网络安全之暴露面、攻击面、脆弱性
暴露面
暴露在攻擊者視線范圍內(nèi),可以被利用進(jìn)行入侵的系統(tǒng)、設(shè)備、信息等,都屬于暴露面。雖然大多數(shù)企業(yè)都認(rèn)識(shí)到暴露面的風(fēng)險(xiǎn)所在,并想方設(shè)法來減少暴露面;但不幸的是,并非所有暴露面都是顯而易見的,大量的暴露面都潛藏在不容易被發(fā)現(xiàn)的暗處,很容易因?yàn)橘Y產(chǎn)排查不徹底、人員疏漏等問題被忽略。互聯(lián)網(wǎng)暴露面資產(chǎn)直接面向外部攻擊者的威脅。相對(duì)于企業(yè)內(nèi)部資產(chǎn),所面臨的安全風(fēng)險(xiǎn)更高。
攻擊面
攻擊面:是一個(gè)給定的計(jì)算機(jī)或網(wǎng)絡(luò)系統(tǒng),可以被黑客訪問和利用的漏洞總和。
攻擊面包含:
操作系統(tǒng)、中間件、應(yīng)用程序、承載網(wǎng)絡(luò)中存在的軟件漏洞;
系統(tǒng)和軟件中的錯(cuò)誤配置與安全控制缺失;
違反安全制度和合規(guī)要求的網(wǎng)絡(luò)配置;
過度寬松的訪問控制規(guī)則;
減少攻擊面的基本策略是減少運(yùn)行中的軟件總量,減少非信任用戶可使用的入口點(diǎn),以及消除用戶很少使用的服務(wù)。改進(jìn)信息安全的方法之一就是減少系統(tǒng)與軟件的攻擊表面。因?yàn)殛P(guān)閉不必要的功能,可以避免它們帶來的安全風(fēng)險(xiǎn)。減少未授權(quán)操作者可調(diào)用的代碼有助避免安全事故。雖然減少攻擊表面有助于防止安全事故,但它不能減少一旦攻擊者發(fā)現(xiàn)漏洞后可能造成的損害程度。
攻擊面從外部攻擊視角來審視企業(yè)網(wǎng)絡(luò)資產(chǎn)可能存在的攻擊面及脆弱性,如開放端口是否做映射、網(wǎng)絡(luò)邊界是否做隔離、人員行為是否被明確約束等。
脆弱性
脆弱性也可稱為弱點(diǎn)或漏洞,是資產(chǎn)或資產(chǎn)組中存在的可能被威脅利用造成損害的薄弱環(huán)節(jié)。脆弱性一旦被威脅成功利用就可能對(duì)資產(chǎn)造成損害。脆弱性可能存在于物理環(huán)境、組織、過程、人員、管理、配置、硬件、軟件和信息等各個(gè)方面。脆弱性是網(wǎng)絡(luò)系統(tǒng)中可能被利用并造成危害的弱點(diǎn)。
三無七邊系統(tǒng)
三無:指具有系統(tǒng)特征且存在"無人管理、無人使用、無人防護(hù)"情況的業(yè)務(wù)/網(wǎng)站/系統(tǒng)/平臺(tái)。
七邊:指測(cè)試系統(tǒng)、試驗(yàn)平臺(tái)、退網(wǎng)未離網(wǎng)系統(tǒng)、工程已上線加載業(yè)務(wù)但未正式交維系統(tǒng)、與合作伙伴共同運(yùn)營(yíng)的業(yè)務(wù)或系統(tǒng)、責(zé)任交接不清的系統(tǒng)、處于衰退期的系統(tǒng)。
三無七邊系統(tǒng)是往往是最容易被外部攻破和利用的,所以需要加以重視。但是"三無七邊"往往是最不容易發(fā)現(xiàn)和忽視的。
“三無七邊”系統(tǒng)網(wǎng)絡(luò)安全管控工作應(yīng)貫穿規(guī)劃、設(shè)計(jì)、建設(shè)、入網(wǎng)運(yùn)行、維護(hù)及下線退網(wǎng)整個(gè)生命周期。
暴露面不一定存在漏洞也不一定是攻擊面,但是因?yàn)楸┞对诠粽咭暰€范圍內(nèi),直面外部攻擊者的威脅,安全風(fēng)險(xiǎn)高。
攻擊面我的理解是既可以被黑客訪問又存在漏洞,也就是既是暴露面又有脆弱性,安全風(fēng)險(xiǎn)非常高。
攻擊面是從外部攻擊的視角來審視可能存在的風(fēng)險(xiǎn),暴露面和脆弱性從內(nèi)部管理的視角來審視安全風(fēng)險(xiǎn)。三無七邊系統(tǒng)往往是安全管理人員所忽視的有可能存在暴露面和攻擊面而又沒有在安全管控范圍內(nèi)的系統(tǒng),安全風(fēng)險(xiǎn)非常非常高。
作者博客:http://xiejava.ishareread.com/
總結(jié)
以上是生活随笔為你收集整理的网络安全之暴露面、攻击面、脆弱性的全部?jī)?nèi)容,希望文章能夠幫你解決所遇到的問題。
