【动画】带你了解,何为网络安全“攻击面管理”******
【2022年国家网络宣传周系列科普】
近年来,新兴技术迅速发展带动了网络资产边界快速拓展,也增加了企业资产暴露面,而基于供应链的新型攻击则大大降低了攻击成本。在多重因素的驱动下,网络安全防御策略也在与时俱进,攻击面管理也开始被行业所关注。让我们一起了解一下攻击面管理的小知识吧。
什么是攻击面?
近日发布的《中国攻击面管理市场研究报告》(以下简称研究报告)指出,攻击面是指未经授权即能访问和利用企业数字资产的所有潜在入口的总和。
其中,包括未经授权的可访问的硬件、软件、云资产和数据资产等,同样也包括人员管理、技术管理、业务流程存在的安全弱点和缺陷等,即存在可能会被攻击者利用并造成损失的潜在风险。
但不是所有资产暴露面都可以成为攻击面,只有可利用暴露面叠加攻击向量才形成了攻击面。
什么是攻击面管理?
攻击面管理是一种从攻击者的角度对企业数字资产攻击面进行检测发现、分析研判、情报预警、响应处置和持续监控的资产安全性管理方法,其最大特性就是以外部攻击者视角来审视企业所有资产可被利用的攻击可能性。
主要包含外部攻击面管理(EASM)、网络资产攻击面管理(CAASM)、数字风险保护服务(DRPS)等内容。
什么是攻击面管理框架体系?
攻击面管理框架体系自下向上分别为基础技术、安全能力和应用场景。基础技术为支撑攻击面管理的技术能力集合,多种技术组合形成攻击面管理的能力体系,根据不同的业务场景需求采用不同的能力组合,形成不同的应用场景下的攻击面管理解决方案,为用户提供有针对性的攻击面闭环管理能力。
什么是攻击面管理成熟度模型?
研究报告中还提到了建立攻击面管理的成熟度模型,主要是工具阶段的被动防御、平台阶段的主动防御、流程化阶段的对抗防御、先知阶段的优先防御四个层级;提出了暴露面获取、脆弱点发现、攻击面挖掘、情报获取能力等攻击面管理要具备的12个能力域,从检测发现、分析研判、情报预警、响应运营的闭环管控过程分解了响应的29个能力子项,从子能力的具备和完善情况来评价攻击面管理的有效性。
发展前景怎么看?
目前,国内外厂商如华云安、360政企安全、Mandiant、CyCoginito、等一大批传统网络安全团队,正在进入攻击面管理创新领域。未来攻击面管理将从传统场景扩展到新兴技术场景,并提供跨领域、跨技术平台的数字资产及其攻击面管理能力,更关注企业内部业务风险和第三方风险的管理,为用户提供统一的攻击面管理入口,并提供一致的安全运营体验。
光明网、华云安 联合出品
监制:张宁、李政葳策划:孔繁鑫制作/配音:雷渺鑫
动科普丨网赚App让你足不出户日进斗金?又又又上当了!******
【万万没想到!App花样套路大解密②——网赚篇】
“刷视频、看广告、做任务赚佣金,边玩手机边赚钱”,在移动应用市场上,我们总能看到,一些手机App打着这样的口号,吸引用户们注册使用。但鱼龙混杂的产品,常常让人难以分辨其中真假。
对于注册用户来说,这种“躺赚”App真的能赚钱吗?
什么是网赚?
安天移动安全发布的移动互联网风险应用白皮书显示,2018年网赚App影响用户量高达2.5亿,网赚App在下沉城市最受欢迎。其中,00后用户占比为24%,高于全部网民中00后占比。
事实上,网赚品类应用与网络兼职刷单类应用有所不同,泛指应用用户通过完成指定任务获取现金回报,应用运营者则通过流量投放实现变现。
比如,这几年比较流行的刷视频赚钱、刷新闻赚钱、走路赚钱、答题赚钱,以及玩休闲小游戏赚钱等。
业内人士介绍,通常这类网赚App业务形态比较简单,用“提现”等方式吸引用户完成任务。用户如果想要完成提现,就必须点进去看广告。比如,让用户看完数条视频后可提现,本质目的则是吸引用户完成任务来获利。
然而,有部分网赚品类非良性开发者为了快速回本、增大收益,试图在各个环节进行设计,增加用户提现难度。这类应用不仅存在恶意干扰用户达成提现条件、用户满足提现要求无法提现,又或者虚假广告宣传的问题,还通过各种欺骗、诱导的方式使用户无法顺利完成提现。
常见套路揭秘☞☞☞
①应用设置多重套路的提现门槛
“提现”作为网赚类应用区别于其他品类应用的特征功能,也是用户使用网赚类应用最关心的功能。而部分网赚应用在用户提现前没有明示用户完整的提现规则和门槛,在用户完成一个提现条件想要进行提现时,才告知用户还有别的提现条件,以此来限制用户提现。
②提现进度或激励规则不透明
某些应用的提现进度或者激励规则不够清晰透明,在应用内只展示任务当前完成的进度,未明示进度增加标准以及任务达成标准,用户并不知道具体完成多少关,才可以完成任务获得提现机会。
又或者,有些应用用户通过做任务获取奖励,但应用并未明示奖励的标准及概率,部分应用通过这种方式诱导用户观看广告、下载应用等来获取奖励,而实际用户所获得的奖励很少,与期待不符。
③故意使用户任务完成失败
部分应用在用户快要满足提现要求时,故意使用户任务完成失败,从而使用户无法达成提现条件。
④应用满足提现要求但无法有效提现
部分网赚类应用,即使用户达到提现要求,仍然无法有效提现,并且存在多样化的拒绝提现手段。例如,应用未按承诺提供提现机会、暴力拒绝用户提现,以风险环境、作弊用户的理由拒绝用户提现,或存在提现等待时间过长等问题。
⑤虚假广告宣传
部分网赚应用广告通过虚假夸大应用功能的方式来推广、诱导欺骗用户下载应用,用户实际下载使用后发现,应用功能与广告宣传并不相符。
!!!警惕向青少年群体蔓延
有调查发现,在近年来的一些网络犯罪刑事案件中,犯罪团伙往往利用青少年,特别是未成年人“贪小利”“好奇心强”的特点,以“聊聊天发发帖”就能“轻松网赚”的谎言诱骗他们成为帮凶。
特别是疫情期间,青少年群体的网络活跃度较高,不少人受到“网赚”氛围影响,想借机赚点零花钱。犯罪团伙份子利用未成年人心智未成熟、容易受利诱的特点,不断灌输非正当的牟利方法。
(图源网络)
网赚品类应用作为一种新兴的赚钱方式,已经被越来越多的人接受,但部分非良性网赚类应用中存在的风险问题不仅严重侵害了用户权益,也极大影响了行业生态的良性、健康发展。
业内建议,进一步提高治理网络黑灰产的法治化水平刻不容缓,不仅要筑牢“网络并非法外之地”的思想意识底线,更要在网络治理中将每个人的网络行为纳入法律框架之内。
同时,相关互联网内容平台要增强自我监管意识,将社会责任切实转化为经营行动。比如,进一步完善投诉反馈渠道,遇到举报信息应及时受理核实,涉嫌违法的要向有关部门及时报案。(部分内容综合自新华社)
监制:张宁 策划:李政葳 制作:姚坤森
(文图:赵筱尘 巫邓炎)