越過(guò)網(wǎng)絡(luò)層看威脅:為什么全攻擊界面才是最重要的

責(zé)任編輯:editor005

作者:nana

2017-01-12 14:23:47

摘自:安全牛

隨著新技術(shù)融入企業(yè)環(huán)境,安全實(shí)踐者必須更全面整體地看待企業(yè)風(fēng)險(xiǎn)管理。鑒于大多數(shù)IoT設(shè)備和微服務(wù)都欠缺足夠的安全框架或工具來(lái)檢測(cè)安全漏洞,傳統(tǒng)方法,比如滲透測(cè)試,應(yīng)重新納入考慮——盡管它們價(jià)格不菲。

隨著新技術(shù)融入企業(yè)環(huán)境,安全實(shí)踐者必須更全面整體地看待企業(yè)風(fēng)險(xiǎn)管理。

幾十年來(lái),企業(yè)都將自身安全工作重點(diǎn)放在網(wǎng)絡(luò)邊界防御,以及保護(hù)服務(wù)器、計(jì)算機(jī)和網(wǎng)絡(luò)設(shè)備方面。然而,在互聯(lián)世界,“硬件定義的”方法不再具有意義。隨著企業(yè)轉(zhuǎn)向軟件定義的網(wǎng)絡(luò),他們需要越過(guò)網(wǎng)絡(luò)層來(lái)防護(hù)不斷擴(kuò)張的攻擊界面并考慮:無(wú)邊界攻擊界面是怎樣讓今天的企業(yè)安全模型失效的?企業(yè)可以采取哪些措施來(lái)跟上不斷進(jìn)化的威脅?

在網(wǎng)絡(luò)安全上,企業(yè)面對(duì)的是難以攻克的高地,因?yàn)樗麄冃枰Wo(hù)的攻擊界面已經(jīng)擴(kuò)張了很多,且還在進(jìn)一步膨脹中。在過(guò)去,保護(hù)好網(wǎng)絡(luò)和終端便已足夠,但現(xiàn)在這種應(yīng)用、云服務(wù)和移動(dòng)設(shè)備(比如平板、手機(jī)、藍(lán)牙設(shè)備和智能手表)越來(lái)越多的情況下,企業(yè)要面對(duì)的,是一個(gè)大為延伸了的攻擊界面。

全球風(fēng)險(xiǎn)管理調(diào)查揭示,今天84%的網(wǎng)絡(luò)攻擊都針對(duì)的是應(yīng)用層而非網(wǎng)絡(luò)層。企業(yè)需要將安全工作的范圍擴(kuò)大到包含進(jìn)這些新領(lǐng)域。但是,有2個(gè)攻擊領(lǐng)域是被企業(yè)安全人員忽視得最嚴(yán)重的,盡管它們代表了對(duì)業(yè)務(wù)的嚴(yán)重威脅,且越來(lái)越受到了黑客的青睞:物聯(lián)網(wǎng)(IoT)和微服務(wù)/容器。

1. 物聯(lián)網(wǎng)

雖然政客和安全專家一直在提醒網(wǎng)絡(luò)攻擊的風(fēng)險(xiǎn),他們卻極少(如果有的話)提到IoT相關(guān)的風(fēng)險(xiǎn)。鑒于所有設(shè)備全球連接性引發(fā)的嚴(yán)重安全問(wèn)題,他們應(yīng)該做出這方面警告的。

IoT(例如:物理安全系統(tǒng)、燈泡、家電、空調(diào)系統(tǒng))將全球公司企業(yè)暴露在了更多的安全威脅之下。

美國(guó)中情局(CIA)前CISO羅伯特·比格曼認(rèn)為,管理個(gè)人健康和安全系統(tǒng)的IoT設(shè)備,將成為下一個(gè)勒索軟件金礦。正如自帶設(shè)備辦公現(xiàn)象,公司企業(yè)需要調(diào)整他們的風(fēng)險(xiǎn)管理實(shí)踐,擴(kuò)大風(fēng)險(xiǎn)評(píng)估范圍,將所有聯(lián)網(wǎng)設(shè)備囊括進(jìn)來(lái)。如果員工的智能手表可被用以竊取公司W(wǎng)iFi口令,那這款手表就落入了公司風(fēng)險(xiǎn)評(píng)估的范圍內(nèi)。這種情況下,公司企業(yè)面對(duì)的主要挑戰(zhàn)之一,是怎樣存儲(chǔ)、追蹤、分析由于網(wǎng)絡(luò)風(fēng)險(xiǎn)評(píng)估過(guò)程囊括進(jìn)IoT而產(chǎn)生的大量數(shù)據(jù),并讓這些數(shù)據(jù)發(fā)揮作用。新興網(wǎng)絡(luò)風(fēng)險(xiǎn)管理技術(shù)可能會(huì)對(duì)此有所幫助。

讓事情更復(fù)雜的是,IoT產(chǎn)品的開(kāi)發(fā)先于通用安全框架或標(biāo)準(zhǔn)的產(chǎn)生。對(duì)很多IoT產(chǎn)品而言,安全都只是事后考慮的問(wèn)題。解決IoT設(shè)備安全缺失問(wèn)題的唯一合理方案,就是設(shè)立要求使用可信網(wǎng)絡(luò)和操作系統(tǒng)的新標(biāo)準(zhǔn)和政府監(jiān)管。在那之前,企業(yè)至少應(yīng)保證部署的IoT設(shè)備遵循標(biāo)準(zhǔn)友好的中心輻射式網(wǎng)絡(luò)協(xié)議,這樣能更好地抵御攻擊。另外,公司企業(yè)或許也可以考慮擴(kuò)大滲透測(cè)試的范圍,將這些化外設(shè)備包括進(jìn)來(lái)。

2. 微服務(wù)/容器

 

咨詢公司 451 Research 最近的報(bào)告指出,近45%的企業(yè)要么已經(jīng)實(shí)現(xiàn),要么計(jì)劃明年推出微服務(wù)架構(gòu)或基于容器的應(yīng)用。該數(shù)字證實(shí)了圍繞這些新興技術(shù)的大肆宣傳,這些技術(shù)應(yīng)能簡(jiǎn)化應(yīng)用開(kāi)發(fā)者和開(kāi)發(fā)運(yùn)維團(tuán)隊(duì)的生活的。微服務(wù)被用于有效分解大型應(yīng)用,使之成為更小巧獨(dú)特的服務(wù);而容器在這種環(huán)境下則被視為微服務(wù)架構(gòu)的天然計(jì)算平臺(tái)。

通常,每個(gè)服務(wù)出于特定目的提供一組功能,不同服務(wù)相互作用以組成整個(gè)應(yīng)用。中型應(yīng)用由15-25個(gè)服務(wù)構(gòu)成。相應(yīng)地,這些微服務(wù)應(yīng)用的物理特性就與它們的多層次前輩們大不相同了。將傳統(tǒng)應(yīng)用分解成大量微服務(wù)實(shí)例,自然擴(kuò)大了攻擊界面——因?yàn)閼?yīng)用不再集中在少數(shù)隔離的服務(wù)器上。而且,容器也可在數(shù)秒內(nèi)被中斷或關(guān)停,導(dǎo)致幾乎無(wú)法手動(dòng)追蹤所有這些改變。

基于微服務(wù)的應(yīng)用的引入,需要我們重新思考安全假設(shè)和實(shí)踐,將重點(diǎn)放在監(jiān)視服務(wù)間通信、微分段,和未使用及傳輸中數(shù)據(jù)的加密上。

最后,企業(yè)不應(yīng)害怕對(duì)新興技術(shù)的利用,它們可以提升業(yè)務(wù)效率,對(duì)公司的總體成功做出貢獻(xiàn)。然而,安全實(shí)踐也必須隨之應(yīng)用更整體的方法來(lái)搞定企業(yè)風(fēng)險(xiǎn)管理。這意味著不僅僅采取更廣泛的供應(yīng)商風(fēng)險(xiǎn)管理,還包括了從新攻擊界面上收集安全數(shù)據(jù)。鑒于大多數(shù)IoT設(shè)備和微服務(wù)都欠缺足夠的安全框架或工具來(lái)檢測(cè)安全漏洞,傳統(tǒng)方法,比如滲透測(cè)試,應(yīng)重新納入考慮——盡管它們價(jià)格不菲。

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號(hào)-6京公網(wǎng)安備 11010502049343號(hào)