1、随着企业数字化转型进入深水区,企业的“云足迹”和资产暴露正以前所未有的速度扩张,攻击面也在同步扩大,CrowdStrike Falcon Surface数据显示,企业云环境中暴露的资产中有30%存在严重漏洞。随着企业攻击面和泄露数据规模的不断扩大,数字世界的黑暗森林法则开始展现统治力,近年来越来越多的勒索软件、APT攻击、针对性网络钓鱼攻击不约而同地开始减少漏洞利用、转而在暗网采购企业泄露数据和凭证,以“合法”身份绕过传统安全控制,从“正门”入侵企业网络。企业数据安全管理是一场不对称战争。对手的攻击技术和策略日趋复杂,而防御者的凭据泄露、资产暴露和外部攻击面快速增加;与此同时,很多企业的数据安
2、全管理依旧是“亡羊补牢”甚至“画地为牢”式的被动安全,无法跳出第一人称战术视角看到更大的战场地图。在情报能力决定战场态势的今天,暴露资产的能见度,决定了企业数据安全管理能力的上限,而暴露资产的攻击面(漏洞)占比,则决定着企业数字风险保护和员工安全意识水平的下限。2023年,企业提高数据安全管理上限的最佳办法之一就是“打开攻击者视角”,将面向公众的暴露资产/泛攻击面纳入攻击面管理和数字风险保护。为了帮助广大行业用户“打开攻击者视角”,提升暴露资产能见度和数字风险保护能力,GoUpSec联合零零信安调研并发布“外部攻击面分析系列行业报告”,以“纯黑盒、零输入”的方式展现不同行业或地区的暴露面和泛攻
3、击面。本期报告将聚焦网络攻击的重点目标银行业。本期报告说明本报告随机选取国内TOP50银行中的10个作为分析对象;分析时间节点为2023年4月3日;所有数据均采集自互联网公开数据且仅以总部数据为主,仅进行数据分析未尝试任何攻击手段。重点提示“泛数字资产暴露面”本身并不是风险,但它的数量与风险数量往往成正比,企业的互联网暴露面同时也是攻击者关注的外部攻击面。要达到同等安全水平,暴露的泛数字资产越多,投入的防御成本越高。1.概述针对选取的研究对象规模和外部暴露的泛数字资产进行横向对比如下:不同规模和不同业务偏向的组织机构,其暴露的泛数字资产数量也会有所不同,理论上规模越大、业务越复杂的组织机构其泛
4、数字资产暴露数量越多,以下是样例数据分析对比:1.随着组织规模的减小,泛数字资产暴露总数量呈现下降趋势,但规模与下降并非同比例,例如丁A和丁B规模大约为甲A和甲B的20%,戊A和戊B规模大约是甲A和甲B的10%,但总数量约为甲A的50%,与甲B相差无几;2.同规模的组织,因为业务内容和IT发展不同,泛资产暴露总数量有明显的差别,例如甲A与甲B、乙A与乙B的市值范围相近,但总数量相差可达1倍左右。由于组织间规模差距较大,以上图示和分析仅能从整体进行分析。以下图示将对比使用“每千亿市值”对应的外部泛数字资产暴露数量进行对比:观察:如上所示可以分析出1.总体趋势来看,规模和业务越小的组织中,在同等规
5、模和业务下暴露的泛数字资产数量越多,但暴露总数量和规模并非同比例关系;2.相同规模和业务体量的组织,由于业务内容和IT发展不同,区别较大,例如丁A与丁B、戊A与戊B,为相同业务规模,但每组暴露的总数量相差在1倍左右;3.所以此处的差距更多的体现在IT建设和发展的区别,而非规模和业务体量。观察:如上所示可以分析出泛数字资产包含的内容有信息系统、域名、云端应用、影子资产、APP、公众号、小程序、暴露在互联网的文档和代码、邮箱暴露、API、供应链信息、M&A信息、暗网情报、企业VIP信息、SGK数据等等。暴露在互联网的组织的泛数字资产未必一定有漏洞和风险,但它们的暴露即提供给攻击者一个攻击入口或可能
6、性。成熟的攻击者或政治/商业黑客组织会通过但不限于信息系统的漏洞进行攻击,他们更多的可能会采取综合攻击手段。例如使用邮箱进行钓鱼,寻找和攻击影子资产,在组织暴露的文档和代码中查找配置文件、密码、通讯录、网络拓扑图等,使用SGK的数据登陆企业OA和VPN,对供应链发起攻击,对M&A或企业VIP发起攻击等手段。暴露在互联网上的泛数字资产越多,消耗的防御资源越多,单一故障点越多。所以对组织在互联网上的泛数字资产暴露面进行监测和收敛,无疑是主动防御、减少外部攻击面最高效和最立竿见影的手段之一。2.信息系统针对选取的研究对象暴露的信息系统进行横向对比如下:信息系统是指可以通过网络空间测绘技术获取到,并通