网络攻击面、暴露面和脆弱面是在网络安全领域中常用的概念,它们描述了网络系统面临的不同安全威胁和风险。
-
网络攻击面(Attack Surface):指的是一个网络系统或应用程序所暴露给潜在攻击者的攻击路径或入口。网络攻击面可以包括开放的网络端口、漏洞、不安全的配置、权限问题等。攻击面越大,表示系统或应用程序存在更多的攻击面和潜在的安全漏洞,从而增加了被攻击的风险。
主要包含外部攻击面管理(EASM)、网络资产攻击面管理(CAASM)、数字风险保护服务(DRPS)等内容。
![“网络攻击面、暴露面、脆弱面”的区别]( "“网络攻击面、暴露面、脆弱面”的区别")
攻击面管理是一种从攻击者的角度对企业数字资产攻击面进行检测发现、分析研判、情报预警、响应处置和持续监控的资产安全性管理方法,其最大特性就是以外部攻击者视角来审视企业所有资产可被利用的攻击可能性。
减少攻击面的基本策略是减少运行中的软件总量,减少非信任用户可使用的入口点,以及消除用户很少使用的服务。改进信息安全的方法之一就是减少系统与软件的攻击表面。因为关闭不必要的功能,可以避免它们带来的安全风险。减少未授权操作者可调用的代码有助避免安全事故。虽然减少攻击表面有助于防止安全事故,但它不能减少一旦攻击者发现漏洞后可能造成的损害程度。
攻击面从外部攻击视角来审视企业网络资产可能存在的攻击面及脆弱性,如开放端口是否做映射、网络边界是否做隔离、人员行为是否被明确约束等。 - 暴露面(Exposure Surface):指运营单位拥有或控制的域名、IP、网站、代码框架、应用系统、公众号、小程序、源代码、数据等资产。指的是网络系统或应用程序中可能会受到攻击或被利用的已知漏洞或弱点。暴露面是攻击者可以直接利用的安全弱点,例如未打补丁的软件版本、不安全的密码策略、弱密码等。通过减少暴露面,可以降低系统遭受攻击的可能性。
![“网络攻击面、暴露面、脆弱面”的区别]( "“网络攻击面、暴露面、脆弱面”的区别")
- 主观存在的暴露面危害:这些被互联网或暗网披露的的资产所存在的漏洞、弱口令、敏感端口、数据泄露等安全问题,会给不法份子提供可利用机会,从而造成企业财务损失。
客观存在的暴露面危害:仿冒钓鱼等品牌风险、信息恶意泄露等非主观因素导致数据外泄的
- 脆弱面(Vulnerability Surface):指的是网络系统或应用程序中存在的各种漏洞、弱点或脆弱性。脆弱面与暴露面有重叠之处,但它更加广泛地描述了系统中可能存在的安全漏洞。脆弱面可以包括软件漏洞、配置错误、设计缺陷等。通过对脆弱面进行评估和修复,可以提高系统的安全性和抵御攻击的能力。
![“网络攻击面、暴露面、脆弱面”的区别]( "“网络攻击面、暴露面、脆弱面”的区别")
脆弱性也可称为弱点或漏洞,是资产或资产组中存在的可能被威胁利用造成损害的薄弱环节。脆弱性一旦被威胁成功利用就可能对资产造成损害。脆弱性可能存在于物理环境、组织、过程、人员、管理、配置、硬件、软件和信息等各个方面。脆弱性是网络系统中可能被利用并造成危害的弱点。
- 三无七边系统
三无:指具有系统特征且存在"无人管理、无人使用、无人防护"情况的业务/网站/系统/平台。
七边:指测试系统、试验平台、退网未离网系统、工程已上线加载业务但未正式交维系统、与合作伙伴共同运营的业务或系统、责任交接不清的系统、处于衰退期的系统。
三无七边系统是往往是最容易被外部攻破和利用的,所以需要加以重视。但是"三无七边"往往是最不容易发现和忽视的。
“三无七边”系统网络安全管控工作应贯穿规划、设计、建设、入网运行、维护及下线退网整个生命周期。 - 总结起来:
网络攻击面描述了网络系统或应用程序所暴露给攻击者的攻击路径或入口。
暴露面指的是已知的、可能被攻击或利用的安全漏洞或弱点。
脆弱面描述了网络系统或应用程序中可能存在的各种漏洞、弱点或脆弱性。 - 区别
暴露面不一定存在漏洞也不一定是攻击面,但是因为暴露在攻击者视线范围内,直面外部攻击者的威胁,安全风险高。
攻击面我的理解是既可以被黑客访问又存在漏洞,也就是既是暴露面又有脆弱性,安全风险非常高。
攻击面是从外部攻击的视角来审视可能存在的风险,暴露面和脆弱性从内部管理的视角来审视安全风险。
三无七边系统往往是安全管理人员所忽视的有可能存在暴露面和攻击面而又没有在安全管控范围内的系统,安全风险非常非常高。
文章内容转自萌新学网络安全,侵删
原文始发于微信公众号(网络安全资源库):“网络攻击面、暴露面、脆弱面”的区别
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论