百萬次滲透測試顯示企業安全態勢正在惡化

缺乏網站保護、發件人策略框架（SPF）記錄和DNSSEC配置使公司更容易受到網絡釣魚和數據泄露攻擊。

根據網絡安全公司Cymulate基于1萬次滲透測試數據的企業安全態勢評估，2022年企業數據泄露風險大幅增長，評分從2021年的30分大幅到44分。（Cymulate的進攻性安全測試包括了針對生產環境的滲透測試。）

WAF導致的暴露風險有所下降，但數據泄露風險卻在快速增長

Cymulate發現，在客戶環境中發現的十大嚴重漏洞中，平均有四個已經存在兩年以上。其中包括高嚴重性的WinVerifyTrust簽名驗證漏洞（CVE-2013-2900），該漏洞可允許惡意可執行文件通過安全檢查，以及Microsoft Office中的內存損壞漏洞（CVE-2018-0798）。

不過，也有好消息。安全評估的數據表明，企業跨平臺惡意軟件檢測的風險評分普遍提高了，大量攻擊被Web網關阻止。

與此同時，Cymulat的進攻性網絡安全測試還發現，云和電子郵件依然是黑客的游樂場。

攻擊越來越多地來自流行的云

越來越多的攻擊者開始利用流行的云服務（例如亞馬遜和Azure）而不是流行的文件共享服務（如Dropbox和Box）發動攻擊，來逃避電子郵件附件過濾器和其他安全技術。因為企業很難阻止來自大型可信云服務提供商的數據。

在Cymulate研究中，最成功的攻擊策略包括在偷渡式入侵場景中通過瀏覽器攻擊用戶，存檔和泄露數據，并將該數據傳輸到AWS或Azure等云服務帳戶。

電子郵件安全的網絡效應

在Cymulate滲透測試發現的前十大風險中，近一半與IT基礎設施缺乏安全措施有關。常見問題包括無法識別網絡釣魚域名、無法配置DNSSEC以及缺乏兩種關鍵郵件安全技術：DMARC（基于域名的郵件身份驗證、報告和一致性）和SPF（發件人策略框架）。

總體而言，公司在部署關鍵的電子郵件安全和完整性技術方面進展緩慢，例如DMARC、SPF和第三種技術，即域密鑰識別郵件（DKIM），這有助于防止網絡釣魚成功和品牌欺詐。報告指出，雖然實施DMARC、DKIM和SPF的公司可以更好地防止基于電子郵件的攻擊，但只有當郵件發送接收方都使用時，技術標準才能發揮網絡效應。

報告還顯示，不同行業各有優劣勢。例如，教育和酒店業的數據泄露風險最高，而科技行業對直接威脅的保護水平最低。科技行業和政府的Web應用防火墻的防護都低于平均水平。