SecureWorks最新發布的《2023年威脅狀況報告》顯示，在2023年3月至6月的4個月時間里，勒索軟件泄露網站上公布的受害者人數達到了前所未有的水平。成立已超過140年的某智能建筑領域全球領導者近期遭受到勒索軟件攻擊，一度導致運營中斷，攻擊者索要5100萬美元贖金。勒索軟件攻擊猛于虎，讓全球所有企業都如臨大敵。
預防勒索病毒與減少受攻擊面密切相關，因為系統的漏洞或薄弱環節往往讓勒索病毒有機可乘。從勒索病毒的防御透視整個企業的安全防護可以發現，減少受攻擊面是實現從被動防御到主動安全的必然路徑，也是提升企業整體安全性的“入口”。
 
減少受攻擊面是一種安全戰略
所謂攻擊面，是指系統中可被網絡攻擊者攻擊或利用的所有可能的點或區域。 通過減少不同的攻擊面，可以有效防止攻擊的發生。Gartner將攻擊面擴展列為“2022年最主要的安全和風險管理趨勢”。戴爾科技的調研顯示，這些極易受到攻擊的“點”主要包括軟件漏洞、配置錯誤、身份驗證機制薄弱、系統未修補、用戶權限過多、開放式網絡端口、物理安全性較差等。
隨著云計算、大數據、人工智能等新興應用不斷涌現，越來越多的攻擊面也暴露出來。比如，伴隨著云計算的普及，云上的錯誤配置就有可能導致大規模的數據泄露；再比如，企業越來越多地引入開源軟件或者將運營外包給第三方供應商，這都會增加攻擊面暴露的幾率。上述安全隱患都會嚴重影響企業業務的連續性，有可能造成無法挽回的損失。
對于各行各業的企業來說，減少受攻擊面不僅僅是一個網絡安全概念，更是一種安全戰略，其核心是盡可能減少邊緣、核心或云中可能被用于攻擊系統、網絡或組織的潛在漏洞和入口點，逐步提高企業預防、抵御和恢復的整體能力，從而減少惡意攻擊者成功發起網絡攻擊的機會，進一步增強網絡彈性。
Gartner建議，企業要全面監控并嚴格管理攻擊面，并將攻擊面管理納入到企業整體的網絡安全風險管理計劃之中，從而開啟主動防御的大門。在這種情況下，企業和組織應該以新的思維方式審視網絡安全，采用超越傳統的安全監控、檢測和響應的新方法，更加有效地縮減受攻擊面。
 
減少受攻擊面 會者不難
人們常說，“亡羊補牢，猶未為晚”。但是從主動防御的角度，我們寧愿將相關工作做到事前，盡量避免攻擊面的暴露，這樣才能將安全攻擊帶來的不良影響和損失降到最低。或者說，大大降低處置安全風險所需投入的成本。
基于多年實踐經驗，戴爾科技總結和歸納出一套行之有效的減少受攻擊面的措施和戰略，覆蓋技術、架構、運維、培訓和伙伴等各個維度，希望能夠給企業的安全實踐帶來有益的啟示和幫助。
1. 打造零信任底座，樹起安全屏障
隨著企業數字化轉型逐步走向深入，企業的業務形態、IT架構、應用模式等都發生了翻天覆地的變化。遠程辦公的常態化、跨云的數據傳輸、物聯網絡的泛在化等，導致了網絡安全邊界的模糊化，傳統的網絡安全方案已經無能為力，零信任架構成了新的選擇。
零信任是一個安全概念，其核心理念是企業和組織不應自動信任其邊界內外的任何內容，而是必須驗證嘗試連接到其系統的所有內容，然后才能授予其訪問權限，并通過整合微分段、身份和訪問管理 (IAM)、多因素身份驗證 (MFA) 和安全分析等解決方案，打造零信任模型。
中國信息通信研究院發布的《零信任發展研究報告(2023年)》指出，零信任“持續驗證、永不信任”、最小化授權、精細化網絡分段流量管理、統一數字身份等特性，能夠更有效地保障軟件供應鏈安全，抵御勒索軟件攻擊，促進公共數據與服務安全開放等。
如今，越來越多的安全廠商引入了網絡分段技術。以前，企業通常只有一個單一的網絡，所有設備都接入其中，一旦攻擊者進入網絡，就可以暢通無阻，安全隱患防不勝防。所謂網絡分段，顧名思義就是將網絡劃分為具有不同安全級別的分段或分區，這樣有助于遏制攻擊，并通過隔離關鍵資產和限制網絡不同部分之間的訪問來防止橫向移動，從而最小化威脅影響。
總之，采用零信任架構能夠讓企業在核心、云和邊緣環境中提高可見性，增強控制能力，達到保護數據與應用的安全、降低風險的目的。
2. 注重安全細節，封堵所有漏洞
在企業中，安全漏洞和隱患無處不在，比如網絡釣魚和數據泄露等人為錯誤和遺漏，未知的開源軟件或過時的軟件，還有物聯網或影子IT資產等。為了減少受攻擊面，企業可能已經采取了很多安全手段和措施，以下幾個方面更應該引起足夠重視：
配置安全。企業應確保系統、網絡和設備按照安全最佳實踐進行正確配置，比如禁用不必要的服務，使用強密碼和執行訪問控制，以減少潛在的受攻擊面。
堅持最低權限原則。基于最低權限原則可對用戶和系統帳戶加以限制，使其僅具有執行相應任務所需的最低訪問權限。此方法可限制攻擊者獲得未經授權訪問權限所產生的潛在影響。
確保應用程序的安全性。實施安全編碼，定期進行安全測試和代碼審查，以及使用 Web應用程序防火墻(WAF)。這些措施有助于防范常見的應用程序級攻擊，并減少Web應用程序的受攻擊面。
3. 隨需應變，持續更新
減少受攻擊面，不是構建了零信任架構，采取了多種防御措施就萬事大吉。黑客正變得越來越有組織性和規?；艏夹g和手段花樣翻新，同時攻擊也更具針對性和破壞力。
俗話說“魔高一尺，道高一丈”。應對快速變化的攻擊和威脅，企業的安全防御系統要定期修補和更新。比如，使用全新的安全修補程序，使得軟件、操作系統和應用程序保持更新，這有助于解決已知漏洞，并最大程度地降低風險。
另外，企業還要加強對內部人員的培訓，提高其安全認知，使得員工有能力識別并報告潛在的安全威脅、網絡釣魚企圖和社會工程策略，這樣可以更有效地降低利用人類弱點發起攻擊的風險。
4. 善于“借力打力”，構建安全生態            
減少受攻擊面，人人有責，人人獲益。企業、用戶與合作伙伴應該形成一條統一的安全戰線，共同增強防御安全攻擊的能力。
企業可以與專業的安全供應商合作，在設計、制造和交付設備與基礎架構的各個階段都充分考慮到安全性，奠定可信賴的基礎。安全廠商能夠提供安全的供應鏈、安全的開發生命周期和嚴謹的威脅建模，能夠讓企業比攻擊者先行一步，有備無患。企業與安全廠商、專業的技術和服務合作伙伴建立穩固的合作關系，可以更好地吸收來自外部的專業知識、互補的解決方案，進一步提升企業整體的安全性。
特別值得一提的是，人工智能技術已經成為一種新的增強安全防御能力的手段。特別是大模型的興起，加快了人工智能技術在發現、處置安全攻擊和威脅中的應用。更深入的研究正在持續進行之中。
 
循序漸進 持之以恒
企業在數字化轉型的過程中，無論是在邊緣、核心還是云端，都要做到防微杜漸，努力減少受攻擊面，不斷增強自身抵御持續威脅的能力，為業務的創新與發展保駕護航。
減少受攻擊面需要全方位的安全防護策略。戴爾科技通過建立一攬子安全流程，包括評估風險、保護關鍵數據和縮小受攻擊面、偵測威脅、從攻擊過程中恢復等多個過程，不斷提升網絡彈性模型的成熟度；同時，戴爾科技還利用全方位端點保護產品組合，減少受攻擊面，通過將內置的保護與持續的警戒功能相結合，持續降低攻擊對于企業的影響。
必須明確的是，網絡安全不是一次性任務，而是一個持續的過程。通過積極主動地實施各類主動防御措施，企業能夠有效地減少受攻擊面，使攻擊者更難利用漏洞影響企業的正常運行。在服務商和合作伙伴的助力下，企業通過定期審計、滲透測試和漏洞評估等方式，可以及時發現漏洞及不足，不斷完善和優化現有的網絡安全體系和機制，將企業全面的網絡安全戰略落在實處，增強整體防御能力，從容應對各種新興威脅。
保障網絡安全不可能一蹴而就，讓我們現在就從減少受攻擊面做起，行穩致遠。