影子資產成安全運營痛點，高等教育行業網絡安全防護需提升暴露資產看見能力

數字化時代的到來，讓企業所擁有的IT資產數量暴漲，這對于IT管理者來說，可不是一件好事情，IT管理如果跟不上數字化的發展，會導致企業出現越來越多的影子資產，而影子資產所帶來的安全風險是未知和不可預見的。“摸清家底”是搞好安全運營的第一步，發現影子資產，提升暴露資產的看見能力已經成為企業安全運營需要具備的重要能力。

對于高等教育行業來說，面臨著同樣的安全挑戰。在零零信安與GoUpSec聯合發布的**《2023高等教育行業暴露面和泛攻擊面分析報告》**數據分析中發現，隨著高等教育行業云計算的普及和數字化的深入，高校網絡的終端、應用、數據和身份與訪問都呈幾何級數增長，高校數據安全管理能力差距不斷擴大，導致高校數字資產暴露和數量遠高于其他行業。

從選取的研究對象US世界排名和外部暴露的泛數字資產的橫向對比可以發現，不同US評級和不同學科偏向以及不同教學理念的大學，其暴露的泛數字資產數量也會有所不同，理論上US評級越高、學科越綜合、教學理念開放性越強的大學，泛數字資產暴露數量越多。

報告中指出，暴露在互聯網的泛數字資產未必一定有漏洞和風險，但它們的暴露即提供給攻擊者一個攻擊入口或可能性。成熟的攻擊者或政治/商業黑客組織會通過但不限于信息系統的漏洞進行攻擊，他們更多的可能會采取綜合攻擊手段。例如使用郵箱進行釣魚，尋找和攻擊影子資產，在組織暴露的文檔和代碼中查找配置文件、密碼、通訊錄、網絡拓撲圖等，使用SGK的數據登陸企業OA和VPN，對供應鏈發起攻擊，對M&A或企業VIP發起攻擊等手段。

暴露在互聯網上的泛數字資產越多，消耗的防御資源越多，單一故障點越多。因此，高等教育行業客戶想要解決這個安全隱患，做好安全運營最好的辦法就是“打開攻擊者視角”，提升暴露資產看見能力，將面向公眾的暴露資產/泛攻擊面納入攻擊面管理和數字風險保護。

2021年，Gartner發布《2021安全運營技術成熟度曲線》，將攻擊面管理相關技術定義為新興技術，而攻擊面管理的核心是攻擊者視角。以往從防御者角度出發而構建的防御體系已不足以支撐高等教育行業客戶的安全運營需要，尤其是在數字化轉型的今天，高等教育行業客戶逐漸無法掌控影子資產、IT資產、移動應用風險和郵箱泄露引發的釣魚風險等。不僅如此，攻擊者還會利用泄露的互聯網上的文檔和代碼、高管人員信息、暗網中的社工庫、勒索軟件、供應鏈等對企業發起攻擊。而攻擊面管理技術的出現，就是為了幫助用戶更好地解決上述問題。

2022年3月，零零信安推出了國內首款外部攻擊面管理SaaS平臺0.zone，已經可以做到對包括信息系統、敏感目錄、電子郵箱、文檔、產品代碼、供應鏈、非公開網絡情報、人員以及組織等可導致形成攻擊點的潛在風險進行查詢，能夠為客戶提供基于攻擊者視角的外部攻擊面管理技術產品和服務。平臺發布以來獲得客戶及行業的廣泛認可，在賽迪顧問《中國攻擊面管理白皮書》、Gartner《Hype Cycle for Security in China, 2022》數說安全《2022年中國網絡安全十大創新方向》等被列為攻擊面管理推薦廠商。

零零信安創始人兼CEO王宇表示，“外部攻擊面管理技術的價值在于它能讓企業比攻擊者更快、更全、更準地獲悉企業外部風險，縮短發現風險的時間，幫助企業獲得攻擊者視角，從而采取更高級別的主動防御措施。未來零零信安將繼續深耕于外部攻擊面管理領域，堅持創新，努力打造行業內標桿產品，為客戶提供更為卓越的產品和服務，更好地為網絡安全建設保駕護航。”