HW行動(dòng)臨近，企業(yè)的暴露面收斂工作刻不容緩。在數(shù)字化時(shí)代，企業(yè)IT管理者承擔(dān)著全網(wǎng)暴露面管理的艱巨重任。從各類(lèi)應(yīng)用（API、Web應(yīng)用、移動(dòng)應(yīng)用、微信小程序等），到系統(tǒng)（供應(yīng)鏈系統(tǒng)、合作伙伴接口等），從網(wǎng)絡(luò)層面（IP、域名、開(kāi)放端口）再到數(shù)據(jù)泄露潛在點(diǎn)（GitHub代碼庫(kù)、網(wǎng)盤(pán)文件），每個(gè)環(huán)節(jié)皆可能淪為黑客入侵的切入點(diǎn)。面對(duì)復(fù)雜多變的網(wǎng)絡(luò)環(huán)境與不斷翻新的攻擊手段，如何在保障業(yè)務(wù)正常運(yùn)轉(zhuǎn)的同時(shí)，精準(zhǔn)發(fā)現(xiàn)并有效收斂潛在攻擊入口，搶占網(wǎng)絡(luò)安全先機(jī)，成為企業(yè)在數(shù)字化浪潮中穩(wěn)健前行的關(guān)鍵。

一、傳統(tǒng)防入侵安全思路的局限性

自2016年國(guó)家頒布《網(wǎng)絡(luò)安全法》并開(kāi)展HW行動(dòng)以來(lái)，安全事件依舊頻發(fā)。某工業(yè)大學(xué)遭受境外網(wǎng)絡(luò)攻擊，某證監(jiān)局通報(bào)某券商O(píng)A系統(tǒng)被攻擊致移動(dòng)辦公嚴(yán)重受阻。企業(yè)IT管理者并非未采取防護(hù)舉措，防火墻、IPS、終端安全管控等設(shè)施紛紛部署，漏洞修復(fù)工作也持續(xù)推進(jìn)，但安全事件仍屢禁不止。根源在于傳統(tǒng)安全思路難以契合當(dāng)下網(wǎng)絡(luò)安全需求。

傳統(tǒng)防入侵思路旨在發(fā)現(xiàn)全部網(wǎng)絡(luò)資產(chǎn)、排查所有漏洞、修復(fù)每一處漏洞，并借助持續(xù)行為監(jiān)測(cè)察覺(jué)入侵行為。然而，資產(chǎn)動(dòng)態(tài)變化頻繁，難以及時(shí)全面掌握；新漏洞不斷涌現(xiàn)，安全團(tuán)隊(duì)疲于應(yīng)對(duì)；0day漏洞因未知且高危，無(wú)法及時(shí)修復(fù)，極易被黑客利用；同時(shí)，監(jiān)測(cè)成本高昂且偏事后追溯。可見(jiàn)，傳統(tǒng)防入侵思路的防護(hù)投入產(chǎn)出比（ROI）較低。

但安全并非無(wú)計(jì)可施。以蘋(píng)果OS手機(jī)為例，全球數(shù)億用戶中，鮮少有人安裝殺毒或其他安全軟件，但其感染病毒和木馬的比例極低。原因在于蘋(píng)果AppStore實(shí)現(xiàn)了APP來(lái)源的統(tǒng)一管理，其操作系統(tǒng)為有限多任務(wù)系統(tǒng)，僅屏幕正上方應(yīng)用可獲取CPU資源，還對(duì)APP資源占用進(jìn)行集中監(jiān)控管理。這種從源頭上把控風(fēng)險(xiǎn)的方式，遠(yuǎn)比單純的漏洞修復(fù)和行為監(jiān)測(cè)更為有效。

又如，安全行業(yè)有云：“沒(méi)有攻不破的系統(tǒng)。”但網(wǎng)絡(luò)交換機(jī)、路由器、防火墻被直接攻破的案例卻極為罕見(jiàn)。原因是這些設(shè)備采用專(zhuān)有精簡(jiǎn)OS，漏洞少，且極少開(kāi)通易被利用的Web服務(wù)、高危端口，公開(kāi)暴露面小，風(fēng)險(xiǎn)隨之降低，并且會(huì)定期審查管理暴露面。黑客更多采用“社會(huì)工程”手段入侵，而非直接攻擊防火墻，這也側(cè)面凸顯了收斂暴露面的重要性。

由此可見(jiàn)，安全對(duì)抗本質(zhì)上是做好多層容錯(cuò)控制，收斂業(yè)務(wù)漏洞、網(wǎng)絡(luò)錯(cuò)誤配置、數(shù)據(jù)暴露等各類(lèi)暴露面，盡可能減少系統(tǒng)、網(wǎng)絡(luò)和應(yīng)用中動(dòng)態(tài)變化的攻擊路徑，嚴(yán)格做好訪問(wèn)權(quán)限控制。

▲傳統(tǒng)安全防御過(guò)于復(fù)雜、成本高、不解決問(wèn)題

二、基于多層容錯(cuò)式和權(quán)限控制收斂暴露面

企業(yè)IT管理者若要有效收斂業(yè)務(wù)、系統(tǒng)、網(wǎng)絡(luò)和數(shù)字資產(chǎn)的暴露面，降低攻擊風(fēng)險(xiǎn)，可采用分層容錯(cuò)式和權(quán)限控制思路，具體從以下四個(gè)方面著手：

（一）隱藏漏洞和高危端口

借助網(wǎng)絡(luò)隔離手段，將業(yè)務(wù)或系統(tǒng)的漏洞與高危端口隱匿于安全訪問(wèn)網(wǎng)關(guān)之后。安全網(wǎng)關(guān)運(yùn)用單包敲門(mén)技術(shù)，僅向合法授權(quán)用戶開(kāi)放，黑客攻擊包將被直接丟棄，只有認(rèn)證通過(guò)的合法用戶方可訪問(wèn)網(wǎng)關(guān)反向代理的業(yè)務(wù)，以此最大程度減少攻擊面。

▲傳統(tǒng)防護(hù)思路VS暴露面收斂思路

（二）優(yōu)化網(wǎng)絡(luò)設(shè)備配置

運(yùn)用安全策略管理工具，梳理防火墻、交換機(jī)等設(shè)備策略，及時(shí)察覺(jué)并修正錯(cuò)誤配置與高危路徑，規(guī)避因配置不當(dāng)引發(fā)的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，保障網(wǎng)絡(luò)設(shè)備安全。

（三）管理敏感數(shù)字資產(chǎn)

黑客可能通過(guò)應(yīng)用安全測(cè)試或竊取敏感文件中的賬號(hào)口令入侵系統(tǒng)。因此，企業(yè)需利用攻擊面管理工具，及時(shí)發(fā)現(xiàn)并下架GitHub、網(wǎng)盤(pán)中的敏感代碼庫(kù)和文件。在合法取數(shù)場(chǎng)景中，為實(shí)現(xiàn)跨網(wǎng)跨域攻擊面管理，企業(yè)需具備IP協(xié)議棧隔離和IP通信阻斷、數(shù)據(jù)與指令通道分離、被交換數(shù)據(jù)安全性檢測(cè)、多域交換和方向可控的能力。

（四）防范社會(huì)工程攻擊

針對(duì)黑客通過(guò)釣魚(yú)郵件、網(wǎng)絡(luò)釣魚(yú)等誘導(dǎo)員工安裝惡意軟件的攻擊手段，除了部署郵件安全網(wǎng)關(guān)、EDR等設(shè)施之外，企業(yè)應(yīng)借助軟件管理收斂暴露面，具體措施如下：

1. 所有軟件必須來(lái)自官方渠道，經(jīng)過(guò)安全驗(yàn)證，并通過(guò)應(yīng)用商店安裝。

2. 阻斷來(lái)自郵件、即時(shí)通信、U盤(pán)的軟件安裝。

3. 建立違規(guī)監(jiān)控機(jī)制，對(duì)違規(guī)行為予以處罰，降低因員工安全意識(shí)薄弱導(dǎo)致的安全風(fēng)險(xiǎn)。

通過(guò)上述措施，企業(yè)能夠在不影響業(yè)務(wù)的前提下，切實(shí)減少暴露面，降低遭受攻擊的風(fēng)險(xiǎn)。

三、零信任≠安全：全網(wǎng)暴露面管理的最佳實(shí)踐

全網(wǎng)暴露面管理的核心在于精準(zhǔn)發(fā)現(xiàn)并有效收斂暴露面，其中收斂暴露面尤為關(guān)鍵。傳統(tǒng)方法如漏洞修復(fù)、關(guān)閉高危端口、虛擬補(bǔ)丁等，常導(dǎo)致業(yè)務(wù)中斷，影響企業(yè)運(yùn)營(yíng)，且對(duì)0day漏洞束手無(wú)策。零信任等新方法雖有一定成效，但仍存在業(yè)務(wù)效率受影響、收斂不徹底等問(wèn)題。因此，企業(yè)IT管理者需全面考量?jī)?nèi)/外網(wǎng)業(yè)務(wù)、數(shù)據(jù)、網(wǎng)絡(luò)配置、終端惡意軟件植入等多方面的暴露面收斂問(wèn)題，選取不影響業(yè)務(wù)的技術(shù)手段，提升投資回報(bào)率（ROI）。

▲全網(wǎng)暴露面管理

以下為具體最佳實(shí)踐：

（一）內(nèi)/外網(wǎng)資產(chǎn)安全管理

企業(yè)務(wù)必及時(shí)發(fā)現(xiàn)內(nèi)外網(wǎng)的影子資產(chǎn)、漏洞及配置缺陷，實(shí)現(xiàn)統(tǒng)一安全管理。在實(shí)際落地過(guò)程中，傳統(tǒng)掃描和流量分析方法受NAT等技術(shù)限制，難以全面發(fā)現(xiàn)資產(chǎn)。因此，發(fā)現(xiàn)手段能否適配網(wǎng)絡(luò)環(huán)境并具備多種實(shí)現(xiàn)技術(shù)，成為決定內(nèi)外網(wǎng)資產(chǎn)安全管理成效的關(guān)鍵因素。例如，是否支持網(wǎng)絡(luò)拓?fù)浒l(fā)現(xiàn)、高危路徑發(fā)現(xiàn)以及NAT環(huán)境下基于Agent的資產(chǎn)發(fā)現(xiàn)技術(shù)等。

（二）互聯(lián)網(wǎng)暴露面收斂

互聯(lián)網(wǎng)暴露面廣泛，涵蓋PC和移動(dòng)業(yè)務(wù)系統(tǒng)漏洞、高危端口、企微/釘釘/飛書(shū)H5應(yīng)用、微信小程序/公眾號(hào)等。傳統(tǒng)VPN網(wǎng)關(guān)因自身存在暴露面且缺乏反向代理技術(shù)來(lái)隱藏業(yè)務(wù)暴露面，正逐漸被軟件定義訪問(wèn)技術(shù)取代。然而，許多企業(yè)在收斂PC端暴露面時(shí)，忽視了移動(dòng)業(yè)務(wù)和外部取數(shù)等高危端口。從實(shí)戰(zhàn)經(jīng)驗(yàn)來(lái)看，互聯(lián)網(wǎng)暴露面是黑客重點(diǎn)攻擊入口，企業(yè)IT管理者需結(jié)合實(shí)際情況，從業(yè)務(wù)、網(wǎng)絡(luò)、數(shù)據(jù)等多層面采用容錯(cuò)方式，最大程度收斂互聯(lián)網(wǎng)暴露面，減少攻擊面。具體措施如下：

1. PC C/S業(yè)務(wù)：采用軟件定義邊界（SDP）技術(shù)。

2. 移動(dòng)業(yè)務(wù)：采用移動(dòng)管理技術(shù)（EMM）。

3. 企微/釘釘/飛書(shū)H5應(yīng)用和微信小程序/公眾號(hào)：通過(guò)Web安全網(wǎng)關(guān)收斂暴露面。

4. 網(wǎng)絡(luò)安全配置：利用網(wǎng)絡(luò)安全策略管理工具梳理策略。

5. 外部取數(shù)：采用基于協(xié)議隔離的數(shù)據(jù)安全交換系統(tǒng)。

（三）內(nèi)網(wǎng)暴露面收斂

從近期HW行動(dòng)情況可知，互聯(lián)網(wǎng)邊界防護(hù)能力逐步提升，但黑客攻擊手段也在不斷演變，更多采用社會(huì)工程學(xué)（社工）攻擊，通過(guò)釣魚(yú)郵件、網(wǎng)絡(luò)釣魚(yú)等利用內(nèi)網(wǎng)員工安全意識(shí)薄弱的漏洞，入侵內(nèi)網(wǎng)并提權(quán)，進(jìn)而發(fā)起橫向攻擊，還可能借助U盤(pán)等物理介質(zhì)入侵內(nèi)網(wǎng)。在此情形下，內(nèi)網(wǎng)，尤其是邏輯上與互聯(lián)網(wǎng)連接的內(nèi)網(wǎng)，安全風(fēng)險(xiǎn)已與互聯(lián)網(wǎng)相當(dāng)，企業(yè)必須重視內(nèi)網(wǎng)暴露面收斂工作。

內(nèi)網(wǎng)暴露面收斂首要考慮分區(qū)分域，建議企業(yè)將內(nèi)網(wǎng)劃分為核心業(yè)務(wù)域、業(yè)務(wù)備份域、管理域、終端接入域、供應(yīng)鏈接入域等獨(dú)立安全域，通過(guò)分區(qū)分域有效隔離不同業(yè)務(wù)和功能模塊，減少攻擊面。

1. 終端接入控制：采用802.1x端口級(jí)控制技術(shù)。傳統(tǒng)暴露面控制主要針對(duì)終端接入，常采用網(wǎng)絡(luò)準(zhǔn)入控制技術(shù)（如NACC）收斂暴露面，但難以有效遏制勒索病毒在內(nèi)網(wǎng)的橫向移動(dòng)。推薦采用802.1x端口級(jí)控制技術(shù)，可精確控制網(wǎng)絡(luò)端口訪問(wèn)權(quán)限，有效防范勒索病毒橫向傳播。

2. 業(yè)務(wù)暴露面收斂：靈活運(yùn)用多種技術(shù)。在不同安全域之間，許多單位已部署防火墻、網(wǎng)閘等設(shè)備實(shí)現(xiàn)邏輯隔離，但仍存在核心業(yè)務(wù)對(duì)內(nèi)的漏洞和高危端口暴露、跨域雙向IP協(xié)議打通、數(shù)據(jù)交換過(guò)程中缺乏安全性檢查導(dǎo)致病毒跨域傳播等問(wèn)題。針對(duì)這些問(wèn)題，建議采取以下措施：

    - 核心業(yè)務(wù)漏洞和高危端口暴露：根據(jù)業(yè)務(wù)實(shí)際，靈活采用軟件定義邊界（SDP）、應(yīng)用安全網(wǎng)關(guān)（API）、Web安全網(wǎng)關(guān)（WSG）收斂業(yè)務(wù)暴露面。

    - 網(wǎng)絡(luò)安全策略管理：通過(guò)網(wǎng)絡(luò)安全策略管理工具，梳理防火墻和交換機(jī)策略，及時(shí)發(fā)現(xiàn)并修正錯(cuò)誤配置，收斂暴露面。

- 跨域數(shù)據(jù)交換安全：采用數(shù)據(jù)安全擺渡系統(tǒng)，防止病毒跨域傳播，同時(shí)保障不同安全域之間客戶與客戶、業(yè)務(wù)與業(yè)務(wù)的數(shù)據(jù)高效交換。

（四）軟件暴露面收斂

針對(duì)終端被釣魚(yú)或私接熱點(diǎn)安裝惡意軟件問(wèn)題，采用軟件白名單控制，確保所有軟件來(lái)自軟件商城或云軟倉(cāng)等合規(guī)安裝途徑，減少盜版軟件使用，提升運(yùn)維效率。

（五）網(wǎng)絡(luò)暴露面收斂

利用網(wǎng)絡(luò)安全策略管理工具梳理網(wǎng)絡(luò)策略，收斂高危路徑，解決配置錯(cuò)誤和多條高危路徑問(wèn)題。

（六）統(tǒng)一漏洞管理

結(jié)合多維數(shù)據(jù)評(píng)估漏洞風(fēng)險(xiǎn)等級(jí)，實(shí)現(xiàn)精準(zhǔn)防護(hù)，降低安全隱患。同時(shí)，支持多平臺(tái)、多系統(tǒng)漏洞管理，靈活對(duì)接各種環(huán)境。

全網(wǎng)暴露面管理是企業(yè)網(wǎng)絡(luò)安全的核心環(huán)節(jié)。通過(guò)上述最佳實(shí)踐，企業(yè)可在不影響業(yè)務(wù)的前提下，全面收斂暴露面，減少攻擊路徑，降低被攻擊風(fēng)險(xiǎn)。

綜上，企業(yè)IT管理員在進(jìn)行全網(wǎng)暴露面管理時(shí)，應(yīng)兼顧互聯(lián)網(wǎng)和內(nèi)網(wǎng)暴露面管理。內(nèi)外網(wǎng)均需從業(yè)務(wù)、系統(tǒng)、網(wǎng)絡(luò)多層容錯(cuò)角度考量，在選擇收斂方式時(shí)，應(yīng)盡量降低對(duì)運(yùn)行業(yè)務(wù)的影響，盡可能收斂暴露面，減少系統(tǒng)、網(wǎng)絡(luò)和應(yīng)用中的各類(lèi)攻擊路徑，如漏洞、錯(cuò)誤配置、代碼缺陷、社會(huì)工程等，暴露越少，被攻擊可能性越低，風(fēng)險(xiǎn)越小。同時(shí)，事前在軟件開(kāi)發(fā)時(shí)應(yīng)考慮原生安全和安全配套，事中定期持續(xù)審查和管理暴露面，摒棄一次性管理方式；在防護(hù)規(guī)則上遵循最小權(quán)限原則，僅開(kāi)放必要端口和服務(wù)，限制不必要暴露面，實(shí)施強(qiáng)身份驗(yàn)證和授權(quán)機(jī)制，確保只有授權(quán)用戶可訪問(wèn)授權(quán)范圍內(nèi)的業(yè)務(wù)或數(shù)據(jù)。