信息來源:企業(yè)網(wǎng)
隨著新技術(shù)融入企業(yè)環(huán)境����,安全實(shí)踐者必須更全面整體地看待企業(yè)風(fēng)險(xiǎn)管理�����。
幾十年來�,企業(yè)都將自身安全工作重點(diǎn)放在網(wǎng)絡(luò)邊界防御����,以及保護(hù)服務(wù)器�、計(jì)算機(jī)和網(wǎng)絡(luò)設(shè)備方面。然而�,在互聯(lián)世界,“硬件定義的”方法不再具有意義���。隨著企業(yè)轉(zhuǎn)向軟件定義的網(wǎng)絡(luò)�����,他們需要越過網(wǎng)絡(luò)層來防護(hù)不斷擴(kuò)張的攻擊界面并考慮:無邊界攻擊界面是怎樣讓今天的企業(yè)安全模型失效的���?企業(yè)可以采取哪些措施來跟上不斷進(jìn)化的威脅���?
在網(wǎng)絡(luò)安全上,企業(yè)面對的是難以攻克的高地�����,因?yàn)樗麄冃枰Wo(hù)的攻擊界面已經(jīng)擴(kuò)張了很多��,且還在進(jìn)一步膨脹中�。在過去,保護(hù)好網(wǎng)絡(luò)和終端便已足夠���,但現(xiàn)在這種應(yīng)用�、云服務(wù)和移動設(shè)備(比如平板�、手機(jī)、藍(lán)牙設(shè)備和智能手表)越來越多的情況下��,企業(yè)要面對的���,是一個(gè)大為延伸了的攻擊界面���。
全球風(fēng)險(xiǎn)管理調(diào)查揭示,今天84%的網(wǎng)絡(luò)攻擊都針對的是應(yīng)用層而非網(wǎng)絡(luò)層���。企業(yè)需要將安全工作的范圍擴(kuò)大到包含進(jìn)這些新領(lǐng)域。但是�,有2個(gè)攻擊領(lǐng)域是被企業(yè)安全人員忽視得最嚴(yán)重的,盡管它們代表了對業(yè)務(wù)的嚴(yán)重威脅��,且越來越受到了黑客的青睞:物聯(lián)網(wǎng)(IoT)和微服務(wù)/容器����。
1. 物聯(lián)網(wǎng)
雖然政客和安全專家一直在提醒網(wǎng)絡(luò)攻擊的風(fēng)險(xiǎn),他們卻極少(如果有的話)提到IoT相關(guān)的風(fēng)險(xiǎn)���。鑒于所有設(shè)備全球連接性引發(fā)的嚴(yán)重安全問題�����,他們應(yīng)該做出這方面警告的���。
IoT(例如:物理安全系統(tǒng)、燈泡���、家電����、空調(diào)系統(tǒng))將全球公司企業(yè)暴露在了更多的安全威脅之下。
美國中情局(CIA)前CISO羅伯特·比格曼認(rèn)為�����,管理個(gè)人健康和安全系統(tǒng)的IoT設(shè)備����,將成為下一個(gè)勒索軟件金礦。正如自帶設(shè)備辦公現(xiàn)象�����,公司企業(yè)需要調(diào)整他們的風(fēng)險(xiǎn)管理實(shí)踐����,擴(kuò)大風(fēng)險(xiǎn)評估范圍,將所有聯(lián)網(wǎng)設(shè)備囊括進(jìn)來�。如果員工的智能手表可被用以竊取公司W(wǎng)iFi口令,那這款手表就落入了公司風(fēng)險(xiǎn)評估的范圍內(nèi)���。這種情況下��,公司企業(yè)面對的主要挑戰(zhàn)之一���,是怎樣存儲�����、追蹤、分析由于網(wǎng)絡(luò)風(fēng)險(xiǎn)評估過程囊括進(jìn)IoT而產(chǎn)生的大量數(shù)據(jù)���,并讓這些數(shù)據(jù)發(fā)揮作用����。新興網(wǎng)絡(luò)風(fēng)險(xiǎn)管理技術(shù)可能會對此有所幫助��。
讓事情更復(fù)雜的是���,IoT產(chǎn)品的開發(fā)先于通用安全框架或標(biāo)準(zhǔn)的產(chǎn)生����。對很多IoT產(chǎn)品而言�����,安全都只是事后考慮的問題。解決IoT設(shè)備安全缺失問題的唯一合理方案����,就是設(shè)立要求使用可信網(wǎng)絡(luò)和操作系統(tǒng)的新標(biāo)準(zhǔn)和政府監(jiān)管。在那之前�,企業(yè)至少應(yīng)保證部署的IoT設(shè)備遵循標(biāo)準(zhǔn)友好的中心輻射式網(wǎng)絡(luò)協(xié)議,這樣能更好地抵御攻擊���。另外����,公司企業(yè)或許也可以考慮擴(kuò)大滲透測試的范圍��,將這些化外設(shè)備包括進(jìn)來����。
2. 微服務(wù)/容器
咨詢公司 451 Research 最近的報(bào)告指出,近45%的企業(yè)要么已經(jīng)實(shí)現(xiàn)���,要么計(jì)劃明年推出微服務(wù)架構(gòu)或基于容器的應(yīng)用�����。該數(shù)字證實(shí)了圍繞這些新興技術(shù)的大肆宣傳���,這些技術(shù)應(yīng)能簡化應(yīng)用開發(fā)者和開發(fā)運(yùn)維團(tuán)隊(duì)的生活的���。微服務(wù)被用于有效分解大型應(yīng)用,使之成為更小巧獨(dú)特的服務(wù)�;而容器在這種環(huán)境下則被視為微服務(wù)架構(gòu)的天然計(jì)算平臺。
通常���,每個(gè)服務(wù)出于特定目的提供一組功能�,不同服務(wù)相互作用以組成整個(gè)應(yīng)用��。中型應(yīng)用由15-25個(gè)服務(wù)構(gòu)成���。相應(yīng)地,這些微服務(wù)應(yīng)用的物理特性就與它們的多層次前輩們大不相同了�����。將傳統(tǒng)應(yīng)用分解成大量微服務(wù)實(shí)例�����,自然擴(kuò)大了攻擊界面——因?yàn)閼?yīng)用不再集中在少數(shù)隔離的服務(wù)器上����。而且���,容器也可在數(shù)秒內(nèi)被中斷或關(guān)停,導(dǎo)致幾乎無法手動追蹤所有這些改變��。
基于微服務(wù)的應(yīng)用的引入����,需要我們重新思考安全假設(shè)和實(shí)踐,將重點(diǎn)放在監(jiān)視服務(wù)間通信�����、微分段���,和未使用及傳輸中數(shù)據(jù)的加密上��。
最后����,企業(yè)不應(yīng)害怕對新興技術(shù)的利用����,它們可以提升業(yè)務(wù)效率�����,對公司的總體成功做出貢獻(xiàn)�����。然而����,安全實(shí)踐也必須隨之應(yīng)用更整體的方法來搞定企業(yè)風(fēng)險(xiǎn)管理���。這意味著不僅僅采取更廣泛的供應(yīng)商風(fēng)險(xiǎn)管理���,還包括了從新攻擊界面上收集安全數(shù)據(jù)���。鑒于大多數(shù)IoT設(shè)備和微服務(wù)都欠缺足夠的安全框架或工具來檢測安全漏洞�,傳統(tǒng)方法���,比如滲透測試����,應(yīng)重新納入考慮——盡管它們價(jià)格不菲。
