外部受攻擊面剖析

大多數網路攻擊都源自數英里外的網路；Web 應用程式是與駭客相關的缺口中最常被利用的媒介類別。不幸的是，大多數組織缺乏對其互聯網資產以及這些資產如何連結到全域受攻擊面的完整檢視。造成這種缺乏可見度的三個重要因素是影子 IT、合併(M&A)和數字供應鏈。

影子 IT

如果 IT 無法跟上商務需求的步伐，則企業會在別處尋求支援，以開發和部署新的網路資產。安全性團隊往往對這些影子 IT 活動一無所知，因此無法將建立的資產納入其安全性計劃的範圍。隨著時間的推移，非受控資產和孤立資產可能會成為組織受攻擊面中的一種負債。

防火牆外的數位資產的快速擴張現在已成為常態。新的 RiskIQ 客戶通常會探索比他們想像的多出大約 30% 的資產，並且 RiskIQ 每分鐘偵測到 15 個過期服務（容易受到第三網域接管）和 143 個開放連接埠。²

合併和收購

日常運營和關鍵作業計劃（如 M&A、戰略合作夥伴關係和外包）會創建和擴展外部受攻擊面。如今，全球只有不到 10% 的交易包含網路安全性盡職調查。

組織在盡職調查過程中無法全面了解潛在網路風險，這有幾個常見原因。首先是他們正在收購的公司數位業務的龐大規模。對於大型組織來說，擁有數千甚至數萬個活躍網站和其他公開資產的情況並不少見。雖然這家被收購公司的 IT 和安全性團隊將擁有網站的資產登記冊，但幾乎總是只有對現有資產的片面了解。組織的 IT 活動越分散，差距就越大。

供應鏈

企業日益依賴構成現代供應鏈的數字聯盟。雖然這些依賴關係對於在 21 世紀的運營至關重要，但它們也造成了一個雜亂無章、層層疊疊且高度複雜的第三方關聯網路，其中許多關聯超出了安全性和風險團隊的權限範圍，無法進行主動保護和防禦。因此，快速識別易受攻擊的數位資產並發出風險信號是一項巨大的挑戰。

由於缺乏對這些依賴關係的理解和可見度，第三方攻擊成為威脅執行者最頻繁和最有效的載體之一。現在，大量的攻擊來自數位供應鏈。如今，70% 的 IT 專業人員表示對外部實體的依賴程度為中度到高度，這些實體可能包括第三方、第四方或第五方。 ⁹與此同時，53% 的組織至少經歷過一次由第三方造成的數據洩露。¹⁰

雖然大規模供應鏈攻擊變得越來越普遍，但組織每天都在處理較小的攻擊。像 Magecart 這樣的數位信用卡盜刷惡意軟體會影響第三方電子商務外掛程式。2022年2月，RiskIQ 檢測到 300 多個受 Magecart 數位信用卡盜刷惡意軟體影響的網域。¹¹

當今的全域網際網路受攻擊面已經急劇轉變為一個包羅萬象而完全交織在一起的動態生態系統，我們都是其中的一部分。如果你有網際網路狀態資訊，你就會與其他人互聯，包括那些想傷害你的人。因此，跟蹤威脅基礎結構與跟蹤您自己的基礎結構同樣重要。

不同的威脅組織將回收和共用基礎設施（IP、網域和證書），並使用開源商品工具（如惡意軟體、網路釣魚工具包和 C2 元件）來避免輕鬆歸因，對其進行調整和改進以滿足其獨特需求。

2018 年至 2019 年間，每天檢測到超過 560,000 個新的惡意軟體，在地下網路犯罪市集上宣傳的網路釣魚工具包數量翻了一番。2020年，檢測到的惡意軟體變體數量增加了 74%。¹⁴ RiskIQ 現在每 49 分鐘檢測一次 Cobalt Strike C2 伺服器。