Web應用程序進行關鍵業務運營，這意味著要在其中存儲和共享大量敏感數據，包括電子郵件地址、密碼和信用卡號等。這些Web應用程序會與多個第三方系統和服務交互或連接，這無疑會進一步加大了訪問該服務的攻擊面。攻擊者正在密切關注數字供應鏈中的攻擊途徑，包括通過SQL注入攻擊獲得的漏洞、權限配置錯誤以及身份驗證缺陷等，獲得數據訪問權限。因此，現代企業不僅需要保護自己組織的應用程序，每個相關聯的Web應用程序和第三方系統也都需要受到保護。

　　4.不安全的郵件服務

　　電子郵件仍然是企業員工、客戶、合作伙伴之間最流行的業務溝通方式之一。電子郵件易于訪問和使用，這也讓它容易受到網絡攻擊。每家組織使用不同的內外電子郵件服務器進行日常通信，這意味著電子郵件安全保護方面的最佳實踐會因公司和服務商而不同。網絡攻擊者經過訓練，可以識別易受攻擊的電子郵件服務器，并發起企圖接管的活動。一旦他們進入電子郵件服務器，就會向他們能夠接觸到的任何人實施基于電子郵件的釣魚攻擊。

　　5.失去控制的影子IT

　　影子IT指組織的員工在未經IT團隊批準的情況下使用的信息化技術，包括系統、軟件、應用程序和設備。近年來，隨著員工在家中使用個人設備登錄辦公，影子IT大行其道。員工經常通過云存儲來遷移工作負載和數據，卻不了解相關的安全標準和風險，組織的安全團隊也沒有給予密切關注。有時，員工在創建公服務時可能配置出錯，導致漏洞被利用。與此同時，由于影子IT的性質，IT和安全部門難以對這些設備漏洞進行有效的監控和管理，因此往往不能及時了解安全事件的攻擊過程。

　　6.海量的聯網資產和設備

　　目前，全球連接互聯網的計算設備數量達到數十億，增長速度驚人，這主要是因為現代企業數字化轉型發展的速度之快前所未有。顯然，管理這么多的網絡連接需要一個大型的、復雜的、分布式的、專門構建的基礎設施。而事實上，在許多企業的網絡中，仍然存在大量長期未使用的服務器、系統和應用程序等，這些資產使用過時的軟件，缺少甚至完全沒有日常安全維護，并長期暴露在網絡攻擊者面前。

　　7.云計算的責任共擔模式

　　云計算（無論公有云還是私有云）為組織更新和發展數字化基礎設施提供了一種快速、簡單且便宜的方式。不過美國國家安全局（NSA）表示，隨著組織進一步將業務和數據上云后，同時也將自己置于更大的風險環境之中。云服務提供商都使用云安全共擔責任模型，比如谷歌云、亞馬遜云和微軟Azure云。因此，云應用的大部分安全責任仍然需要由使用這些云的企業來承擔。比較復雜的是，不同的云服務商所提供的安全承諾和服務各不相同，這就給多云應用的企業帶來困擾，因為需要針對不同的云上數據和應用分別制定不同的安全策略。

　　參考鏈接：https://www.scmagazine.com/perspective/cloud-security/seven-deadly-sins-hiding-in-the-companys-attack-surface?