财富500强的四分之一外部IT资产是网络风险

根据Cyberpion的最新研究，财富500强公司的外部攻击面包含已知的、可利用的漏洞和安全问题 。

这家以色列初创公司在2021年上半年对每家财富500强公司的公共资产和面向互联网的资产进行了“单次扫描”，汇总了其调查结果。

这些组织近四分之三 (73%)的IT基础设施现在位于外部，但这种外包趋势似乎造成了显着的可见性差距。Cyberpion声称，这些资产中约有24%被认为有风险或存在已知漏洞。

这包括四分之一 (25%)的外部托管的基于云的资产至少未通过一项安全测试，例如配置错误的存储。

该报告还声称，财富500强公司平均有126个不同的客户和员工登录页面——但其中10%允许通过未加密的HTTP传输数据或具有无效证书。

Cyberpion声称，财富500强公司还平均连接到951项云资产，但其中近5%容易受到严重滥用。这包括错误配置的AWS存储桶，这可能允许黑客读取或覆盖客户数据或代码。

该供应商警告说，攻击者可能会利用可见性和保护方面的这些漏洞发起Magecart式攻击、DNS劫持或品牌滥用，从而造成财务和声誉损失。

“安全团队通常无法有效抵御来自第三方的攻击，因为他们缺乏对所连接资产的总库存和数量的可见性，”Cyberpion首席执行官Netherel Gelertner说。

“他们不知道这些外部漏洞的暴露程度，也无法识别和减轻这些风险。此外，由于云优先架构和数字化转型计划的趋势，这些互连资产的增长继续呈爆炸式增长，这意味着随着时间的推移，评估和保护攻击面变得更具挑战性。”