《電子技術(shù)應(yīng)用》
您所在的位置:首頁 > 通信與網(wǎng)絡(luò) > 業(yè)界動(dòng)態(tài) > 《基金行業(yè)攻擊面管理白皮書》:聚焦金融業(yè) 管理攻擊面

《基金行業(yè)攻擊面管理白皮書》:聚焦金融業(yè) 管理攻擊面

2022-11-05
來源:安全419
關(guān)鍵詞: 基金行業(yè) 攻擊

  數(shù)字安全的基礎(chǔ)性日益突出,也帶來了許多新挑戰(zhàn):數(shù)字資產(chǎn)復(fù)雜化、影子化、攻擊面擴(kuò)大……近日,魔方安全發(fā)布《基金行業(yè)攻擊面管理白皮書》(以下簡(jiǎn)稱“《白皮書》”),這是國(guó)內(nèi)第一份聚焦到金融行業(yè)的攻擊面管理白皮書。

  基金行業(yè)網(wǎng)絡(luò)威脅態(tài)勢(shì)

  微信圖片_20221105101035.jpg

  2022年,漏洞數(shù)量整體呈上升趨勢(shì)。從永恒之藍(lán)到Apache Log4j2,重大漏洞已經(jīng)成為網(wǎng)絡(luò)安全從業(yè)者無法避免的生活現(xiàn)實(shí)。

  微信圖片_20221105101037.jpg

  2022年,仿冒APP呈遞增趨勢(shì)?!栋灼凤@示,在仿冒APP中,排名靠前均為金融行業(yè)相關(guān)的App,其面臨嚴(yán)峻的仿冒以及篡改風(fēng)險(xiǎn)。

  微信圖片_20221105101039.jpg

  2022年,微信小程序仿冒趨勢(shì)遞增。《白皮書》對(duì)近50家金融類小程序進(jìn)行安全檢查,發(fā)現(xiàn)部分小程序存在代碼可被逆向破解從而二次利用的仿冒風(fēng)險(xiǎn)。

  微信圖片_20221105101041.jpg

  2022年,數(shù)據(jù)泄露風(fēng)險(xiǎn)加劇,包括暗網(wǎng)、論壇泄漏,文庫、網(wǎng)盤泄漏,代碼泄露。1月至8月,累計(jì)捕獲數(shù)據(jù) 泄露事件超10000起,金融行業(yè)數(shù)據(jù)泄露事件超過5000+,占據(jù)50%。

  攻擊面管理是破局之道

  “攻擊面管理”的技術(shù)理念,是以保護(hù)組織資產(chǎn)安全為出發(fā)點(diǎn),聚焦在攻擊者的視角去審視網(wǎng)絡(luò)空間內(nèi)不同形態(tài)種類的資產(chǎn)所組成的攻擊暴露面,更強(qiáng)調(diào)“管理”二字,這意味著資產(chǎn)的全面性可度量、外部風(fēng)險(xiǎn)可度量、響應(yīng)處置可度量?!栋灼氛故玖斯裘婀芾淼奈鍌€(gè)用例。

  01 全面徹底的資產(chǎn)排查

  全面且清晰的資產(chǎn)臺(tái)賬,是安全建設(shè)的必答題,也是邁向高水平安全運(yùn)營(yíng)的必經(jīng)之路。75%的 組織目前都沒有可靠且有效的工具去跟蹤、梳理IT資產(chǎn)信息,而是用Excel電子表格進(jìn)行管理。攻擊面管理解決方案能夠及時(shí)更新數(shù)據(jù),建立全網(wǎng)資產(chǎn)視圖,支撐高危漏洞排查響應(yīng),以及兼容各類個(gè)性化場(chǎng)景等,為資產(chǎn)排查擴(kuò)大安全視角。

  02 全面的風(fēng)險(xiǎn)識(shí)別與優(yōu)先級(jí)排序

  在摸清家底之后,需要認(rèn)清風(fēng)險(xiǎn)。然而,漏洞數(shù)量每天都在大幅增長(zhǎng),2021年常見漏洞清單增加到20149個(gè),大約每天新增55個(gè)CVEs。如此,組織亟需理清當(dāng)前資產(chǎn)所面臨的風(fēng)險(xiǎn)。攻擊面管理解決方案能夠排查現(xiàn)網(wǎng)中可被真實(shí)利用的漏洞集合,并給出合適的處置方案。即根據(jù)資產(chǎn)的上下文幫助確定修復(fù)動(dòng)作的優(yōu)先次序,提供更科學(xué)的 修復(fù)指導(dǎo)建議。

  03 持續(xù)跟蹤Shadow IT(影子資產(chǎn))

  大部分安全隱患與風(fēng)險(xiǎn)來自于未知,近年來,業(yè)務(wù)數(shù)字化的步伐進(jìn)一步加快,資產(chǎn)云化、多樣化令影子資產(chǎn)的數(shù)量呈指數(shù)級(jí)增長(zhǎng)。這類資產(chǎn)往往成為安全部門的管理盲區(qū),進(jìn)入脫管的狀態(tài),導(dǎo)致無法得到合規(guī)的檢測(cè)、合理的監(jiān)護(hù)。攻擊面管理解決方案能夠持續(xù)地監(jiān)測(cè) Shadow IT,幫助發(fā)現(xiàn)、研判、納管,讓“不可見”無所遁形,讓“不可控”盡在掌控。

  04 并購(gòu)IT風(fēng)險(xiǎn)評(píng)估

  根據(jù)普華永道的數(shù)據(jù),在技術(shù)和資本的推動(dòng)下,2021年全球范圍內(nèi)的兼并和收購(gòu)激增,規(guī)模超過了5萬億美元。并購(gòu)會(huì)給組織帶來無法量化的安全風(fēng)險(xiǎn),這些因并購(gòu)而增加的資產(chǎn)是動(dòng)態(tài)和時(shí)刻變化的。而攻擊面管理解決方案能夠動(dòng)態(tài)評(píng)估風(fēng)險(xiǎn),讓并購(gòu)IT風(fēng)險(xiǎn)在掌握之中。

  05 供應(yīng)鏈/第三方風(fēng)險(xiǎn)

  商業(yè)伙伴和供應(yīng)商可能存在未知危險(xiǎn),他們是組織資產(chǎn)的一部分。有效的攻擊面解決方案可以幫助組織識(shí)別第三方的風(fēng)險(xiǎn)資產(chǎn)和與之相關(guān)的漏洞數(shù)據(jù)集,必梳理清楚與組織基礎(chǔ)設(shè)施的連接與內(nèi)嵌的組件。



  更多信息可以來這里獲取==>>電子技術(shù)應(yīng)用-AET<<

二維碼.png


本站內(nèi)容除特別聲明的原創(chuàng)文章之外,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,并不代表本網(wǎng)站贊同其觀點(diǎn)。轉(zhuǎn)載的所有的文章、圖片、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無法一一聯(lián)系確認(rèn)版權(quán)者。如涉及作品內(nèi)容、版權(quán)和其它問題,請(qǐng)及時(shí)通過電子郵件或電話通知我們,以便迅速采取適當(dāng)措施,避免給雙方造成不必要的經(jīng)濟(jì)損失。聯(lián)系電話:010-82306118;郵箱:aet@chinaaet.com。