研究顯示，隨著遠程辦公人員數量、云計算應用和SaaS化服務使用量的不斷增加，現代企業的數字攻擊面也在持續性擴大。盡管這并不奇怪，但值得警惕的是，很多企業的安全團隊難以跟上數字環境快速擴張和不斷變化的步伐，缺乏對其有效管理的工具和流程，結果導致了風險暴露和安全控制能力之間存在巨大差異。
　　攻擊面擴大的風險和漏洞

　　數字攻擊面包括了錯綜復雜的在線資產和龐大的數字供應鏈，是網絡犯罪分子重點關注的攻擊目標。研究發現，目前企業數字環境中最常見的攻擊面風險和漏洞包括以下類型：

　　1、配置錯誤

　　現代企業需要快速、輕松、廉價地擴展數字基礎設施，因此不斷采用新的技術和產品，并有意將計算和數據擴展到IT部門的管理范圍之外。這些舉措雖然增強了企業的業務運營能力，但也帶來了新的漏洞。數據顯示，配置錯誤已經成為企業數字化發展中最普遍的安全隱患和漏洞。連缺乏經驗的黑客也可以輕松發現錯誤配置很容易鉆空子。

　　事實上，在許多企業的網絡中，還仍然存在大量長期未使用的服務器、系統和應用程序等，這些資產使用過時的軟件，缺少甚至完全沒有日常安全維護，并長期暴露在網絡攻擊者面前。

　　2、訪問控制不足

　　雖然現代企業都在不斷完善網絡應用系統訪問的安全性，但攻擊者仍有辦法找到并利用與訪問控制授權相關的漏洞。此外，很多云服務商的安全措施常常不夠有效，脆弱的云授權方法也難以阻止攻擊者在進入云后提升權限，擴大對敏感數據的訪問權。由于如今的云服務具有易用性和簡單性，這樣很多非專業技術人員也可以在云端配置IT應用服務，但這將不可避免地導致安全性疏忽和錯誤配置。

　　3、第三方Web應用和系統

　　Web應用程序中存儲和共享大量敏感數據，包括電子郵件地址、密碼和信用卡號等。這些Web應用程序會與多個第三方系統和服務交互或連接，這無疑會進一步加大了訪問該服務的攻擊面。攻擊者正在密切關注數字供應鏈中的攻擊途徑，包括通過SQL注入攻擊獲得的漏洞、權限配置錯誤以及身份驗證缺陷等，獲得數據訪問權限。因此，現代企業不僅需要保護自己組織的應用程序，每個相關聯的Web應用程序和第三方系統也都需要受到保護。

　　4、DNS劫持

　　域名系統（DNS）是互聯網數據訪問的基礎性部分，但由于其在設計時并未考慮可能的安全風險，因此其天然就易受網絡攻擊。如今，幾乎每家企業都在其數字供應鏈中使用各種DNS服務器，因此攻擊者已將DNS服務器視為非常具有吸引力的攻擊目標，通過漏洞利用就可以劫持系統，這樣就可以獲得類似“內部人員”等級的信任度，并以此輕松發動網絡攻擊。

　　5、郵件系統

　　電子郵件是企業組織最常用的業務溝通方式之一。電子郵件易于訪問和使用，這也讓它容易受到網絡攻擊。每家組織使用不同的內外電子郵件服務器進行日常通信，這意味著電子郵件安全保護方面的最佳實踐會因公司和服務商而不同。網絡攻擊者經過訓練，可以識別易受攻擊的電子郵件服務器，并發起企圖接管的活動。一旦他們進入電子郵件服務器，就會向他們能夠接觸到的任何人實施基于電子郵件的釣魚攻擊。

　　6、影子IT

　　影子IT指組織的員工在未經IT團隊批準的情況下使用的信息化技術，包括系統、軟件、應用程序和設備。近年來，隨著員工在家中使用個人設備登錄辦公，影子IT大行其道。員工經常通過云存儲來遷移工作負載和數據，卻不了解相關的安全標準和風險，組織的安全團隊也沒有給予密切關注。與此同時，由于影子IT的性質，IT和安全部門難以對這些設備漏洞進行有效的監控和管理，因此往往不能及時了解安全事件的攻擊過程。

　　7、未管理的資產

　　全球連接互聯網的計算設備數量達到數十億，增長速度驚人，這主要是因為現代企業數字化轉型發展的速度之快前所未有。顯然，管理這么多的網絡連接需要一個大型的、復雜的、分布式的、專門構建的基礎設施。而事實上，在許多企業的網絡中，仍然存在大量長期未使用的服務器、系統和應用程序等，這些資產使用過時的軟件，缺少甚至完全沒有日常安全維護，并長期暴露在網絡攻擊者面前。

　　縮小攻擊面的安全控制措施

　　安全控制是指企業為縮小攻擊面、減少網絡安全威脅、保護敏感數據而實施的系列技術措施。它們是為緩解數字化應用的風險而設計的。根據近年來企業攻擊面管理的最佳實踐，安全研究人員總結了能夠有效縮小數字攻擊面的10種安全控制措施。

　　1、縱深防御

　　在網絡安全領域中，縱深防御代表著一種更加系統、積極的防護戰略，它要求合理利用各種安全技術的能力和特點，構建形成多方式、多層次、功能互補的安全防護能力體系，以滿足企業安全工作中對縱深性、均衡性、抗易損性的多種要求。目前，縱深防御已經成為現代企業網絡安全建設中的基本性原則之一。

　　2、最小特權原則

　　最小特權原則（POLP）旨在為每個用戶提供僅限于完成任務所需的系統和數據訪問權限，是任何身份和訪問管理（IAM）策略中的最佳實踐。執行POLP意味著消除長期性的特權使用，特權賬戶并不可以被無限制地賦予不需要的管理權限，從特權賬戶建立開始，就需要對其進行合理的權限使用限制。在權限提升時，應該有非常具體的理由才有望批準，還要有約束屬性，比如位置、設備和操作類型。

　　3、最小功能原則

　　最小功能原則同樣屬于“最小必要”理念的范疇，主要與系統的配置和設計有關。它并不會限制用戶的訪問行為，而是將系統的功能限制于進行授權活動所必需的范圍內，禁止或限制使用和訪問任何非必要的服務和功能。例如，如果某計算設備只安裝必要的軟件應用程序、開啟必要的服務、敞開必要的端口，就能夠限制網絡犯罪分子的潛在攻擊手段，縮小了攻擊面。此外，當系統只有必要功能時，由于需要更新和修補的軟件更少，因而更容易維護。

　　4、零信任策略

　　零信任技術自從誕生之日起就備受關注，被認為是網絡安全技術發展的顛覆性創新理念。目前，零信任策略已經成為企業確保網絡安全有效性、減小攻擊面的最佳實踐之一。不過，構建零信任安全并不容易，對于許多企業來說，零信任的建設需要全面改變架構、流程和安全意識，這不是一蹴而就的改變，而是一個循序漸進的過程。

　　5、網絡分段

　　網絡分段與零信任策略密切相關，企業應該根據信任級別和數據敏感度將網絡劃分為更小的隔離區域，并部署嚴格的網絡訪問控制和防火墻以限制網段間通信。它還需要使用VPN等安全連接，以遠程訪問敏感數據或系統。通過將網絡或基礎設施的不同區域隔離開來，企業可以為潛在的網絡攻擊活動設置更多障礙。

　　6、DevSecOps

　　軟件應用程序應該盡量減少不安全或暴露的代碼，這樣可以減少安全漏洞并降低攻擊者利用漏洞的可能性。在軟件供應鏈安全建設實踐中，DevSecOps平衡了代碼開發過程中敏捷和安全的需求，逐漸被行業接受和認可，加速DevSecOps的落地實踐，可以成為幫助企業縮小數字攻擊面的重要抓手。

　　7、數字資產管理

　　對于網絡攻擊者來說，未使用和廢棄的數字化資產都是可供利用的攻擊面，包括計算設備、應用程序和數據存儲庫等。如果這些資產仍然連接了敏感系統和數據時，情況將更加嚴重。企業需要有效管理各類數字資產，移除不再使用或沒有必要的資產。此外，系統和應用程序中的冗余功能也會為攻擊者提供了更多的潛在入口點。消除冗余功能不僅可以減小攻擊面，還可以為用戶簡化流程。

　　8、API安全

　　在數字化時代，幾乎所有的企業都需要依賴大量API進行服務連接、數據傳輸和系統控制，在此背景下，確保各類API的安全應用也變得越來越重要。然而，有很多企業還沒有對API應用存在的安全威脅給予足夠重視，這也導致了攻擊面不斷擴大。企業應該盡量減少第三方API服務的使用數量，并確保所有API得到充分保護，這有助于縮小數字攻擊面。

　　9、補丁管理

　　未打補丁的軟件系統是攻擊者最常利用的攻擊面漏洞之一，也是最容易應對的漏洞之一。因此，企業應該采取合適的策略和機制，解決這些缺陷可能造成的安全問題。通過采取正確有效的補丁管理策略，企業不僅可確保業務軟件和底層基礎架構沒有錯誤和漏洞，還可以循序漸進地降低嚴重網絡安全事件發生的概率，同時也有助于企業進行后續的回顧管理和安全審核。

　　10、網絡安全意識培養

　　盡管存在種種技術漏洞，但人依然是網絡安全中最薄弱的環節。企業可以限制用戶對某些系統和數據的訪問，卻難以阻止員工可能會犯的每個人為性錯誤。因此，持續的員工網絡安全意識培訓是減小數字攻擊面最重要的安全控制之一。現代企業中的每一位員工都應該定期接受網絡安全意識培訓，以識別網絡釣魚等攻擊企圖，了解哪些數據很敏感，了解潛在的風險和漏洞，并了解如何遵循確保敏感數據安全的最佳實踐。盡管人為性錯誤難以避免，但能通過適當的教育和培訓，可以大大降低導致數據泄露危害發生的可能性。