Hackerone发布了《2022年企业攻击面管理》报告，报告中阐述了大部分企业存在团队对攻击面管理准备不足、测试频次严重欠缺、现有的处理方案无法应对全部风险、安全人才严重不足这四大问题，因此企业对于互联网攻击的防护能力实际上远低于企业面临的攻击力度，而且这一差距正在放大。针对这一问题，Hackerone在报告中提出建议，企业应该采取多管齐下的方式，在满足完善布置基础攻击面管理的前提下，加强团队间的协作配合，引入白帽子思想从外部对企业安全进行审视，最终实施好攻击面管理流程，实现良好的安全循环。

企业现有安全方案缺陷促成攻防差距

如今企业的全面数字化转型、云计算应用的增加、随时随地工作的常态化以及物联网（IoT）的出现导致，企业对于互联网以及云的依赖直线上升，有2/3的受访者表示60%以上的it工作依托云进行，预估到2028年，73%企业将会拥有远程员工。在这一背景下，企业对于互联网攻击的防护能力就变得尤为重要。但是如今的局面却是企业面对互联网攻击的防护能力远低于实际的攻击力度，很多攻击面实际上并不能覆盖防护到，报告中的数据显示存在约有38%的攻防覆盖差距。那么是什么样的原因造就了如今的局面呢？

攻防能力差异体现

各个团队对攻击面管理准备不足

一个企业的攻击面管理会包括基础设施、软件、应用程序和设备，以及扩展的供应链。但是随着组织全球化的发展，企业的规模和合作范围在不断的扩大，这就使得企业面临的攻击面也会随之不断扩张。不断扩展的攻击面管理也就会要求开发、运营、IT和安全团队肩负起更多的安全责任，但这种多样化、扩大化的安全责任会导致四个团队间出现安全责任行动的脱节，同时这四大团队也面临着各自的问题。

首先是如今开发团队更新应用的速度越来越快，修补和提供新功能的频次远超过去，这就无意中导致了安全漏洞出现的频次和概率也在不断上升。

其次由于企业的全球化扩张趋势，企业不断拓展不同的市场，运营团队就需要在不同云运营商和基础技术的情况下去配置统一的环境去运行应用。但是在差异性条件下，进行统一的环境配置就很容易出现错误的配置，从而导致安全漏洞的出现。

再者企业在进行经营活动时，无可避免地需要进行与其他企业的合作或者是收购重组，这使得it部门需要进行应用的整合活动。在管理软件和SaaS应用时，IT部门被迫性地继承不同的漏洞，这就使得安全漏洞的数量会源源不断地增长。

最后是安全团队的问题。本身优质的安全运营团队就少之又少，加上随着互联网技术的快速发展，网络安全相关的知识内容也在快速增长，现有的安全团队就需要不断进行学习，但现状是很多安全团队缺乏相应的新知识，这就造成了安全团队并不能跟上现有的安全需求。

测试频次严重欠缺

根据各种第三方收集的行业数据，大型企业平均至少使用1295个云服务，4110个SaaS应用程序，5464个定制应用程序，同时正常情况下企业的各类服务与应用应该每年进行多次更新与检测。但是根据Hackerone的统计调查显示仅有三分之一的受访者表示他们使用的服务与应用进行更新检测的频率高于一年一次。考虑到应用程序的平均数量，几乎60%的HackerOne调查对象运行的五级测试和评估远远低于理论需要次数。这就使得企业使用大部分的应用程序以及服务是没有经过或是只少量经过测试的。这些服务与应用程序在企业互动中普遍是处于较少使用的状态，但应用程序和服务存在高可利用性漏洞就很可能成为针对企业网络攻击中最容易的突破口。

现有的处理方案无法应对全部风险

为了提高抗攻击能力，大多数企业都会使用扫描器或多点式解决方案来帮助了解他们的攻击面。但现有的扫描器和安全测试存在着大量的缺陷。

安全测试和扫描工具缺陷占比

同时现有的处理方案还会造成安全团队以及开发和运营团队被数据淹没，并形成数据孤岛化，使得各个团队难以分析威胁的优先级，这就使得有重大破坏潜力的攻击漏洞难以被及时察觉。在调查中显示大多数调查对象会利用各种流程来推动开发、运营、it和安全团队之间的合作，但是现阶段这些的团队合作程度依然有所欠缺，整个流程是偏向于机械化、僵硬化，缺乏创新性与活性，难以赶上攻击者的创新手段和创造思维。

安全人才严重不足

各种规模的企业都面临着招聘熟练和有经验的人才的挑战，企业也很难让他们的团队了解最新的技术和网络安全威胁。在报告中显示超80%的企业认为他们缺乏有合格专业知识能力的人才团队。随着企业推动数字化进程的加快，他们对云原生和容器技术组合的需求在不断增长。但是现阶段安全云原生开发和容器技术方面的专业人才还是处于严重匮乏的状态。

新兴安全技能知识掌握占比

企业对安全人员的需求

如何缩小企业攻防差距

许多组织认为，拥有正确的工具来监测其网络安全攻击面就足以管理风险。但实际上多管齐下，多方面针对才能更好地抵御未知的攻击，缩小攻与防的差异。企业通常是使用四个主要部分来抵御对其数字资产环境的攻击，即开发团队技能、攻击面管理/监测、安全测试程序、安全测试工具和安全。但是即使是这四个组件同时生效，也仍然会存在覆盖不到的安全漏洞。根据Hackerone的调查显示，这些常用组件仅能够覆盖63%，剩余的37%部分是难以覆盖到的。

常用组件的覆盖部分

那么剩余的37%安全风险我们该如何应对或者是去缩小这部分的比例呢？首先需要增加开发、IT、运营和安全团队之间的合作，以尽量减少风险，同时引入白帽子的思想观念，脱离原有的传统思想进行拓展性思考，从外部去审视企业存在的安全风险。具体而言扩大对经验丰富、训练有素和经过审查的专业人员访问，将正确的技能与正确的项目结合起来，并且要持续监测和优先排序，风险最大的资产放在首位进行优先处理。而在攻击面测试方法上则需要专注于新的应用程序的更新和反复验证，打破各个部门之间的信息和流程孤岛，并最大限度地利用现有安全工具。最后通过伙伴关系、社群和服务等，实现多学科的技能提升。

企业安全结构良性循环图

能够带来的效益

实施抗攻击管理引发了一个持续的改进循环。企业可以更好地了解他们的攻击面，进行符合他们需求的测试，为最关键的资产安排测试，并利用测试结果来磨练所需的安全技能。然后，这个更加合格和训练有素的团队可以有能力识别关键资产和问题，并对其进行充分的测试。这是一个良性循环，在企业安全风险降低的同时，能够加强安全团队的技能水平，最终再次反哺到企业安全上。

攻击面管理实施前后效益对比

总结与建议

企业对于互联网以及云的依赖直线上升，意味着需要更强力的网络防护手段去应对各种攻击。但现阶段普遍存在着各类的安全问题难以去应对，还需要进行很多的努力去不断追赶防护与攻击之间的差距。面对这些差距，我们能做的就是建立并完善开发团队技能、攻击面管理/监测、安全测试程序、安全测试工具和安全，并且加强团队间的合作以及运用创新性思维，从而建立良性循环去应对未来层出不穷的挑战。