XMCyberL：2024年暴露管理状态报告（英文版）

2024年曝光管理的现状目录执行摘要3关键发现4测量安全态势5测量安全态势5攻击路径初探79列举曝光10收敛点组织⽐较1315查找与分类曝光18IT/⽹络设备中的⻛险曝光23云环境中的⻛险曝光27Active Directory中的⻛险曝光结论2931附录A：按部⻔划分的安全姿势评分33附录 B: 顶级云技术35附录 C: 顶级攻击技术2Navigating the Paths of Risk: The State of Exposure Management in 2024 执行摘要如果您能识别组织暴露于⽹络攻击的所有⽅式，了解对⼿将如何利⽤这些暴露，并优先考虑采取减少⻛险的补救措施，那么这份报告正是关于这些的。本报告呈现了通过XM Cyber持续暴露管理(CEM)平台在2023年进⾏的数⼗万次攻击路径评估中获得的关键⻅解。这些评估揭⽰了影响1100万个被视为业务运营关键实体的4000多万个暴露。从XM Cyber平台收集的数据已进⾏匿名化处理，并提供给Cyentia研究所进⾏独⽴分析，以⽣成接下来的⻅解。每个人都在谈论暴露管理暴露管理似乎是每个⼈当前⼝中的热⻔话题，但定义这意味着什么，以及如何最佳实施连续威胁暴露管理(CTEM)框架仍然引起⼀些混乱。为了摆脱⽆穷⽆尽的漏洞清单困境，组织正在采⽤声称提供更⼴泛暴露类型覆盖范围的技术，并提供额外的背景信息以帮助对这些不同暴露类型进⾏优先排序和⻛险分析。然⽽，背景信息仍然经常限制在每个单独资产或仅专注于⼊侵⻛险，⽐如哪个资产最有可能成为⼊侵点。在XM Cyber，我们提供由我们的XM Attack Graph Analysis™驱动的整体暴露管理已有8年多。我们⾃豪地再次将这些发现提炼到我们年度暴露管理状况报告的第三版中。我们希望这些⻅解能在未来⼀年中增强您安全团队的重要使命。我们在下⼀⻚呈现今年分析的⼀些亮点。3Navigating the Paths of Risk: he State of Exposure Management in 主要发现 管理曝光远不止于CVEs. 糟糕的网络安全卫生状况困扰着端点的安全性. 一刀切的管理方式并不适用于所有曝光情况。组织通常在其环境中拥有约15,000个曝光，攻击者可能利⽤这些曝光。传统基于CVE的漏洞仅占其中不到1％，并且仅占关键资产曝光的11％。79％的