数百万起测试显示公司的安全状况正在恶化

缺乏网站保护、发件人策略框架(SPF)记录和DNSSEC配置使公司容易受到网络钓鱼和数据泄露攻击。

在过去的一年中，由于公司未能适应数据泄露技术并充分保护Web应用程序，公司的平均风险评分有所恶化。

2022年，公司的有效数据泄露风险从前一年的平均得分30分增加到44分(100分表示风险最高)，这表明数据泄露的总体风险增加了。这是根据Cymulate的排名得出的，该公司分析了100万次笔测的数据，其中包括在其生产环境中进行的170万小时攻击性网络安全测试。

该公司在3月28日发布的《2022年网络安全有效性状况》报告中指出，存在各种持续存在的问题，导致风险增加。报告指出，首先，虽然许多公司正在改进网络和组策略的采用和严格性，但攻击者正在适应以避开此类保护。

而且基本要素仍然滞后。该公司发现，在客户环境中发现的前10名cve中，有4家成立超过两年。其中包括高严重程度的WinVerifyTrust签名验证漏洞(CVE-2013-2900)，该漏洞可以允许恶意可执行文件通过安全检查，以及Microsoft Office中的内存破坏漏洞(CVE-2018-0798)。

不过，也有好消息。来自安全评估的数据表明，各大公司都提高了主要平台上恶意软件检测的风险评分，许多攻击都被Web网关阻止了。

Cymulate技术信息总监迈克•德纳波利(Mike DeNapoli)表示，总体而言，企业需要像对待其他业务流程一样对待网络安全，定期检查控制。

他说:“网络安全需要成为一个像对待任何其他业务流程一样的流程，要有制衡和定期审查。首席财务官绝不会允许账簿保持关闭状态，除非每年有一次，但将所有资金作为数据存储的系统通常只在年度渗透测试期间进行检查，这种情况必须改变。”

所有这些都是在公司越来越关注保护整个攻击面、提高对网络攻击的弹性以及防止信息系统中断的背景下出现的。因此，降低复杂性的网络安全服务和产品变得更受欢迎，而大型科技公司也纷纷加入其中，例如微软在8月推出了Defender外部攻击面管理，IBM在6月收购了ASM初创公司Randori。时间会显示这些趋势是否会对风险产生影响。

虽然waf造成的暴露风险已经下降，但数据泄露风险却增加了。

与此同时，Cymulate对一年攻击性网络安全测试的分析还发现，云计算和电子邮件继续为黑客提供丰富的沙盒。