越過網(wǎng)絡(luò)層看威脅:為什么全攻擊界面才是最重要的
隨著新技術(shù)融入企業(yè)環(huán)境,安全實(shí)踐者必須更全面整體地看待企業(yè)風(fēng)險(xiǎn)管理。
幾十年來,企業(yè)都將自身安全工作重點(diǎn)放在網(wǎng)絡(luò)邊界防御,以及保護(hù)服務(wù)器、計(jì)算機(jī)和網(wǎng)絡(luò)設(shè)備方面。然而,在互聯(lián)世界,“硬件定義的”方法不再具有意義。隨著企業(yè)轉(zhuǎn)向軟件定義的網(wǎng)絡(luò),他們需要越過網(wǎng)絡(luò)層來防護(hù)不斷擴(kuò)張的攻擊界面并考慮:無邊界攻擊界面是怎樣讓今天的企業(yè)安全模型失效的?企業(yè)可以采取哪些措施來跟上不斷進(jìn)化的威脅?
在網(wǎng)絡(luò)安全上,企業(yè)面對的是難以攻克的高地,因?yàn)樗麄冃枰Wo(hù)的攻擊界面已經(jīng)擴(kuò)張了很多,且還在進(jìn)一步膨脹中。在過去,保護(hù)好網(wǎng)絡(luò)和終端便已足夠,但現(xiàn)在這種應(yīng)用、云服務(wù)和移動設(shè)備(比如平板、手機(jī)、藍(lán)牙設(shè)備和智能手表)越來越多的情況下,企業(yè)要面對的,是一個大為延伸了的攻擊界面。
全球風(fēng)險(xiǎn)管理調(diào)查揭示,今天84%的網(wǎng)絡(luò)攻擊都針對的是應(yīng)用層而非網(wǎng)絡(luò)層。企業(yè)需要將安全工作的范圍擴(kuò)大到包含進(jìn)這些新領(lǐng)域。但是,有2個攻擊領(lǐng)域是被企業(yè)安全人員忽視得最嚴(yán)重的,盡管它們代表了對業(yè)務(wù)的嚴(yán)重威脅,且越來越受到了黑客的青睞:物聯(lián)網(wǎng)(IoT)和微服務(wù)/容器。
1. 物聯(lián)網(wǎng)
雖然政客和安全專家一直在提醒網(wǎng)絡(luò)攻擊的風(fēng)險(xiǎn),他們卻極少(如果有的話)提到IoT相關(guān)的風(fēng)險(xiǎn)。鑒于所有設(shè)備全球連接性引發(fā)的嚴(yán)重安全問題,他們應(yīng)該做出這方面警告的。
IoT(例如:物理安全系統(tǒng)、燈泡、家電、空調(diào)系統(tǒng))將全球公司企業(yè)暴露在了更多的安全威脅之下。
美國中情局(CIA)前CISO羅伯特·比格曼認(rèn)為,管理個人健康和安全系統(tǒng)的IoT設(shè)備,將成為下一個勒索軟件金礦。正如自帶設(shè)備辦公現(xiàn)象,公司企業(yè)需要調(diào)整他們的風(fēng)險(xiǎn)管理實(shí)踐,擴(kuò)大風(fēng)險(xiǎn)評估范圍,將所有聯(lián)網(wǎng)設(shè)備囊括進(jìn)來。如果員工的智能手表可被用以竊取公司W(wǎng)iFi口令,那這款手表就落入了公司風(fēng)險(xiǎn)評估的范圍內(nèi)。這種情況下,公司企業(yè)面對的主要挑戰(zhàn)之一,是怎樣存儲、追蹤、分析由于網(wǎng)絡(luò)風(fēng)險(xiǎn)評估過程囊括進(jìn)IoT而產(chǎn)生的大量數(shù)據(jù),并讓這些數(shù)據(jù)發(fā)揮作用。新興網(wǎng)絡(luò)風(fēng)險(xiǎn)管理技術(shù)可能會對此有所幫助。
讓事情更復(fù)雜的是,IoT產(chǎn)品的開發(fā)先于通用安全框架或標(biāo)準(zhǔn)的產(chǎn)生。對很多IoT產(chǎn)品而言,安全都只是事后考慮的問題。解決IoT設(shè)備安全缺失問題的唯一合理方案,就是設(shè)立要求使用可信網(wǎng)絡(luò)和操作系統(tǒng)的新標(biāo)準(zhǔn)和政府監(jiān)管。在那之前,企業(yè)至少應(yīng)保證部署的IoT設(shè)備遵循標(biāo)準(zhǔn)友好的中心輻射式網(wǎng)絡(luò)協(xié)議,這樣能更好地抵御攻擊。另外,公司企業(yè)或許也可以考慮擴(kuò)大滲透測試的范圍,將這些化外設(shè)備包括進(jìn)來。
2. 微服務(wù)/容器
咨詢公司 451 Research 最近的報(bào)告指出,近45%的企業(yè)要么已經(jīng)實(shí)現(xiàn),要么計(jì)劃明年推出微服務(wù)架構(gòu)或基于容器的應(yīng)用。該數(shù)字證實(shí)了圍繞這些新興技術(shù)的大肆宣傳,這些技術(shù)應(yīng)能簡化應(yīng)用開發(fā)者和開發(fā)運(yùn)維團(tuán)隊(duì)的生活的。微服務(wù)被用于有效分解大型應(yīng)用,使之成為更小巧獨(dú)特的服務(wù);而容器在這種環(huán)境下則被視為微服務(wù)架構(gòu)的天然計(jì)算平臺。
通常,每個服務(wù)出于特定目的提供一組功能,不同服務(wù)相互作用以組成整個應(yīng)用。中型應(yīng)用由15-25個服務(wù)構(gòu)成。相應(yīng)地,這些微服務(wù)應(yīng)用的物理特性就與它們的多層次前輩們大不相同了。將傳統(tǒng)應(yīng)用分解成大量微服務(wù)實(shí)例,自然擴(kuò)大了攻擊界面——因?yàn)閼?yīng)用不再集中在少數(shù)隔離的服務(wù)器上。而且,容器也可在數(shù)秒內(nèi)被中斷或關(guān)停,導(dǎo)致幾乎無法手動追蹤所有這些改變。
基于微服務(wù)的應(yīng)用的引入,需要我們重新思考安全假設(shè)和實(shí)踐,將重點(diǎn)放在監(jiān)視服務(wù)間通信、微分段,和未使用及傳輸中數(shù)據(jù)的加密上。
最后,企業(yè)不應(yīng)害怕對新興技術(shù)的利用,它們可以提升業(yè)務(wù)效率,對公司的總體成功做出貢獻(xiàn)。然而,安全實(shí)踐也必須隨之應(yīng)用更整體的方法來搞定企業(yè)風(fēng)險(xiǎn)管理。這意味著不僅僅采取更廣泛的供應(yīng)商風(fēng)險(xiǎn)管理,還包括了從新攻擊界面上收集安全數(shù)據(jù)。鑒于大多數(shù)IoT設(shè)備和微服務(wù)都欠缺足夠的安全框架或工具來檢測安全漏洞,傳統(tǒng)方法,比如滲透測試,應(yīng)重新納入考慮——盡管它們價(jià)格不菲。
