HW行動(dòng)臨近，企業(yè)的暴露面收斂工作刻不容緩。在數字化時(shí)代，企業(yè)IT管理者承擔著(zhù)全網(wǎng)暴露面管理的艱巨重任。從各類(lèi)應用（API、Web應用、移動(dòng)應用、微信小程序等），到系統（供應鏈系統、合作伙伴接口等），從網(wǎng)絡(luò )層面（IP、域名、開(kāi)放端口）再到數據泄露潛在點(diǎn)（GitHub代碼庫、網(wǎng)盤(pán)文件），每個(gè)環(huán)節皆可能淪為黑客入侵的切入點(diǎn)。面對復雜多變的網(wǎng)絡(luò )環(huán)境與不斷翻新的攻擊手段，如何在保障業(yè)務(wù)正常運轉的同時(shí)，精準發(fā)現并有效收斂潛在攻擊入口，搶占網(wǎng)絡(luò )安全先機，成為企業(yè)在數字化浪潮中穩健前行的關(guān)鍵。

一、傳統防入侵安全思路的局限性

自2016年國家頒布《網(wǎng)絡(luò )安全法》并開(kāi)展HW行動(dòng)以來(lái)，安全事件依舊頻發(fā)。某工業(yè)大學(xué)遭受境外網(wǎng)絡(luò )攻擊，某證監局通報某券商O(píng)A系統被攻擊致移動(dòng)辦公嚴重受阻。企業(yè)IT管理者并非未采取防護舉措，防火墻、IPS、終端安全管控等設施紛紛部署，漏洞修復工作也持續推進(jìn)，但安全事件仍屢禁不止。根源在于傳統安全思路難以契合當下網(wǎng)絡(luò )安全需求。

傳統防入侵思路旨在發(fā)現全部網(wǎng)絡(luò )資產(chǎn)、排查所有漏洞、修復每一處漏洞，并借助持續行為監測察覺(jué)入侵行為。然而，資產(chǎn)動(dòng)態(tài)變化頻繁，難以及時(shí)全面掌握；新漏洞不斷涌現，安全團隊疲于應對；0day漏洞因未知且高危，無(wú)法及時(shí)修復，極易被黑客利用；同時(shí)，監測成本高昂且偏事后追溯?？梢?jiàn)，傳統防入侵思路的防護投入產(chǎn)出比（ROI）較低。

但安全并非無(wú)計可施。以蘋(píng)果OS手機為例，全球數億用戶(hù)中，鮮少有人安裝殺毒或其他安全軟件，但其感染病毒和木馬的比例極低。原因在于蘋(píng)果AppStore實(shí)現了APP來(lái)源的統一管理，其操作系統為有限多任務(wù)系統，僅屏幕正上方應用可獲取CPU資源，還對APP資源占用進(jìn)行集中監控管理。這種從源頭上把控風(fēng)險的方式，遠比單純的漏洞修復和行為監測更為有效。

又如，安全行業(yè)有云：“沒(méi)有攻不破的系統?！钡W(wǎng)絡(luò )交換機、路由器、防火墻被直接攻破的案例卻極為罕見(jiàn)。原因是這些設備采用專(zhuān)有精簡(jiǎn)OS，漏洞少，且極少開(kāi)通易被利用的Web服務(wù)、高危端口，公開(kāi)暴露面小，風(fēng)險隨之降低，并且會(huì )定期審查管理暴露面。黑客更多采用“社會(huì )工程”手段入侵，而非直接攻擊防火墻，這也側面凸顯了收斂暴露面的重要性。

由此可見(jiàn)，安全對抗本質(zhì)上是做好多層容錯控制，收斂業(yè)務(wù)漏洞、網(wǎng)絡(luò )錯誤配置、數據暴露等各類(lèi)暴露面，盡可能減少系統、網(wǎng)絡(luò )和應用中動(dòng)態(tài)變化的攻擊路徑，嚴格做好訪(fǎng)問(wèn)權限控制。

▲傳統安全防御過(guò)于復雜、成本高、不解決問(wèn)題

二、基于多層容錯式和權限控制收斂暴露面

企業(yè)IT管理者若要有效收斂業(yè)務(wù)、系統、網(wǎng)絡(luò )和數字資產(chǎn)的暴露面，降低攻擊風(fēng)險，可采用分層容錯式和權限控制思路，具體從以下四個(gè)方面著(zhù)手：

（一）隱藏漏洞和高危端口

借助網(wǎng)絡(luò )隔離手段，將業(yè)務(wù)或系統的漏洞與高危端口隱匿于安全訪(fǎng)問(wèn)網(wǎng)關(guān)之后。安全網(wǎng)關(guān)運用單包敲門(mén)技術(shù)，僅向合法授權用戶(hù)開(kāi)放，黑客攻擊包將被直接丟棄，只有認證通過(guò)的合法用戶(hù)方可訪(fǎng)問(wèn)網(wǎng)關(guān)反向代理的業(yè)務(wù)，以此最大程度減少攻擊面。

▲傳統防護思路VS暴露面收斂思路

（二）優(yōu)化網(wǎng)絡(luò )設備配置

運用安全策略管理工具，梳理防火墻、交換機等設備策略，及時(shí)察覺(jué)并修正錯誤配置與高危路徑，規避因配置不當引發(fā)的網(wǎng)絡(luò )安全風(fēng)險，保障網(wǎng)絡(luò )設備安全。

（三）管理敏感數字資產(chǎn)

黑客可能通過(guò)應用安全測試或竊取敏感文件中的賬號口令入侵系統。因此，企業(yè)需利用攻擊面管理工具，及時(shí)發(fā)現并下架GitHub、網(wǎng)盤(pán)中的敏感代碼庫和文件。在合法取數場(chǎng)景中，為實(shí)現跨網(wǎng)跨域攻擊面管理，企業(yè)需具備IP協(xié)議棧隔離和IP通信阻斷、數據與指令通道分離、被交換數據安全性檢測、多域交換和方向可控的能力。

（四）防范社會(huì )工程攻擊

針對黑客通過(guò)釣魚(yú)郵件、網(wǎng)絡(luò )釣魚(yú)等誘導員工安裝惡意軟件的攻擊手段，除了部署郵件安全網(wǎng)關(guān)、EDR等設施之外，企業(yè)應借助軟件管理收斂暴露面，具體措施如下：

1. 所有軟件必須來(lái)自官方渠道，經(jīng)過(guò)安全驗證，并通過(guò)應用商店安裝。

2. 阻斷來(lái)自郵件、即時(shí)通信、U盤(pán)的軟件安裝。

3. 建立違規監控機制，對違規行為予以處罰，降低因員工安全意識薄弱導致的安全風(fēng)險。

通過(guò)上述措施，企業(yè)能夠在不影響業(yè)務(wù)的前提下，切實(shí)減少暴露面，降低遭受攻擊的風(fēng)險。

三、零信任≠安全：全網(wǎng)暴露面管理的最佳實(shí)踐

全網(wǎng)暴露面管理的核心在于精準發(fā)現并有效收斂暴露面，其中收斂暴露面尤為關(guān)鍵。傳統方法如漏洞修復、關(guān)閉高危端口、虛擬補丁等，常導致業(yè)務(wù)中斷，影響企業(yè)運營(yíng)，且對0day漏洞束手無(wú)策。零信任等新方法雖有一定成效，但仍存在業(yè)務(wù)效率受影響、收斂不徹底等問(wèn)題。因此，企業(yè)IT管理者需全面考量?jì)?外網(wǎng)業(yè)務(wù)、數據、網(wǎng)絡(luò )配置、終端惡意軟件植入等多方面的暴露面收斂問(wèn)題，選取不影響業(yè)務(wù)的技術(shù)手段，提升投資回報率（ROI）。

▲全網(wǎng)暴露面管理

以下為具體最佳實(shí)踐：

（一）內/外網(wǎng)資產(chǎn)安全管理

企業(yè)務(wù)必及時(shí)發(fā)現內外網(wǎng)的影子資產(chǎn)、漏洞及配置缺陷，實(shí)現統一安全管理。在實(shí)際落地過(guò)程中，傳統掃描和流量分析方法受NAT等技術(shù)限制，難以全面發(fā)現資產(chǎn)。因此，發(fā)現手段能否適配網(wǎng)絡(luò )環(huán)境并具備多種實(shí)現技術(shù)，成為決定內外網(wǎng)資產(chǎn)安全管理成效的關(guān)鍵因素。例如，是否支持網(wǎng)絡(luò )拓撲發(fā)現、高危路徑發(fā)現以及NAT環(huán)境下基于A(yíng)gent的資產(chǎn)發(fā)現技術(shù)等。

（二）互聯(lián)網(wǎng)暴露面收斂

互聯(lián)網(wǎng)暴露面廣泛，涵蓋PC和移動(dòng)業(yè)務(wù)系統漏洞、高危端口、企微/釘釘/飛書(shū)H5應用、微信小程序/公眾號等。傳統VPN網(wǎng)關(guān)因自身存在暴露面且缺乏反向代理技術(shù)來(lái)隱藏業(yè)務(wù)暴露面，正逐漸被軟件定義訪(fǎng)問(wèn)技術(shù)取代。然而，許多企業(yè)在收斂PC端暴露面時(shí)，忽視了移動(dòng)業(yè)務(wù)和外部取數等高危端口。從實(shí)戰經(jīng)驗來(lái)看，互聯(lián)網(wǎng)暴露面是黑客重點(diǎn)攻擊入口，企業(yè)IT管理者需結合實(shí)際情況，從業(yè)務(wù)、網(wǎng)絡(luò )、數據等多層面采用容錯方式，最大程度收斂互聯(lián)網(wǎng)暴露面，減少攻擊面。具體措施如下：

1. PC C/S業(yè)務(wù)：采用軟件定義邊界（SDP）技術(shù)。

2. 移動(dòng)業(yè)務(wù)：采用移動(dòng)管理技術(shù)（EMM）。

3. 企微/釘釘/飛書(shū)H5應用和微信小程序/公眾號：通過(guò)Web安全網(wǎng)關(guān)收斂暴露面。

4. 網(wǎng)絡(luò )安全配置：利用網(wǎng)絡(luò )安全策略管理工具梳理策略。

5. 外部取數：采用基于協(xié)議隔離的數據安全交換系統。

（三）內網(wǎng)暴露面收斂

從近期HW行動(dòng)情況可知，互聯(lián)網(wǎng)邊界防護能力逐步提升，但黑客攻擊手段也在不斷演變，更多采用社會(huì )工程學(xué)（社工）攻擊，通過(guò)釣魚(yú)郵件、網(wǎng)絡(luò )釣魚(yú)等利用內網(wǎng)員工安全意識薄弱的漏洞，入侵內網(wǎng)并提權，進(jìn)而發(fā)起橫向攻擊，還可能借助U盤(pán)等物理介質(zhì)入侵內網(wǎng)。在此情形下，內網(wǎng)，尤其是邏輯上與互聯(lián)網(wǎng)連接的內網(wǎng)，安全風(fēng)險已與互聯(lián)網(wǎng)相當，企業(yè)必須重視內網(wǎng)暴露面收斂工作。

內網(wǎng)暴露面收斂首要考慮分區分域，建議企業(yè)將內網(wǎng)劃分為核心業(yè)務(wù)域、業(yè)務(wù)備份域、管理域、終端接入域、供應鏈接入域等獨立安全域，通過(guò)分區分域有效隔離不同業(yè)務(wù)和功能模塊，減少攻擊面。

1. 終端接入控制：采用802.1x端口級控制技術(shù)。傳統暴露面控制主要針對終端接入，常采用網(wǎng)絡(luò )準入控制技術(shù)（如NACC）收斂暴露面，但難以有效遏制勒索病毒在內網(wǎng)的橫向移動(dòng)。推薦采用802.1x端口級控制技術(shù)，可精確控制網(wǎng)絡(luò )端口訪(fǎng)問(wèn)權限，有效防范勒索病毒橫向傳播。

2. 業(yè)務(wù)暴露面收斂：靈活運用多種技術(shù)。在不同安全域之間，許多單位已部署防火墻、網(wǎng)閘等設備實(shí)現邏輯隔離，但仍存在核心業(yè)務(wù)對內的漏洞和高危端口暴露、跨域雙向IP協(xié)議打通、數據交換過(guò)程中缺乏安全性檢查導致病毒跨域傳播等問(wèn)題。針對這些問(wèn)題，建議采取以下措施：

    - 核心業(yè)務(wù)漏洞和高危端口暴露：根據業(yè)務(wù)實(shí)際，靈活采用軟件定義邊界（SDP）、應用安全網(wǎng)關(guān)（API）、Web安全網(wǎng)關(guān)（WSG）收斂業(yè)務(wù)暴露面。

    - 網(wǎng)絡(luò )安全策略管理：通過(guò)網(wǎng)絡(luò )安全策略管理工具，梳理防火墻和交換機策略，及時(shí)發(fā)現并修正錯誤配置，收斂暴露面。

- 跨域數據交換安全：采用數據安全擺渡系統，防止病毒跨域傳播，同時(shí)保障不同安全域之間客戶(hù)與客戶(hù)、業(yè)務(wù)與業(yè)務(wù)的數據高效交換。

（四）軟件暴露面收斂

針對終端被釣魚(yú)或私接熱點(diǎn)安裝惡意軟件問(wèn)題，采用軟件白名單控制，確保所有軟件來(lái)自軟件商城或云軟倉等合規安裝途徑，減少盜版軟件使用，提升運維效率。

（五）網(wǎng)絡(luò )暴露面收斂

利用網(wǎng)絡(luò )安全策略管理工具梳理網(wǎng)絡(luò )策略，收斂高危路徑，解決配置錯誤和多條高危路徑問(wèn)題。

（六）統一漏洞管理

結合多維數據評估漏洞風(fēng)險等級，實(shí)現精準防護，降低安全隱患。同時(shí)，支持多平臺、多系統漏洞管理，靈活對接各種環(huán)境。

全網(wǎng)暴露面管理是企業(yè)網(wǎng)絡(luò )安全的核心環(huán)節。通過(guò)上述最佳實(shí)踐，企業(yè)可在不影響業(yè)務(wù)的前提下，全面收斂暴露面，減少攻擊路徑，降低被攻擊風(fēng)險。

綜上，企業(yè)IT管理員在進(jìn)行全網(wǎng)暴露面管理時(shí)，應兼顧互聯(lián)網(wǎng)和內網(wǎng)暴露面管理。內外網(wǎng)均需從業(yè)務(wù)、系統、網(wǎng)絡(luò )多層容錯角度考量，在選擇收斂方式時(shí)，應盡量降低對運行業(yè)務(wù)的影響，盡可能收斂暴露面，減少系統、網(wǎng)絡(luò )和應用中的各類(lèi)攻擊路徑，如漏洞、錯誤配置、代碼缺陷、社會(huì )工程等，暴露越少，被攻擊可能性越低，風(fēng)險越小。同時(shí)，事前在軟件開(kāi)發(fā)時(shí)應考慮原生安全和安全配套，事中定期持續審查和管理暴露面，摒棄一次性管理方式；在防護規則上遵循最小權限原則，僅開(kāi)放必要端口和服務(wù)，限制不必要暴露面，實(shí)施強身份驗證和授權機制，確保只有授權用戶(hù)可訪(fǎng)問(wèn)授權范圍內的業(yè)務(wù)或數據。