网络攻击对中小企业和各种规模企业的危险是众所周知的。但是什么推动了这些攻击，网络安全利益相关者需要做什么，而他们还没有这样做？为了回答这些问题，我们最近分析了一系列来自行业、地点和公司规模的企业的数十份详细事件响应（IR）报告。至少可以说，这些发现令人惊讶和令人担忧。他山之石可以攻玉，以下是我们学到的一些经验与教训：

公分母：可见性

从拥有5000多名员工的大型企业到人员少于15名员工的中小企业，跨越不同的网络架构、截然不同的网络规模以及不同的软件和网络管理解决方案——我们从中发现了网络安全中存在的一个压倒一切的缺陷：缺乏网络可见性。

我所说的“网络可见性”，是指对实际构成网络的组件、设备、服务器和数据的明确认识。这听起来可能很奇怪。但事实是，在我们调查的许多IR案件中，客户网络有几个盲点和可见性没有考虑的地方。而这最终导致的结果是，IT部门经常不知道网络外部发生了什么。

为什么实际上这个问题最为关键？这是因为一旦攻击者进入公司网络，（威胁者们）基本上可以自由地进行恶意活动——窃取数据、劫持帐户、部署勒索软件，甚至只是为此销毁资产。没有网络可见性，网络攻击者更有可能在不受检测和横向移动网络中移动——让恶意软件可以传播，不受检查，直到公司组织难以补救。

可见性的三大障碍

我们调查的数字证明了保持可见性和安全性的三大关键障碍：易于访问的端口和服务、过时、未修补和报废的系统以及缺乏安全工具集。

1.易于访问的端口和服务

64%的检查安全事件是端口、服务器和关键服务的结果，这些端口、服务器和关键服务保持打开状态并暴露在网络访问中。这通常只是因为随着组织的发展，其网络也在发展。运行后端开发、测试、应用程序、服务、VPN、CRM套件等的服务器需要从互联网上访问。然而，这些资产仍然是网络的一部分，因此如果没有足够的安全措施，也构成安全风险。

2.过时、未修补和报废的系统

在我们研究的67%的案例中，攻击者利用了未修补、过时或报废的应用程序和操作系统作为切入点进行攻击。在许多情况下，攻击入口点是运行Windows 8、7甚至XP的面向互联网的旧服务器或设备。这些系统在几年前（如果不是几十年的话）就停止接收安全更新。然而，他们的持续可访问性为攻击者留了一条路。其他案例来自托管过时版本的Jenkins、Oracle WebLogic和IIS的应用程序和Web服务器，这些服务器容易受到远程代码执行（RCE）攻击，使黑客可以完全控制受感染的系统。

3.安全工具集不足

我们审查的事件中有78%的网络没有在端点上安装端点检测和响应（EDR）或反恶意软件解决方案，其中35%没有IPS或IDS解决方案。如果没有适当和更新的网络安全工具集，可见性会受到严重阻碍，攻击可能会变得更加猖獗。如果在目标设备上安装了EDR解决方案，我们审查的大多数事件本可以完全避免。

底线

根据上面讨论的可见性障碍，每个企业或中小企业都需要渴望满足三个简单的标准：

知道你有什么

知道如何保护它

有效监测和应对威胁

当然，满足这些标准远比仅仅描述它们要复杂得多。然而，所有工作的起点总是可见性。我们的研究表明，缺乏跨端点、暴露端口、服务器、关键服务、过时和报废系统和应用程序的可见性和监控的企业更有可能受到攻击。当此类攻击发生时，它们往往会变得更严重——因为监控所有网络资产和系统有助于快速检测和事件响应。没有这一点，IR团队甚至很难了解发生了什么——更不用说开始遏制、根除和补救的过程了。

为了提高知名度，分析师已经认识到网络安全“网格”的必要性。组织需要确保解决方案能够互操作，而不是专注于独立工具。一旦与网络的现有防御合并，SOC平台等解决方案可以弥合网络差距，识别弱点，并确保防御者可以实时访问每个端点的状态。将所有安全系统和工具连接成一个单一的中央命令的能力为你提供了无与伦比的可见性、上下文和网络事件清晰度。因为在网络安全中，你所看到的，往往不会伤害你。

本文翻译自：https://threatpost.com/cybersecurity-cant-see-can-hurt-you/179954/如若转载，请注明原文地址