攻击媒介与攻击面：有何不同？

攻击媒介与攻击面之间的主要区别在于攻击媒介是网络犯罪分子利用任意切入点的具体方法，而攻击面是指网络犯罪分子可能利用的切入点总数。 试想您要参加一项在大型体育场举行的赛事，攻击面是允许您进入体育场的每个可能的入口，而攻击媒介是您选择如何进入体育场（即走楼梯还是乘电梯）。

继续阅读以深入了解攻击媒介和攻击面，以及贵机构可以如何减少二者以保护您的资料免受网络犯罪分子破坏。

什么是攻击媒介？

攻击媒介是网络犯罪分子可访问贵机构网络或系统的每个可能方式。 这是网络犯罪分子用来获取未授权访问的具体方法。 如果有很多攻击媒介，就意味着网络犯罪分子有更大的攻击面可用来决定如何侵入贵机构。

常见攻击媒介示例

最常见的攻击媒介是破解弱或者密码被盗和被恶意软件感染的设备。 网络犯罪分子获取机构为了访问权限的最简单方法就是破解员工的弱密码。 他们可以采用集中类型基于密码的攻击达到第目的，比如暴力破解或撞库。 成功破解员工密码后，他们可以使用它来获取对贵机构系统的未授权访问。

另一种网络犯罪分子用来访问贵机构数据的另一种方法是使用恶意软件感染员工设备，恶意软件是可以破坏或盗取数据的软件类型。 员工如果点击来路不明的链接或下载任何可疑内容，就可能在其没有意识的情况下在其设备中安装恶意软件，同时网络犯罪分子可获取对其设备和数据的访问。

什么是攻击面？

攻击面系指网络犯罪分子可以访问贵机构系统以盗窃数据的所有可能的切入点。 攻击面越小，保护您的私人信息就越容易。 因此实施最小权限原则 (PoLP)、依靠零信任安全框架并定期更新软件修补安全漏洞以减小攻击面至关重要。

攻击面类型

三种主要的攻击面类型是数字、实体及社会工程。 数字攻击面包括贵机构系统中可作为目标的任意线上方面，比如网站或网络协议。 例如：如果贵机构有网页应用程序且被网络犯罪分子侵入，这名网络犯罪分子就可以获得您网络的未授权访问并盗取私人数据。

实体攻击面系指通过实体方法访问的任何信息，比如被盗设备或写着密码的一张纸。 因为网络犯罪分子可能需要亲自进入办公室以损害此攻击面，因此犯罪者通常是恶意内部人员。 也许是对自身情况不满的员工，并利用其特权访问使用恶意软件破坏内部系统、盗取私人信息或危害贵机构安全。

最后，社会工程攻击面侧重于操纵以诱使人们透露敏感信息。 社会工程策略会利用人的情感弱点、影响人们分享私人信息、下载恶意软件甚至想网络犯罪分子提供资金。 这特别危险，因为网络犯罪分子可以通过冒充您认识的人以便对您进行心理操纵，使他们看起来值得信任，从而导致被骗分享机密信息。

攻击媒介与攻击面之间的主要区别

虽然攻击媒介和攻击面相关，但二者之间的差异要多过相似之处。 我们来仔细看看二者之间的主要区别。

攻击媒介是攻击方法；而攻击面是漏洞总数

攻击媒介和攻击面均涉及安全漏洞；但攻击媒介是指网络犯罪分子攻击的方法，而攻击面是指他们可以利用的潜在弱点。 攻击媒介是网络犯罪分子利用贵机构系统的具体方式，比如发送网络钓鱼邮件或诱使员工下载恶意软件 攻击面是网络犯罪分子可以用来将这些攻击媒介作为目标的选项范围。 例如：攻击面可以说容易被骗而分享信息的员工，但攻击媒介是发送给员工，造成网络犯罪分子获得机构数据的网络钓鱼消息。

攻击媒介集中；而攻击面广泛

将攻击面想象成一栋有很多门和入口的房子；攻击媒介是窃贼用来潜入未上锁窗户的具体方法。 虽然攻击面因为弱点和切入点总数而广泛，但攻击媒介会集中采用一种方式获取未授权访问并窃取数据。 了解网络犯罪分子会使用特定方法将安全漏洞作为目标后，这应该可以指导您在潜在网络攻击前评估系统中的所有弱点，以减小攻击面。

攻击媒介的发展很快；而攻击面则更稳定

由于软件更新和安全标准经常演化以修补漏洞，因此攻击媒介可随着网络犯罪分子对更有效技术的适应而改变。 同时，攻击面不会发生剧烈变化，因为机构的安全变化通常较为缓慢。 因此，与攻击媒介相比，攻击面变化较少且更稳定，而攻击媒介需要在新漏洞出现时进行适应。

机构如何减少其攻击面和攻击媒介

贵机构可以透过保持软件更新、实施最低权限访问控制以及强制使用强密码等多是，降低其对攻击媒介的漏洞，并尽量减小其攻击面。

始终将软件和操作系统 (OS) 更新至最新版本

确保在贵机构的设备中安装最新软件和操作系统 (OS)，这样可以减小攻击面。 新软件更新快修补安全漏洞并修复已知错误，以便您的设备不会在潜在网络攻击中受损。 如果员工不关心其设备软件，则攻击面会增大，让网络犯罪分子有更多攻击媒介（比如恶意软件感染）以窃取重要数据。

实施最小权限访问

您应该在机构中最采用最低权限访问以保护敏感数据不受未授权用户访问。 最低权限访问仅为授权用户提供完成其工作所需的访问权限，特别是特权帐户。 实施此原则可以减少攻击面，因为网络犯罪分子获取用来利用和窃取数据的切入点会减少。 实施最低权限访问最简单的方法是使用特权帐户管理 (PAM) 解决方案，该解决方案将保护和控制访问敏感数据的帐户，比如 IT 团队或 HR 人员。

如果贵机构未实施最低权限访问，网络犯罪分子就可以针对任何员工实施网络钓鱼攻击，如果员工上当，犯罪分子就可以获取贵机构中最敏感数据的访问权限。 但如果有最低权限访问，网络犯罪分子在访问数据方面将受到更多限制，因为他们只能根据员工的特定权限获得有限访问权限，这些都是通过基于角色的访问控制 (RBAC) 指定。

强制使用强大的唯一密码和 MFA

贵机构需要在所有帐户中强制使用强密码卫生实践以减少攻击媒介和攻击面。 因为利用弱密码、被盗用或重复使用的密码是网络犯罪分子的常见攻击媒介，所以员工使用至少由 16 个字符组成并结合大小写字母、数字和符号的强大、唯一密码至关重要。 使用强大且唯一密码后，贵机构可以最大限度地减少网络犯罪分子获取未授权访问的机会，并减小攻击面大小。 很多 PAM 解决方案有密码管理功能，因此员工将其密码更新为较强的密码后，就可以轻松地保护和管理它们。

除使用强密码外，您的员工还应该为所有在线帐户启用多因素认证 (MFA)，以提供额外的安全层。 MFA 要求在访问服务或帐户时使用一种以上的形式进行验证身份。 MFA 的一些示例包括 PIN 码、安全问题的答案、身份验证器应用程序生成的代码或生物特征信息。 如果员工启用 MFA 但其密码被盗，网络犯罪分子将无法访问其帐户，因为他们将需要额外方法验证他们是其声称的人。

对网络进行分段

减少攻击媒介和攻击面的上佳策略是分割网络，这可以限制网络犯罪分子入侵您系统时暴露给他们的设备数量。 使用网络分段实施 RBAC 会更容易，因为某些员工可能无法访问网络的敏感部分，所以如果他们的密码被盗，网络犯罪分子就无法获得对高度私密信息的未授权访问。 分段网络还有助于防止网络犯罪分子在组织网络中横向移动以获取对更多数据的访问，从而最大限度减少攻击媒介和攻击面。

定期进行渗透测试和安全审计

透过定期进行渗透测试，贵机构可以在网络犯罪分子利用安全漏洞前确定这些安全弱点，从而减少攻击面。渗透测试是模拟网络攻击，让组织可以通过运行该测试确定潜在的实际攻击发生器需要修补的所有安全漏洞。 因为是模拟，所以这是减少其攻击面的关键方法，因为贵机构可以了解自己在数据泄露和其他网络攻击的真实安全性，这些攻击可能会破坏或窃取重要数据而不会造成任何后果。

频繁进行安全审计可让贵机构深入了解如何改进所有漏洞，从而减少网络犯罪分子可能用来获取您网络的未授权访问的攻击媒介数量。 通过审计了解贵机构的薄弱之处后，您可以减轻所有安全漏洞，并创建更强大的安全程序，以尽量减少网络媒介并减少攻击面。

确保员工接受每月安全意识培训

确保员工参加每月的安全意识培训将减少攻击媒介诶和攻击面，因为他们会学习如何识别网络钓鱼企图以及其他网络威胁。 网络犯罪分子经常针对员工使用网络钓鱼电子邮件、冒充同事甚至贵机构的 CEO，以赢得他们的信任，并诱骗他们发送私人信息。 但经过每月安全培训后，员工可以得到更好的准备，在陷入诈骗并危及贵机构数据隐私前可以识别所有网络钓鱼企图。 让员工做好识别网络钓鱼企图的准备可减少攻击媒介和攻击面，因为如果员工不与任何可疑邮件互动，网络犯罪分子就无法欺骗他们透露敏感信息。

让员工做好准备的一种方法是进行网络钓鱼测试，就是向员工发送模拟真实网络钓鱼的电子邮件，并通知您他们是否与该消息互动。 如果员工认为这些消息可信并陷入该模拟诈骗，则会为您显示在哪些方面需要改进安全培训，并为需要的人提供额外的培训。

保护贵机构免受漏洞影响

贵机构网络或系统中的所有安全漏洞都可能对您的数据、安全和声誉产生不利影响。 可借助 PAM 解决方案，比如 KeeperPAM^® 减少攻击媒介和攻击面，从而保护贵机构，该解决方案可使用统一平台保护贵机构的密码和特权帐户。

立即申请 KeeperPAM 演示开始管理和控制每台设备上的特权用户，方便地尽量减少攻击媒介和攻击面。