【动画】带你了解,何为网络安全“攻击面管理”******
【2022年国家网络宣传周系列科普】
近年来,新兴技术迅速发展带动了网络资产边界快速拓展,也增加了企业资产暴露面,而基于供应链�����的新型攻击则大大降低了攻击成本。在多重因素的驱动下,网络安全防御策略也在与时俱进,攻击面管理也开始被行业所关注。让我们一起了解一下攻击面管理的小知识吧。
什么�����是攻击面?
近日发布的《中国攻击面管理市场研究报告》(以下简称研究报告)指出�����,攻击面是指未经授权即能访问和利用企业数字资产的所有潜在入口�����的总和�����。
其中,包括未经授权的可访问的硬件�����、软件、云资产和数据资产等,同样也包括人员管理�����、技术管理�����、业务流程存在�����的安全弱点和缺陷等,即存在可能会被攻击者利用并造成损失�����的潜在风险。
但不是所有资产暴露面都可以成为攻击面�����,只有可利用暴露面叠加攻击向量才形成了攻击面�����。
什么是攻击面管理�����?
攻击面管理是一种从攻击者的角度对企业数字资产攻击面进行检测发现�����、分析研判、情报预警�����、响应处置和持续监控的资产安全性管理方法�����,其最大特性就�����是以外部攻击者视角来审视企业所有资产可被利用�����的攻击可能性�����。
主要包含外部攻击面管理(EASM)、网络资产攻击面管理(CAASM)、数字风险保护服务(DRPS)等内容�����。
什么是攻击面管理框架体系?
攻击面管理框架体系自下向上分别为基础技术、安全能力和应用场景。基础技术为支撑攻击面管理的技术能力集合,多种技术组合形成攻击面管理的能力体系,根据不同�����的业务场景需求采用不同�����的能力组合,形成不同�����的应用场景下的攻击面管理解决方案,为用户提供有针对性的攻击面闭环管理能力。
什么�����是攻击面管理成熟度模型�����?
研究报告中还提到了建立攻击面管理的成熟度模型,主要�����是工具阶段的被动防御、平台阶段�����的主动防御、流程化阶段的对抗防御、先知阶段的优先防御四个层级;提出了暴露面获取�����、脆弱点发现�����、攻击面挖掘�����、情报获取能力等攻击面管理要具备的12个能力域,从检测发现、分析研判�����、情报预警、响应运营�����的闭环管控过程分解了响应�����的29个能力子项�����,从子能力的具备和完善情况来评价攻击面管理的有效性�����。
发展前景怎么看�����?
目前,国内外厂商如华云安�����、360政企安全�����、Mandiant、CyCoginito�����、等一大批传统网络安全团队,正在进入攻击面管理创新领域。未来攻击面管理将从传统场景扩展到新兴技术场景,并提供跨领域、跨技术平台�����的数字资产及其攻击面管理能力�����,更关注企业内部业务风险和第三方风险的管理,为用户提供统一的攻击面管理入口�����,并提供一致的安全运营体验。
光明网�����、华云安 联合出品
监制�����:张宁�����、李政葳策划�����:孔繁鑫制作/配音:雷渺鑫
百万中小企业可免费注册国家顶级域名,如何进一步数字化�����?******
1月16日�����,由中国互联网络信息中心(CNNIC)主办的互联网基础资源赋能百万中小企业数字化行动(以下简称“行动”)发布会在京举办。本次“行动”将在未来两年内�����,为百万中小企业提供免费注册国家顶级域名,降低IPv6地址(互联网协议第六版�����,地址长度为128位)�����的申请和使用费用,并以优惠价格提供主机、建站�����、邮箱等互联网应用产品和服务�����,帮助中小企业实现“提质、增效�����、降本、减存、绿色、安全发展”等多重发展目标,紧跟数字化进程�����。
多位受访�����的参与此次行动的注册服务商告诉新京报贝壳财经记者,中小型企业现在大部分没有自己的品牌域名和官网�����,此次支持中小企业注册域名�����的行动�����,为企业减少了成本�����,同时注册商配套产品价格给予优惠支持,助力中小型企业数字化转型�����。
工业和信息化部中小企业局二级巡视员廉莉在现场表示�����,数字化转型�����是中小企业高质量发展�����的必由之路�����,也�����是实现新型工业化的必然选择。“十四五”时期�����是我国中小企业数字化转型�����的关键窗口期和战略机遇期�����,本次“行动”为破解中小企业数字化转型“不愿转、不敢转�����、不会转”�����的共性难题提供了很好�����的工作思路。
助力中小企业降低数字化转型成本
在本次“行动”中�����,中国互联网络信息中心将为国内中小企业免费提供100万个国家顶级域名和隐私保护服务�����,降低IPv6地址�����的申请和使用费用�����,参与行动�����的19家注册服务机构将为中小企业提供价格优惠�����的云解析、企业邮箱、SSL证书�����、云服务器�����、DNS解析产品�����、网站建设等互联网应用产品和服务。
谈及国内目前中小企业域名注册的现状�����,中万网络商务总监于建军对新京报贝壳财经记者称�����,中小型企业现在大部分没有自己的品牌域名和官网,基本借助第三方平台宣传和推广,此次行动为企业减少了成本,助力中小型企业数字化转型�����。
“域名其实�����是商标和版权在网络上的一个衍生�����,也是中小企业�����的一个标配。”互联网域名系统北京市工程研究中心有限公司(简称ZDNS)副总经理冯硕对记者称,域名也是一个企业�����的流量入口,“用中国自己运营的域名�����,也更加安全可靠。”
新网域名业务总监杨纯也表示�����,参与本次行动的服务商除了提供域名注册�����,还提供互联网基础资源产品�����,并且给予很大�����的优惠降价。“在这个经济复苏阶段,能帮助中小企业解决成本问题�����。”
中国互联网络信息中心主任曾宇提出�����,此次行动�����,宗旨�����是助力中小企业数字化转型“转得起、用得上、出效益”。他还强调�����,本次“行动”要坚持创新引领�����,激发中小企业发展活力�����;推动示范引领,释放中小企业转型潜力,形成数字化转型系统解决方案�����;加大宣传推广力度�����,提升中小企业数字化转型意识。
中小企业数字化绝大多数还在探索中
近年来,中小企业数字化得到了越来越多关注。中科三方总经理邹立刚认为�����,中小企业�����的数字化要重点聚焦于数据�����、场景和数字技术。企业的智力成果�����、财务、人力资源等核心资产也�����是以数字化信息系统的方式管理和运营�����。“域名系统也是中小企业步入数字化的必经之路�����。”
不过在于建军看来,目前数字化转型还�����是国内中小型企业�����的短板�����,“部分企业还是没有重视起来企业数字化建设。”杨纯分析称,影响中小企业数字化进展的因素�����,一个是数字化成本,另一个是企业关于自身营销策略的思考。
“总体来看�����,我国中小企业的数字化绝大多数还处在探索阶段中,且面临着各种各样的问题,首先�����,中小企业数字化转型的成本高、试错能力差�����,这�����是中小企业实现数字化转型�����的最大阻碍�����。其次,很多中小企业没有专门的技术团队和人才�����,缺乏数字化转型所需要的技术储备�����。数据安全也成了中小企业数字化转型的主要顾虑。”邹立刚说�����。
去年11月3日�����,工信部印发《中小企业数字化转型指南》�����,面向中小企业�����、数字化转型服务供给方和地方各级主管部门�����,从增强企业转型能力、提升转型供给水平、加大转型政策支持等三方面提出了14条具体举措。工信部数据显示,中小企业贡献了50%以上的税收�����、60%以上�����的GDP�����、70%以上�����的技术创新、80%以上的城镇劳动就业�����、90%以上�����的企业数量,是国民经济和社会发展�����的生力军�����。但我国产业数字化发展多年,成果大多集中在头部市场�����,对中长尾端的覆盖�����,还存在较大的“数字鸿沟”�����,真正享受到数字化“红利”�����的中小企业并不多。
如何进一步促进中小企业数字化?杨纯对新京报贝壳财经记者分析称,专业的事情还是交给专业�����的人来做,“现在基础资源服务商都有比较成熟的方案�����,还�����是要多加推广,让中小企业用户跟服务商有更紧密的联系,由服务商帮他完成线上�����的数字化转型。”
于建军表示�����,中小型企业目前比较迷茫,“可能过去也做过互联网品牌建设和推广�����,但是效果不好,进一步做好数字化转型需要客户的认可�����,需要选择优质服务商积极配合提供数字化转型服务。”
邹立刚表示�����,促进中小企业数字化,一是需要政府政策的支持�����,加大资金支持力度,降低中小企业数字化转型的门槛�����,鼓励金融机构提供中小企业数字化转型相关的产品和服务等等。二�����是第三方技术服务商的技术支持�����,为广大中小企业提供域名、解析�����、建站、服务器等一整套的数字化转型所需�����。
(文图:赵筱尘 巫邓炎)
[责编:天天中]
微信好友 
朋友圈 
)
一分快3地图