“外圍”消亡 企業(yè)安全防護(hù)需要新形態(tài)
過去的幾十年,企業(yè)以部署網(wǎng)絡(luò)安全、身份訪問管理、終端保護(hù)為主,如今,應(yīng)用程序及其處理的數(shù)據(jù)成為企業(yè)的最寶貴資產(chǎn)。對于保護(hù)應(yīng)用程序,網(wǎng)絡(luò)級的安全有不足之處,其中網(wǎng)絡(luò)過濾器對應(yīng)用程序的行為、數(shù)據(jù)流、組成等都知之甚少。
而且,基于網(wǎng)絡(luò)的保護(hù)要求僅適應(yīng)基于外圍的技術(shù),但近幾年來所謂的“外圍”已經(jīng)消亡。公司防火墻也提供了保護(hù),但在員工們使用移動設(shè)備時,就會發(fā)生動態(tài)改變。外圍不復(fù)存在,所以我們?nèi)绾纹谕阑饓ΡWo(hù)員工呢?防火墻如何保護(hù)移動設(shè)備上的應(yīng)用呢?因此,企業(yè)既要利用網(wǎng)絡(luò)級的保護(hù),更要重視利用應(yīng)用級的保護(hù)。
企業(yè)需要雙重保護(hù)
網(wǎng)絡(luò)和應(yīng)用級的安全都非常重要,因為其著重點不同。網(wǎng)絡(luò)級的防御是根據(jù)源地址、目的地址、源端口以及目標(biāo)端口來做出安全決策的。雖然這種安全機(jī)制運行很快,但它并不檢查數(shù)據(jù)包的應(yīng)用層,因而就有可能遺漏針對應(yīng)用層的攻擊。
應(yīng)用層的防御工作要跨越OSI參考模型的全部七層。一般來說,應(yīng)用層的防御在編制時是針對具體應(yīng)用的,并且要掌控大量的應(yīng)用信息。雖然應(yīng)用層防御一般相對較慢,但它可以有效地過濾哪些命令與相關(guān)應(yīng)用結(jié)合使用,并執(zhí)行有效的應(yīng)用分析。所以,如果一個應(yīng)用程序表現(xiàn)出異常行為,安全管理者就有可能在第一時間防止其造成破壞。由于其速度和處理海量通信的能力,我們建議將網(wǎng)絡(luò)防御放在企業(yè)的網(wǎng)關(guān),然后在需要保護(hù)的服務(wù)之前部署應(yīng)用層防御。
任何企業(yè)都有可能面臨應(yīng)用層和網(wǎng)絡(luò)層的攻擊。如今,企業(yè)越來越能夠理解針對應(yīng)用程序的威脅與基于網(wǎng)絡(luò)的威脅一樣可帶來嚴(yán)重威脅,甚至其危害更大。而且,攻擊者正在使用一種新型攻擊:可在應(yīng)用層和網(wǎng)絡(luò)層之間切換的多階攻擊。
攻擊者通過訪問第三方承包商的訪問入口,使用合法的憑據(jù)訪問企業(yè)網(wǎng)絡(luò)。企業(yè)使用應(yīng)用程序控制檢測可疑的登錄,可以檢測或防止此行為。由此,攻擊會通過網(wǎng)絡(luò)轉(zhuǎn)而訪問其它系統(tǒng)。在這里,入侵防御系統(tǒng)(IPS)或基于網(wǎng)絡(luò)的威脅檢測工具就有可以檢測和阻止攻擊。雖然有些企業(yè)并不知道自己如何成了靶子,但通過應(yīng)用程序和網(wǎng)絡(luò)的安全控制使防御者挫敗攻擊者。
攻擊方法
因為網(wǎng)絡(luò)層防御并不了解應(yīng)用層,所以它無法防護(hù)常見的應(yīng)用層攻擊,如緩沖區(qū)溢出、SQL注入、跨站腳本攻擊等。網(wǎng)絡(luò)層防御擅長的是入口過濾、阻止IT禁止的IP地址、出口過濾、防止通信離開網(wǎng)絡(luò),等等。由于應(yīng)用層產(chǎn)品要執(zhí)行更大數(shù)量級的負(fù)載檢查,所以將其用作網(wǎng)關(guān)設(shè)備并且檢查通過網(wǎng)關(guān)的每個數(shù)據(jù)包是很不現(xiàn)實的。
從網(wǎng)絡(luò)方面看,防火墻仍是必須的,而且能夠檢查應(yīng)用程序通信的下一代防火墻是非常關(guān)鍵的。從應(yīng)用程序方面看,在外圍和在一些高風(fēng)險的應(yīng)用服務(wù)器的前面部署WEB安全網(wǎng)關(guān)和應(yīng)用防火墻都非常重要,特權(quán)賬戶的管理產(chǎn)品可以檢測并限制或終止可疑的登錄或?qū)?yīng)用程序的訪問。在終端和網(wǎng)絡(luò)上的威脅檢測產(chǎn)品會越來越重要,因為它擅長檢測繞過外圍的攻擊。
下一階段
應(yīng)用程序的安全領(lǐng)域最先出現(xiàn)的是應(yīng)用程序安全檢測。其中有三種檢測技術(shù)還是不錯的,即靜態(tài)應(yīng)用安全測試(SAST)、動態(tài)應(yīng)用安全測試(DAST)、交互式應(yīng)用安全測試(IAST)。這些測試可以在企業(yè)部署應(yīng)用程序之前就分析其代碼和查找安全漏洞,并模仿黑客的攻擊行為,查找在WEB應(yīng)用程序中有漏洞的控制。
但是,我們還必須強調(diào)應(yīng)用程序的自我保護(hù)技術(shù)。近年出現(xiàn)的就是運行時應(yīng)用程序的自我保護(hù)(RASP)。在應(yīng)用程序運行時,這種技術(shù)實際上可以檢測并識別攻擊,并在攻擊者利用應(yīng)用程序的漏洞之前就加以阻止。這種有重要價值的技術(shù)勢必對技術(shù)和市場有所改變。
