通过与 Jira 对比,让您更全面了解 PingCode

  • 首页
  • 需求与产品管理
  • 项目管理
  • 测试与缺陷管理
  • 知识管理
  • 效能度量
        • 更多产品

          客户为中心的产品管理工具

          专业的软件研发项目管理工具

          简单易用的团队知识库管理

          可量化的研发效能度量工具

          测试用例维护与计划执行

          以团队为中心的协作沟通

          研发工作流自动化工具

          账号认证与安全管理工具

          Why PingCode
          为什么选择 PingCode ?

          6000+企业信赖之选,为研发团队降本增效

        • 行业解决方案
          先进制造(即将上线)
        • 解决方案1
        • 解决方案2
  • Jira替代方案

25人以下免费

目录

超过700亿个文件在危险的网络服务器上免费提供

据CybelAngel称,企业防火墙外的关键漏洞是网络安全威胁的最大来源。

在所有行业中,这些由未受保护或被破坏的资产、数据和凭证组成的漏洞,已成为对企业检测和保护的一个巨大挑战。

关键的网络安全漏洞

该报告还强调了黑客到达目标的关键路径,以及网络犯罪的趋势、数据风险的关键领域和按行业分列的风险暴露。

在暴露的问题中,CybelAngel发现:

  • 所有检测到的威胁中,87%来自第三方或恶意行为者。
  • 在所有检测到的面向互联网的资产中,9%存在相关的未修补漏洞。排名前十的CVE被发现未打补丁的次数至少各为1200万次。
  • 目前有超过700亿个文件,包括知识产权和金融信息,在不安全的网络服务器上免费提供,没有受到保护。

安全措施不足

如果对照行业来看,这些检测中的趋势甚至更令人担忧,大量的风险领域威胁着关键的基础设施,包括电信、建筑、石油和天然气。暴露的前三的行业是:

  • 零售业,在其资产中检测到的恶意域名和许多漏洞的数量较高。
  • 电信业,在我们检查的许多风险领域中排名明显靠前。包括开放的端口、不安全的数据库、敏感文件、泄露的凭证和暗网活动。
  • 商业服务部门在暗网活动和恶意域名的数量上都占了很大比例。

CybelAngel公司首席执行官Erwan Keraudy说:企业网络安全名列前茅和决策者在确保自身安全边界方面做得很好,但关键基础设施和其他现代化方面却不足。这本身就是一个严重的问题。

由于大部分被检测到的风险来自于外部资产和恶意攻击者,在今天的安全形势下,被动和反应性的安全措施已经不够了。网络安全团队必须采取主动和全面的立场寻找风险,包括已知资产、影子资产、合作伙伴、供应商、供货商资产等等。

凭证泄露和暗网市场活动

信息窃取恶意软件将在企业内部扩散。在对CybelAngel平台的扫描中,50%的与客户相关的电子邮件带有未隐藏的密码,这意味着它们是纯文本且未加密的。在不同的违规事件中,许多被曝光的电子邮件要么共享相同的密码,要么是与另一个被曝光的密码相似。从凭证泄露和暗网市场活动来看,旨在窃取这些数据的恶意软件将迅速增长。

包括OT和IoT在内的影子IT将增加。尽管公司在保护其已知资产方面投入了大量资金,但对影子IT的盲点做同样的保护是很有挑战性的,特别是随着互联网连接资产的使用越来越多,这些资产很少是安全的。报告发现,在所有检测到的OT/IoT设备中,有8%存在漏洞,这些漏洞可以作为攻破其他安一些平台络的桥梁。

不安全和错误配置的云的数量不断上升。复杂的多云环境极大地扩展了EASM的范围, CybelAngel检测到140万个错误配置的云设备。在检测到的所有开放云设备中,几乎有50%是个人谷歌云驱动器。在所有检测中AWS – S3设备或存储桶,是最常被黑客访问的。

参考链接:https://www.helpnetsecurity.com/2023/04/24/critical-cybersecurity-exposures/

文章来自:https://www.freebuf.com/

相关文章