5月1日，《信息安全技術(shù) 關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)要求》（GB/T 39204-2022）國(guó)家標(biāo)準(zhǔn)正式實(shí)施。該標(biāo)準(zhǔn)作為關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)標(biāo)準(zhǔn)體系的構(gòu)建基礎(chǔ)，提出了關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)的三項(xiàng)基本原則，為運(yùn)營(yíng)者開展關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)工作需求提供了強(qiáng)有力的指導(dǎo)。

近些年來，針對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施的網(wǎng)絡(luò)攻擊事件愈演愈烈，這些攻擊不僅會(huì)對(duì)企業(yè)造成直接危害，而且可能導(dǎo)致國(guó)家關(guān)鍵信息基礎(chǔ)設(shè)施的癱瘓。這其中，企業(yè)暴露在外的互聯(lián)網(wǎng)資產(chǎn)成為了攻擊者常?！敖栌谩钡耐黄瓶?，也成為了企業(yè)最大的網(wǎng)絡(luò)安全隱患。而被動(dòng)式防御已經(jīng)無法對(duì)抗這種未知的、高強(qiáng)度的網(wǎng)絡(luò)攻擊，這已經(jīng)成為了行業(yè)共識(shí)。在《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)要求》中也明確提出關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)要從分析識(shí)別、安全防護(hù)、檢測(cè)評(píng)估、監(jiān)測(cè)預(yù)警、主動(dòng)防御、事件處置等六個(gè)方面對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施進(jìn)行全生命周期的安全防護(hù)。在主動(dòng)防御環(huán)節(jié)，正式將收斂暴露面納入保護(hù)要求，要求包括：

1)應(yīng)識(shí)別和減少互聯(lián)網(wǎng)和內(nèi)網(wǎng)資產(chǎn)的互聯(lián)網(wǎng)協(xié)議地址、端口、應(yīng)用服務(wù)等暴露面壓縮互聯(lián)網(wǎng)出口數(shù)量。
2)應(yīng)減少對(duì)外暴露組織架構(gòu)、郵箱賬號(hào)、組織通信錄等內(nèi)部信息，防范社會(huì)工程學(xué)攻擊。
3)不應(yīng)在公共存儲(chǔ)空間（例如∶ 代碼托管平臺(tái)、文庫(kù)、網(wǎng)盤等）存儲(chǔ)可能被攻擊者利用的技術(shù)文檔。例如∶ 網(wǎng)絡(luò)拓?fù)鋱D、源代碼、互聯(lián)網(wǎng)協(xié)議地址規(guī)劃等。

隨著企業(yè)數(shù)字化轉(zhuǎn)型的深入發(fā)展，企業(yè)的“云足跡”和資產(chǎn)暴露正以前所未有的速度擴(kuò)張，攻擊面也在同步擴(kuò)大，根據(jù)CybelAngel最新發(fā)布的報(bào)告，防火墻之外的資產(chǎn)暴露已經(jīng)成為各行業(yè)網(wǎng)絡(luò)安全威脅的最大來源。一般企業(yè)都會(huì)有多個(gè)互聯(lián)網(wǎng)出口，這就意味著攻擊者可以有更多的攻擊路徑選擇，也意味著企業(yè)需要投入更多的人力進(jìn)行相應(yīng)的監(jiān)測(cè)分析和響應(yīng)工作。因此，企業(yè)需要對(duì)這些互聯(lián)網(wǎng)出口進(jìn)行功能規(guī)劃，盡量合并或減少不必要的互聯(lián)網(wǎng)出口。

企業(yè)的IT部門普遍存在資產(chǎn)管理缺陷，這就成為了企業(yè)網(wǎng)絡(luò)安全防護(hù)的一個(gè)灰色地帶。而對(duì)攻擊者來說，最習(xí)慣的滲透方式就是直接找到企業(yè)的這些系統(tǒng)或后臺(tái)，通過撞庫(kù)、暴力破解等方式進(jìn)行攻擊，從而直接獲取管理權(quán)限。因此，企業(yè)一定要從管理上盡量杜絕這一缺陷，做好資產(chǎn)管理工作。

當(dāng)然，企業(yè)除了從管理和流程上做到以上要求，最佳的解決方案是引入專業(yè)的攻擊面管理技術(shù)，更加系統(tǒng)化的做好收斂暴露面工作。作為國(guó)內(nèi)首家專注于外部攻擊面管理的網(wǎng)絡(luò)安全公司零零信安在這一領(lǐng)域擁有豐富的實(shí)踐經(jīng)驗(yàn)。零零信安EASM產(chǎn)品能夠?qū)⑵髽I(yè)暴露在外的（數(shù)字資產(chǎn)）與企業(yè)之間映射，通過與漏洞情報(bào)數(shù)據(jù)進(jìn)行關(guān)聯(lián)，持續(xù)發(fā)現(xiàn)業(yè)務(wù)數(shù)據(jù)和代碼泄露、組織機(jī)構(gòu)和人員信息的泄露、以及對(duì)供應(yīng)鏈的攻擊面進(jìn)行檢測(cè)，并通過對(duì)全球開放網(wǎng)絡(luò)和非公開網(wǎng)絡(luò)的數(shù)千個(gè)情報(bào)源、數(shù)百億量級(jí)數(shù)據(jù)、企業(yè)自身業(yè)務(wù)上下文等進(jìn)行大量數(shù)據(jù)采集和弱點(diǎn)優(yōu)先級(jí)分析，為企業(yè)用戶輸出攻擊面情報(bào)，幫助企業(yè)充分做好收斂暴露面的工作。

同時(shí)，在Gartner《Hype Cycle for Security in China 2022》報(bào)告中，零零信安還入選了攻擊面管理推薦廠商。Gartner在報(bào)告中還提及了一些新的驅(qū)動(dòng)力觀察，強(qiáng)調(diào)了攻擊面管理在當(dāng)下和未來應(yīng)用的潛力，認(rèn)同攻擊面管理在“防御演習(xí)”當(dāng)中的高價(jià)值作用，從而提前梳理自身薄弱環(huán)節(jié)。

如今，攻防演練已經(jīng)成為企業(yè)網(wǎng)絡(luò)安全防護(hù)體系的基礎(chǔ)配置，以求提升自身的網(wǎng)絡(luò)安全整體防護(hù)能力。我們對(duì)攻防演練中攻擊方的常用攻擊手段分析發(fā)現(xiàn)，攻擊方首先會(huì)通過各種渠道去收集目標(biāo)企業(yè)的各種信息，收集的情報(bào)越詳細(xì)，攻擊就會(huì)越隱蔽越快速。從攻方視角來看，這就要求防守方要比攻擊者更了解企業(yè)暴露在互聯(lián)網(wǎng)上的系統(tǒng)、端口、后臺(tái)管理系統(tǒng)等信息，互聯(lián)網(wǎng)暴露面越多，防守方壓力越大，也越容易被攻擊方攻破防線。因此，攻擊面管理也成為了攻防演練中防守方急需補(bǔ)充的一項(xiàng)重要安全能力。

目前，零零信安旗下國(guó)內(nèi)首個(gè)在線EASM平臺(tái)0.zone發(fā)布以來，注冊(cè)用戶已超過5萬，越來越多的企業(yè)用戶正在使用零零信安外部攻擊面管理技術(shù)完善自身的網(wǎng)絡(luò)安全防護(hù)體系。同時(shí)，零零信安00SEC-E&E還可以專注于為甲乙方企業(yè)提供外部攻擊面數(shù)據(jù)服務(wù)，目標(biāo)是在安全管理、攻擊檢測(cè)、漏洞管理三個(gè)場(chǎng)景下，為SOAR、SOC、SIEM、MDR、安全運(yùn)維（服務(wù)），IDS、IPS、NDR、XDR、蜜罐、CTI、應(yīng)急響應(yīng)團(tuán)隊(duì)（服務(wù)），漏洞管理系統(tǒng)、掃描器、 CAASM、BAS、風(fēng)險(xiǎn)評(píng)估（服務(wù)）、滲透測(cè)試團(tuán)隊(duì)（服務(wù)）等產(chǎn)品和服務(wù)提供基礎(chǔ)數(shù)據(jù)能力，讓國(guó)內(nèi)所有安全產(chǎn)品都具備外部攻擊面/暴露面檢測(cè)能力。文章來源地址http://www.zghlxwxcb.cn/news/detail-767364.html

到了這里，關(guān)于如何做好《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)要求》提到的收斂暴露面？的文章就介紹完了。如果您還想了解更多內(nèi)容，請(qǐng)?jiān)谟疑辖撬阉鱐OY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章，希望大家以后多多支持TOY模板網(wǎng)！