《2024 OWASP Top 10 基础设施安全风险》报告，由OWASP（开放网络应用安全项目）发布，旨在提升企业和组织对基础设施安全风险、威胁与漏洞的意识，并提供高质量的信息和最佳实践建议。报告列出了2024年最重要的10大基础设施安全风险，并通过案例分析展示了这些风险的实际影响。

---

一、报告背景与目的

• 背景：2024企业信息安全峰会以“直面信息安全挑战，创造最佳实践”为主题，聚焦信息安全技术与实践，致力于推进企业信息安全体系建设。

• 目的：提升对基础设施安全风险的认知，强调内部防御机制的重要性，尤其是威胁检测与监控，以应对内部攻击和潜在威胁。

---

二、OWASP Top 10 基础设施安全风险（2024）

以下是报告中列出的10大基础设施安全风险：

1. ISR01:2024_过时的软件

• 问题：软件未及时更新，存在已知漏洞，易被攻击者利用。

• 建议：保持软件组件最新，实施更新管理流程，关注0day漏洞信息。

2. ISR02:2024_不足的威胁检测

• 问题：内部攻击往往在造成损害后才被发现，缺乏有效的威胁检测机制。

• 建议：在基础设施的多个层面部署威胁检测系统，如SIEM、防火墙、EDR等。

3. ISR03:2024_不安全的配置

• 问题：硬件、软件或网络组件配置不当，暴露于网络威胁。

• 建议：定期进行安全审计，遵循供应商的安全建议，加强员工培训。

4. ISR04:2024_不安全的资源与用户管理

• 问题：资源和用户管理复杂，权限过多或未及时撤销，增加风险。

• 建议：遵循最小权限原则，使用PAM工具，定期更新资源和用户清单。

5. ISR05:2024_不安全的加密使用

• 问题：内部网络加密不足，易被攻击者读取或篡改数据。

• 建议：确保所有通信工具和协议使用安全加密，避免使用不安全的加密方式。

6. ISR06:2024_不安全的网络访问管理

• 问题：缺乏网络隔离和访问控制，攻击者可在内部网络中自由移动。

• 建议：实施网络访问控制（NAC），使用VLAN等技术实现网络隔离。

7. ISR07:2024_不安全的身份验证方法和默认凭据

• 问题：弱密码或默认凭据未更改，易被攻击者利用。

• 建议：强制执行密码复杂度要求，实施多因素身份验证（MFA）。

8. ISR08:2024_信息泄露

• 问题：敏感数据因安全措施不足或员工疏忽而被暴露。

• 建议：实施数据加密、访问控制、定期审计，培养员工安全意识。

9. ISR09:2024_不安全的资源访问和管理组件

• 问题：未经授权的访问可能导致数据泄露或系统中断。

• 建议：实施强认证和授权机制，遵循最小权限原则，定期审查访问权限。

10. ISR10:2024_资产管理和文档记录不足

• 问题：缺乏准确的资产清单和文档记录，难以识别和管理安全漏洞。

• 建议：建立全面的资产管理计划，包括资产清单、分类、生命周期管理和定期审计。

---

三、案例分析

报告通过多个案例展示了上述安全风险的实际影响。例如：

• 过时的软件：某公司因未更新Web服务器软件，被攻击者利用已知漏洞入侵内部网络。

• 不足的威胁检测：某公司因缺乏全面的威胁检测系统，导致恶意软件在内部网络中传播未被及时发现。

• 不安全的配置：某公司因Web应用程序未配置安全头部，被内部员工利用跨站脚本攻击窃取客户数据。

• 信息泄露：某公司因网络共享权限配置错误，导致敏感客户信息被恶意内部人员窃取并出售。

---

四、总结与建议

报告强调，企业和组织必须重视基础设施安全风险，采取全面的安全措施，包括技术解决方案、政策制定和员工培训。通过实施更新管理、威胁检测、安全配置、访问控制和资产管理等措施，可以显著降低安全风险，保护组织免受网络攻击的威胁。

点击下载《2024 OWASP Top 10 基础设施安全风险.pdf》