网络安全攻防演练中不能忽视的API风险

网络安全实战化攻防演练是检验企业网络安全建设效果的有效方式，攻防双方在真实的网络环境中开展对抗，更贴近实际情况，有利于发现企业真实存在的安全问题。从以往攻防演练活动的实际案例来看，各组织单位在攻击面梳理过程中容易忽略的几个关键点：

1.影子API。在资产梳理过程中，难免有些资产在安全视线之外，如有些API没有经过WAF或API网关，这些API可能是历史遗留下来的僵尸API，由于缺乏安全防护容易被攻击。

2.逻辑漏洞。传统安全检测产品很难发现未授权访问、越权访问、允许弱密码、错误提示不合理、未禁用目录浏览等逻辑漏洞（安全缺陷）。

3.涉敏流量。现有WAF、API网关等产品更多是对入站流量的检测，缺乏对出站流量的检测，出站流量中如果暴露了明文的敏感数据，可能会被攻击者加以利用。

4.高危组件。承载API的后端组件可能存在安全隐患），同时这些组件因为API对外提供业务而暴露在互联网中，往往会成为攻击者的攻击目标。

尽管很多企业通过持续的攻防演练有效提升了安全防护能力，但随着组织数字化进程的加快以及业务的迅速发展，总有一些跟不上变化的风险点出现。在了解了攻防演练中那些容易被忽略的API安全风险点和攻击方常见的攻击套路后，各组织单位想要在攻防演练中更好应对，还需要从自身业务安全出发，制定相应的API安全管理策略，包括：资产动态梳理、缺陷持续评估、攻击精准感知。

02

企业部署到云的API驱动应用程序应注意这些安全事项

在过去几年中，API 驱动的应用程序在企业级云平台上部署以扩展规模兴起。它们能够根据用户需求进行扩展，彻底改变了应用程序的编写和部署方式。以下是企业在评估 API 安全解决方案时应考虑的一些关键标准。

1. API 可见性和监控：你无法保护看不到的东西。为了防范安全风险，企业了解其 API 程序的所有方面及其相关的安全挑战至关重要。这可以更好地帮助领导者通过适当的缓解策略改善其组织的安全状况。

2. API 安全性：不同类型的应用程序安全性。随着企业继续扩大其 API 驱动的应用程序，他们发现传统的 WAF 无法很好地适应单体应用程序的需求，无法满足现代 API 驱动的应用程序的需求。

3. 威胁分析：在网络攻击发生时检测它们。收集应用程序内所有点的数据交互可确保其全面了解所有用户与应用程序的交互。数据集越丰富，就越容易将恶意与合法用户交易区分开来，并使企业的安全团队能够尽快发现数据泄露。

快速变化的 API 驱动应用程序有助于加快产品上市速度，但也释放了可被网络犯罪分子快速利用的 API 漏洞。由于跨更复杂和分布式应用架构的快速变化，API 安全的要求与市场上现有的应用安全产品有着根本的不同。在评估 API 安全解决方案时，一定要关注解决方案如何提供可见性、它对应用程序的理解程度以及威胁分析的质量和深度。

03

构建数据成熟度模型和数据成熟度的四个阶段

数据成熟度是对组织利用其数据的程度的衡量。为了实现高水平的数据成熟度，数据必须在组织中充分融入所有决策和实践。数据成熟度通常分阶段进行衡量。数据成熟度是衡量组织数据分析先进程度的指标。为了创建数据成熟度模型，国外某公司研究以业务的六个方面：战略、数据、文化、架构、数据治理和采购/入职作为入手，呈现出他们理解的数据成熟度的四个独特阶段。

阶段1.探索者。刚刚开始使用数据的组织虽然可能将数据用于报告目的，但是临时性的。

阶段 2. 用户。通过添加临时数据集来帮助扩大内部数据源，使其成为在整个组织内部使用数据的标准。他们对数据的反应性使用有助于做出有洞察力的业务决策。

阶段 3. 领导者。为了完成组织使命和业务成功，领导者除了使用自己的数据外，还使用第三方数据集。

阶段 4. 创新者。数据不仅仅用于分析和观察。事实上，作为创新者的组织正在使用数据来创建算法并预测他们如何保持领先地位。

数据是世界上增长最快的资源之一，估计每天创建 2.5 万亿字节。数据是当今任何组织都可以使用的最有价值的资产之一。如果组织还不能充分利用数据，意味着正好可以开始自己的数据成熟度之旅。随着可用数据量的不断增长并变得更易于访问，组织使用数据的方式——以及数据成熟——将继续发展。

04

零信任对MSP意味着什么？

零信任已经对客户购买的产品和服务类型产生了重大影响。然而，实施阶段将需要数年时间，这意味着长期的销售潜力以及随着时间的推移与客户建立更牢固关系的可能性。尤其是所有托管服务提供商 (MSP)，他们的工作是将客户利益与他们自己的利益相匹配。那么，MSP 应该如何传达零信任的价值呢？

1) 了解客户驱动力。随着最近远程办公的兴起而变得更加强烈，这使人们认识到周边安全的局限性。组织被迫依赖端点安全和 VPN，并在可能的情况下改进身份验证。

2) 零信任是为了降低风险。它提供了改进网络资源、用户和数据管理的可能性，同时还能降低成本，使技术采用更加容易。

3) 零信任带来竞争优势。越来越多的组织认识到，通过与服务提供商合作形成的一致的网络安全战略，使他们比落后的竞争对手更具竞争性市场优势。这远远超出了公认的合规和监管理念，后者的运作时间更长。在某些情况下，网络安全现在甚至可能是生死攸关的问题。

即使按照网络安全行业大肆宣传的标准，零信任 (ZT) 的兴起和崛起也是一个不容忽视的现象。网络安全领域的任何人都不能忽视这一层面的利益，尤其是所有托管服务提供商 (MSP)，他们的工作是将客户利益与他们自己的利益相匹配。越来越多的 MSP 必须解决他们的服务如何与零信任网络安全相吻合的问题。MSP 受益于零信任，因为这意味着与客户的长期关系超越了传统的销售周期，在出现问题后，MSP才会联系客户。 

05

从合规视角看工控安全防护体系建设

基于工控安全的监管合规要求，工业企业应根据自身生产设备及系统的实际情况，构建一套从工业设备管理、到网络安全防护再到综合安全管理的三层防护体系：

1、 在工业设备管理层面，需要对对工业体系内部的物理设备进行管理，保证其运行的安全问题。针对工业系统及工业设备，企业需通过验证供应商资质、加密合同等方式，构建安全的采购供应链路。

2、 网络安全防护层则是通过部署安全产品，依照“一个中心三重防护”的安全要求进行。安全防护是进行工控安全体系建设的核心。安全防护能力建设可以分为针对计算环境的安全建设、对边界的安全建设以及对网络通讯的安全建设。

3、 安全管理是指建立相应的组织架构、管理体系，从制度维度做好工控安全防护。工业企业需构建专门的工控安全组织管理部门，明确组织架构，负责对企业内部网络安全的规划、建设、实施。建立相应的安全制度，以做到工业企业内部的人员管理、配置管理及补丁管理，做到记录和审计。

工业环境的特殊性造成了工业企业的安全建设不能照搬互联网防护。当前，我国工控安全还处于起步阶段，工业领域整体防护水平有待提高，专业的工业安全人才缺乏。近年来，国家颁布的一系列网络安全法律法规一方面对工业安全提出了要求，另一方面也对工业安全的建设提供了指导。工业企业应根据自身的情况，由简入繁，以网络安全提升生产安全，完成两化融合的信息化改造，切实提升企业的生产能力。 

06

面对防不胜防的钓鱼邮件攻击，企业该如何防患于未然？

钓鱼邮件通过模拟真实邮件来进行网络攻击，模拟钓鱼演练则是通过模拟钓鱼邮件让人员实景学习钓鱼邮件的防范要点。具体包括：

1、如果邮件发件人账户名称是某机构，但地址栏中显示的却是个人账号，同时检查“收件人”及“抄送人”的地址栏。看其发送的对象中是否有你不认识或者不和你在一起工作的人。

2、对使用“亲爱的用户”或者一些泛化问候的邮件保持警惕。如果某个可信机构有必要联系你，他们应该会知道你的名字和信息。同样也要问问自己，该公司为什么会发邮件给你。

3、对任何制造紧急氛围的邮件都要提高警惕，如要求“请在今日下班前务必完成升级操作”这是让人在慌忙之中犯错的惯用手段。

4、将鼠标放在链接处，会显示真实网址。如果显示的真实网址与邮件中所列出的链接网址不同，这就很可能是一次钓鱼攻击。

5、对附件保持警惕，如内容包含文档、图片、压缩包、脚本程序（exe、vbs、bat）等，在确认邮件可信之前一定不要点击附件。

Verizon 2021年数据泄露调查报告发现，在所有数据泄露事件中有25%涉及网络钓鱼。Proofpoint 2022年网络钓鱼威胁状态报告显示，2021年有83%的企业成为网络钓鱼攻击的受害者。钓鱼邮件攻击如此普遍，关键在于钓鱼邮件攻击的高成功率，这种网络攻击很容易被攻击机器人反复复制和自动化。虽然许多人相信自己在收到一封网络钓鱼电子邮件时会识别出来，但事实是他们通常做不到。

07

攻击面管理——网络安全运营技术革新

赛迪顾问发布的《中国攻击面管理市场白皮书》中指出，攻击面管理（ASM）是一种从攻击者视角对企业数字资产攻击面进行检测发现、分析研判、情报预警、响应处置和持续监控的资产安全性管理方法，其最大特性就是以外部攻击者视角来审视企业所有资产可被利用的攻击可能性，而这里的所有资产包含已知资产、未知资产、数字品牌、泄露数据等等一系列可存在被利用的风险的资产内容。企业实施攻击面管理时需要考虑一些最佳实践，以最大限度地减少漏洞，并降低安全风险。

· 绘制攻击面。部署适当的防御必须了解暴露了哪些数字资产、攻击者最有可能入侵网络的位置以及需要部署哪些保护措施。因此，提高攻击面的可见性并构建对攻击漏洞的有力呈现至关重要。 

· 最小化漏洞。一旦企业绘制完成他们的攻击面，就可以立即采取行动减轻最重要的漏洞和潜在攻击媒介带来的风险，然后再继续执行较低优先级的任务。在可能的情况下使资产离线并加强内部和外部网络是值得关注的两个关键领域。

企业实施攻击面管理时还需要考虑：建立强大的安全实践和政策。严格遵循一些久经考验的最佳安全实践将大大减少企业的攻击面。这包括实施入侵检测解决方案、定期进行风险评估以及制定明确有效的政策。随着IT基础设施的变化以及攻击者的不断发展，强大的网络安全计划同样需要进行不断地调整。这就需要持续监控和定期测试，后者通常可以通过第三方渗透测试服务实现。