如何做好《關鍵信息基礎設施安全保護要求》提到的收斂暴露面？

5月1日，《信息安全技術 關鍵信息基礎設施安全保護要求》（GB/T 39204-2022）國家標準正式實施。該標準作為關鍵信息基礎設施安全保護標準體系的構建基礎，提出了關鍵信息基礎設施安全保護的三項基本原則，為運營者開展關鍵信息基礎設施保護工作需求提供了強有力的指導。

近些年來，針對關鍵信息基礎設施的網絡攻擊事件愈演愈烈，這些攻擊不僅會對企業造成直接危害，而且可能導致國家關鍵信息基礎設施的癱瘓。這其中，企業暴露在外的互聯網資產成為了攻擊者常常“借用”的突破口，也成為了企業最大的網絡安全隱患。而被動式防御已經無法對抗這種未知的、高強度的網絡攻擊，這已經成為了行業共識。在《關鍵信息基礎設施安全保護要求》中也明確提出關鍵信息基礎設施保護要從分析識別、安全防護、檢測評估、監測預警、主動防御、事件處置等六個方面對關鍵信息基礎設施進行全生命周期的安全防護。在主動防御環節，正式將收斂暴露面納入保護要求，要求包括：

1) 應識別和減少互聯網和內網資產的互聯網協議地址、端口、應用服務等暴露面壓縮互聯網出口數量。

2) 應減少對外暴露組織架構、郵箱賬號、組織通信錄等內部信息，防范社會工程學攻擊。

3) 不應在公共存儲空間（例如∶ 代碼托管平臺、文庫、網盤等）存儲可能被攻擊者利用的技術文檔。例如∶ 網絡拓撲圖、源代碼、互聯網協議地址規劃等。

隨著企業數字化轉型的深入發展，企業的“云足跡”和資產暴露正以前所未有的速度擴張，攻擊面也在同步擴大，根據CybelAngel最新發布的報告，防火墻之外的資產暴露已經成為各行業網絡安全威脅的最大來源。一般企業都會有多個互聯網出口，這就意味著攻擊者可以有更多的攻擊路徑選擇，也意味著企業需要投入更多的人力進行相應的監測分析和響應工作。因此，企業需要對這些互聯網出口進行功能規劃，盡量合并或減少不必要的互聯網出口。

企業的IT部門普遍存在資產管理缺陷，這就成為了企業網絡安全防護的一個灰色地帶。而對攻擊者來說，最習慣的滲透方式就是直接找到企業的這些系統或后臺，通過撞庫、暴力破解等方式進行攻擊，從而直接獲取管理權限。因此，企業一定要從管理上盡量杜絕這一缺陷，做好資產管理工作。

當然，企業除了從管理和流程上做到以上要求，最佳的解決方案是引入專業的攻擊面管理技術，更加系統化的做好收斂暴露面工作。作為國內首家專注于外部攻擊面管理的網絡安全公司零零信安在這一領域擁有豐富的實踐經驗。零零信安EASM產品能夠將企業暴露在外的（數字資產）與企業之間映射，通過與漏洞情報數據進行關聯，持續發現業務數據和代碼泄露、組織機構和人員信息的泄露、以及對供應鏈的攻擊面進行檢測，并通過對全球開放網絡和非公開網絡的數千個情報源、數百億量級數據、企業自身業務上下文等進行大量數據采集和弱點優先級分析，為企業用戶輸出攻擊面情報，幫助企業充分做好收斂暴露面的工作。

同時，在Gartner《Hype Cycle for Security in China 2022》報告中，零零信安還入選了攻擊面管理推薦廠商。Gartner在報告中還提及了一些新的驅動力觀察，強調了攻擊面管理在當下和未來應用的潛力，認同攻擊面管理在“防御演習”當中的高價值作用，從而提前梳理自身薄弱環節。

如今，攻防演練已經成為企業網絡安全防護體系的基礎配置，以求提升自身的網絡安全整體防護能力。我們對攻防演練中攻擊方的常用攻擊手段分析發現，攻擊方首先會通過各種渠道去收集目標企業的各種信息，收集的情報越詳細，攻擊就會越隱蔽越快速。從攻方視角來看，這就要求防守方要比攻擊者更了解企業暴露在互聯網上的系統、端口、后臺管理系統等信息，互聯網暴露面越多，防守方壓力越大，也越容易被攻擊方攻破防線。因此，攻擊面管理也成為了攻防演練中防守方急需補充的一項重要安全能力。

目前，零零信安旗下國內首個在線EASM平臺0.zone發布以來，注冊用戶已超過5萬，越來越多的企業用戶正在使用零零信安外部攻擊面管理技術完善自身的網絡安全防護體系。同時，零零信安00SEC-E&E還可以專注于為甲乙方企業提供外部攻擊面數據服務，目標是在安全管理、攻擊檢測、漏洞管理三個場景下，為SOAR、SOC、SIEM、MDR、安全運維（服務），IDS、IPS、NDR、XDR、蜜罐、CTI、應急響應團隊（服務），漏洞管理系統、掃描器、 CAASM、BAS、風險評估（服務）、滲透測試團隊（服務）等產品和服務提供基礎數據能力，讓國內所有安全產品都具備外部攻擊面/暴露面檢測能力。