深圳2020年12月30日 /美通社/ -- 在2020 年全球疫情沖擊、新技術(shù)深化應用、新基建政策推動(dòng)等數字經(jīng)濟轉型的大環(huán)境下，關(guān)鍵信息基礎設施對數字化轉型升級的支撐作用愈發(fā)突顯。與此同時(shí)，數字資產(chǎn)暴露面不斷擴大，風(fēng)險日趨嚴峻，伴隨HW背景下，數字資產(chǎn)暴露面監測已成為更多運營(yíng)單位所關(guān)注的焦點(diǎn)。

數字資產(chǎn)暴露面風(fēng)險：指運營(yíng)單位擁有或控制的域名、IP、網(wǎng)站、公眾號、小程序、源代碼、數據等資產(chǎn)，被互聯(lián)網(wǎng)或暗網(wǎng)披露的這些資產(chǎn)所存在的漏洞、弱口令、敏感端口、數據泄露等安全隱患信息所形成的風(fēng)險。

2020年12月30日，深圳數字觀(guān)星科技有限公司首次發(fā)布《2020數字資產(chǎn)暴露面風(fēng)險》報告，報告立足于觀(guān)星運營(yíng)中心數據及工作實(shí)踐，包含有4個(gè)關(guān)鍵發(fā)現：業(yè)務(wù)數字化轉型、國家相關(guān)法律法規出臺、微信公眾號/小程序資產(chǎn)數量擴增、數字資產(chǎn)暴露面風(fēng)險增大；呈現銀行、證券、基金、保險、教育、能源、醫療、運營(yíng)商等行業(yè)的數字資產(chǎn)變化趨勢。

2019-2020數字資產(chǎn)暴露面增長(cháng)率

從數字資產(chǎn)暴露面漏洞看行業(yè)網(wǎng)安建設水平，報告對數字資產(chǎn)暴露面的整體分布、行業(yè)數字資產(chǎn)暴露面的風(fēng)險分布、數字資產(chǎn)暴露面的風(fēng)險現狀等做詳細分析。

數字資產(chǎn)暴露面整體分布

數字資產(chǎn)暴露面的風(fēng)險現狀主要分為6個(gè)方面：

1.數字資產(chǎn)暴露面漏洞

以新型資產(chǎn)暴露面漏洞為例，運營(yíng)單位使用公眾號/小程序開(kāi)展業(yè)務(wù)，由于新型資產(chǎn)缺少相應監測手段，容易出現注入、代碼問(wèn)題、跨站腳本、配置錯誤、遠程代碼執行等漏洞風(fēng)險。

2.數字資產(chǎn)敏感端口風(fēng)險

數字資產(chǎn)云化、邊界不受控、流程管理問(wèn)題、安全意識差等是導致敏感端口大門(mén)向外部開(kāi)放的主要原因，敏感端口暴露Top5主要有22、21、3389、3306、23。

3.數據泄露類(lèi)型-系統源碼

系統源碼和技術(shù)方案占據外部數據泄露類(lèi)型61%，分析發(fā)現泄露系統源碼中含有密碼密鑰風(fēng)險最高，也是眾多運營(yíng)單位用戶(hù)最為關(guān)注的外部數據泄露風(fēng)險。

4.Github和百度文庫成數據泄露主要渠道

內部數據外泄，容易成為攻擊者和黑客社工利用重要渠道，分析發(fā)現在Github和百度文庫共享導致數據泄露比例高達60%。

5.內部員工和供應商依舊是高風(fēng)險人群

內部員工和供應商引起的外部數據泄露事件占比92%，普遍由于網(wǎng)絡(luò )安全意識薄弱和缺少安全管理手段所導致。

6.冰山下的暗網(wǎng)數據泄露交易活躍

2020年，觀(guān)星暗網(wǎng)情報監測共發(fā)現1500+起，交易數量231+件，交易用戶(hù)數據高達780w+條，由于暗網(wǎng)自身具有較強的匿名性和隱蔽性，暗網(wǎng)數據交易也成為金融客戶(hù)數據泄露販賣(mài)交易的主要渠道。

觀(guān)星依托于多年的實(shí)戰經(jīng)驗，已為業(yè)內眾多用戶(hù)打造了數字化轉型下的數字資產(chǎn)暴露面風(fēng)險解決方案，并不斷探索實(shí)踐，助力行業(yè)用戶(hù)在數字化浪潮下讓資產(chǎn)的安全保障“看得清”和“管得好”，加強資產(chǎn)威脅監測和應急響應能力，為推動(dòng)數字化轉型戰略保駕護航。

觀(guān)星根據2020 數字資產(chǎn)暴露面風(fēng)險分析和實(shí)戰運營(yíng)經(jīng)驗，給處于數字化浪潮下的行業(yè)用戶(hù)們幾點(diǎn)建議和展望。詳見(jiàn)：觀(guān)星《2020數字資產(chǎn)暴露面風(fēng)險》報告完整版http://shuziguanxing.com/filedownload/282053 。

附：數字資產(chǎn)暴露面風(fēng)險解決方案框架

觀(guān)星數字資產(chǎn)暴露面風(fēng)險解決方案框架