觀星發(fā)布《2020數(shù)字資產(chǎn)暴露面風險》報告

2020-12-31 11:26 10392

2020年12月30日，深圳數(shù)字觀星科技有限公司首次發(fā)布《2020數(shù)字資產(chǎn)暴露面風險》報告。從數(shù)字資產(chǎn)暴露面漏洞看行業(yè)網(wǎng)安建設(shè)水平，報告對數(shù)字資產(chǎn)暴露面的整體分布、行業(yè)數(shù)字資產(chǎn)暴露面的風險分布、數(shù)字資產(chǎn)暴露面的風險現(xiàn)狀等做詳細分析。

深圳2020年12月30日 /美通社/ -- 在 2020 年全球疫情沖擊、新技術(shù)深化應(yīng)用、新基建政策推動等數(shù)字經(jīng)濟轉(zhuǎn)型的大環(huán)境下，關(guān)鍵信息基礎(chǔ)設(shè)施對數(shù)字化轉(zhuǎn)型升級的支撐作用愈發(fā)突顯。與此同時，數(shù)字資產(chǎn)暴露面不斷擴大，風險日趨嚴峻，伴隨HW背景下，數(shù)字資產(chǎn)暴露面監(jiān)測已成為更多運營單位所關(guān)注的焦點。

數(shù)字資產(chǎn)暴露面風險：指運營單位擁有或控制的域名、IP、網(wǎng)站、公眾號、小程序、源代碼、數(shù)據(jù)等資產(chǎn)，被互聯(lián)網(wǎng)或暗網(wǎng)披露的這些資產(chǎn)所存在的漏洞、弱口令、敏感端口、數(shù)據(jù)泄露等安全隱患信息所形成的風險。

2020年12月30日，深圳數(shù)字觀星科技有限公司首次發(fā)布《2020數(shù)字資產(chǎn)暴露面風險》報告，報告立足于觀星運營中心數(shù)據(jù)及工作實踐，包含有4個關(guān)鍵發(fā)現(xiàn)：業(yè)務(wù)數(shù)字化轉(zhuǎn)型、國家相關(guān)法律法規(guī)出臺、微信公眾號/小程序資產(chǎn)數(shù)量擴增、數(shù)字資產(chǎn)暴露面風險增大；呈現(xiàn)銀行、證券、基金、保險、教育、能源、醫(yī)療、運營商等行業(yè)的數(shù)字資產(chǎn)變化趨勢。

2019-2020數(shù)字資產(chǎn)暴露面增長率

從數(shù)字資產(chǎn)暴露面漏洞看行業(yè)網(wǎng)安建設(shè)水平，報告對數(shù)字資產(chǎn)暴露面的整體分布、行業(yè)數(shù)字資產(chǎn)暴露面的風險分布、數(shù)字資產(chǎn)暴露面的風險現(xiàn)狀等做詳細分析。

數(shù)字資產(chǎn)暴露面整體分布

數(shù)字資產(chǎn)暴露面的風險現(xiàn)狀主要分為6個方面：

1.數(shù)字資產(chǎn)暴露面漏洞

以新型資產(chǎn)暴露面漏洞為例，運營單位使用公眾號/小程序開展業(yè)務(wù)，由于新型資產(chǎn)缺少相應(yīng)監(jiān)測手段，容易出現(xiàn)注入、代碼問題、跨站腳本、配置錯誤、遠程代碼執(zhí)行等漏洞風險。

2.數(shù)字資產(chǎn)敏感端口風險

數(shù)字資產(chǎn)云化、邊界不受控、流程管理問題、安全意識差等是導致敏感端口大門向外部開放的主要原因，敏感端口暴露Top5主要有22、21、3389、3306、23。

3.數(shù)據(jù)泄露類型-系統(tǒng)源碼

系統(tǒng)源碼和技術(shù)方案占據(jù)外部數(shù)據(jù)泄露類型61%，分析發(fā)現(xiàn)泄露系統(tǒng)源碼中含有密碼密鑰風險最高，也是眾多運營單位用戶最為關(guān)注的外部數(shù)據(jù)泄露風險。

4.Github和百度文庫成數(shù)據(jù)泄露主要渠道

內(nèi)部數(shù)據(jù)外泄，容易成為攻擊者和黑客社工利用重要渠道，分析發(fā)現(xiàn)在Github和百度文庫共享導致數(shù)據(jù)泄露比例高達60%。

5.內(nèi)部員工和供應(yīng)商依舊是高風險人群

內(nèi)部員工和供應(yīng)商引起的外部數(shù)據(jù)泄露事件占比92%，普遍由于網(wǎng)絡(luò)安全意識薄弱和缺少安全管理手段所導致。

6.冰山下的暗網(wǎng)數(shù)據(jù)泄露交易活躍

2020年，觀星暗網(wǎng)情報監(jiān)測共發(fā)現(xiàn)1500+起，交易數(shù)量231+件，交易用戶數(shù)據(jù)高達780w+條，由于暗網(wǎng)自身具有較強的匿名性和隱蔽性，暗網(wǎng)數(shù)據(jù)交易也成為金融客戶數(shù)據(jù)泄露販賣交易的主要渠道。

觀星依托于多年的實戰(zhàn)經(jīng)驗，已為業(yè)內(nèi)眾多用戶打造了數(shù)字化轉(zhuǎn)型下的數(shù)字資產(chǎn)暴露面風險解決方案，并不斷探索實踐，助力行業(yè)用戶在數(shù)字化浪潮下讓資產(chǎn)的安全保障“看得清”和“管得好”，加強資產(chǎn)威脅監(jiān)測和應(yīng)急響應(yīng)能力，為推動數(shù)字化轉(zhuǎn)型戰(zhàn)略保駕護航。

觀星根據(jù)2020 數(shù)字資產(chǎn)暴露面風險分析和實戰(zhàn)運營經(jīng)驗，給處于數(shù)字化浪潮下的行業(yè)用戶們幾點建議和展望。詳見：觀星《2020數(shù)字資產(chǎn)暴露面風險》報告完整版http://shuziguanxing.com/filedownload/282053 。

附：數(shù)字資產(chǎn)暴露面風險解決方案框架

觀星數(shù)字資產(chǎn)暴露面風險解決方案框架