信息來源:企業(yè)網(wǎng)
隨著新技術融入企業(yè)環(huán)境���,安全實踐者必須更全面整體地看待企業(yè)風險管理�����。
幾十年來���,企業(yè)都將自身安全工作重點放在網(wǎng)絡邊界防御,以及保護服務器����、計算機和網(wǎng)絡設備方面。然而�����,在互聯(lián)世界����,“硬件定義的”方法不再具有意義����。隨著企業(yè)轉(zhuǎn)向軟件定義的網(wǎng)絡���,他們需要越過網(wǎng)絡層來防護不斷擴張的攻擊界面并考慮:無邊界攻擊界面是怎樣讓今天的企業(yè)安全模型失效的�����?企業(yè)可以采取哪些措施來跟上不斷進化的威脅����?
在網(wǎng)絡安全上����,企業(yè)面對的是難以攻克的高地,因為他們需要保護的攻擊界面已經(jīng)擴張了很多����,且還在進一步膨脹中。在過去�����,保護好網(wǎng)絡和終端便已足夠,但現(xiàn)在這種應用���、云服務和移動設備(比如平板、手機�、藍牙設備和智能手表)越來越多的情況下,企業(yè)要面對的����,是一個大為延伸了的攻擊界面。
全球風險管理調(diào)查揭示�����,今天84%的網(wǎng)絡攻擊都針對的是應用層而非網(wǎng)絡層�。企業(yè)需要將安全工作的范圍擴大到包含進這些新領域。但是����,有2個攻擊領域是被企業(yè)安全人員忽視得最嚴重的,盡管它們代表了對業(yè)務的嚴重威脅����,且越來越受到了黑客的青睞:物聯(lián)網(wǎng)(IoT)和微服務/容器。
1. 物聯(lián)網(wǎng)
雖然政客和安全專家一直在提醒網(wǎng)絡攻擊的風險���,他們卻極少(如果有的話)提到IoT相關的風險�����。鑒于所有設備全球連接性引發(fā)的嚴重安全問題�,他們應該做出這方面警告的。
IoT(例如:物理安全系統(tǒng)���、燈泡����、家電�����、空調(diào)系統(tǒng))將全球公司企業(yè)暴露在了更多的安全威脅之下�。
美國中情局(CIA)前CISO羅伯特·比格曼認為,管理個人健康和安全系統(tǒng)的IoT設備����,將成為下一個勒索軟件金礦。正如自帶設備辦公現(xiàn)象����,公司企業(yè)需要調(diào)整他們的風險管理實踐�����,擴大風險評估范圍�����,將所有聯(lián)網(wǎng)設備囊括進來。如果員工的智能手表可被用以竊取公司W(wǎng)iFi口令���,那這款手表就落入了公司風險評估的范圍內(nèi)����。這種情況下����,公司企業(yè)面對的主要挑戰(zhàn)之一,是怎樣存儲����、追蹤、分析由于網(wǎng)絡風險評估過程囊括進IoT而產(chǎn)生的大量數(shù)據(jù)�����,并讓這些數(shù)據(jù)發(fā)揮作用。新興網(wǎng)絡風險管理技術可能會對此有所幫助�����。
讓事情更復雜的是���,IoT產(chǎn)品的開發(fā)先于通用安全框架或標準的產(chǎn)生�。對很多IoT產(chǎn)品而言���,安全都只是事后考慮的問題�����。解決IoT設備安全缺失問題的唯一合理方案����,就是設立要求使用可信網(wǎng)絡和操作系統(tǒng)的新標準和政府監(jiān)管�。在那之前,企業(yè)至少應保證部署的IoT設備遵循標準友好的中心輻射式網(wǎng)絡協(xié)議�,這樣能更好地抵御攻擊。另外���,公司企業(yè)或許也可以考慮擴大滲透測試的范圍���,將這些化外設備包括進來�����。
2. 微服務/容器
咨詢公司 451 Research 最近的報告指出����,近45%的企業(yè)要么已經(jīng)實現(xiàn)����,要么計劃明年推出微服務架構或基于容器的應用���。該數(shù)字證實了圍繞這些新興技術的大肆宣傳�,這些技術應能簡化應用開發(fā)者和開發(fā)運維團隊的生活的����。微服務被用于有效分解大型應用,使之成為更小巧獨特的服務�����;而容器在這種環(huán)境下則被視為微服務架構的天然計算平臺�。
通常����,每個服務出于特定目的提供一組功能�����,不同服務相互作用以組成整個應用����。中型應用由15-25個服務構成。相應地���,這些微服務應用的物理特性就與它們的多層次前輩們大不相同了����。將傳統(tǒng)應用分解成大量微服務實例���,自然擴大了攻擊界面——因為應用不再集中在少數(shù)隔離的服務器上�����。而且����,容器也可在數(shù)秒內(nèi)被中斷或關停,導致幾乎無法手動追蹤所有這些改變����。
基于微服務的應用的引入,需要我們重新思考安全假設和實踐����,將重點放在監(jiān)視服務間通信、微分段�,和未使用及傳輸中數(shù)據(jù)的加密上。
最后����,企業(yè)不應害怕對新興技術的利用,它們可以提升業(yè)務效率����,對公司的總體成功做出貢獻�����。然而�����,安全實踐也必須隨之應用更整體的方法來搞定企業(yè)風險管理。這意味著不僅僅采取更廣泛的供應商風險管理���,還包括了從新攻擊界面上收集安全數(shù)據(jù)����。鑒于大多數(shù)IoT設備和微服務都欠缺足夠的安全框架或工具來檢測安全漏洞����,傳統(tǒng)方法,比如滲透測試�,應重新納入考慮——盡管它們價格不菲。
