飞速发展的云计算和移动应用程序使企业网络的边界得到了扩展,单纯的网络安全已经不足以很好的保护组织的网络,暴露在互联网上供无数人随时随地进行访问的应用程序,同样需要得到很好的保护。
看过电影《大魔域》的人都知道,主人公Atreyu的目的就是要寻找幻想国的边界。然而令他失望的是,幻想国根本就没有边界,因为幻想国是人类幻想的产物。
在某种意义上讲,幻想国和网络安全有着异曲同工之处。曾经的网络安全就像早期还是一座城堡的幻想国一样,只须守住城池即可,但随着边界的不断扩张,关于如何更好地保护好企业的网络安全使企业免受入侵,成为了一个难以具体限定和进退其难的问题。
另外,关于到底是在网络安全中投入更多的时间和资源,还是在应用程序安全中投入更多的时间和资源问题,也和保护企业的安全同等地重要。
边界造成的困惑
据弗雷斯特研究公司(Forrester Research)最近的一份关于网络安全的研究报告显示,2015年安全技术中支出预算的最大部分是在网络安全,并且有望在未来几年内持续增加。
“展望未来,41%的决策者预计2016年的网络安全支出要比2015年至少增加5%,9%的安全决策者则预计2016年的网络安全支出要比2015年增加10%以上。”由此可见,虽然应用程序的安全性已经存在了一段时间,IT专业人员却仍然根深蒂固地固守在传统的网络安全。这种情况所造成的结果就是,在安全工具投资的预算上,往往只能二选一。但现实情况中,我们组织的网络早已经成了幻想国,是没有边界的。
模糊的边界
我们很多人可能会认为,《大魔域》不过是一部童话电影而已。然而,无论是成人世界还是网络安全领域,都可以从孩子身上学习到很多的东西。在最近一期电台节目中,一个四年级学生就提出,“网络安全应当从娃娃抓起”。
他说,虽然自己还是个孩子,但在电脑方面已经比自己的父母懂得多得多了。他指出,要实现良好的安全,不仅需要开发者清除自己代码中的BUG,而且还需要使用者使用强密码,否则,很容易就会遭遇入侵。
你看,连孩子都已经意识到网络安全不仅仅是网络的事了。在过去二十年中,人们一直都在采取一种由外向内的方法,专注于边界安全和防火墙。但是,网络发展到今天早已今非昔比,没有了所谓的边界,我们的世界需要互联,我们的企业需要打开互联网的大门来做生意。
我们的很多组织认为自己还处在传统的网络环境中,却没有意识到自己的网络环境根本没有界限,边界早已不复存在。我们在家中购买的设备是为了和外界相互沟通,在企业里的情况也并没有什么不同。
网络非常具有穿透性,并且随着物联网时代到来,这一趋势将愈演愈烈。我们的一个基本的方针就是不要再为我们的基础设施设置樊篱了,我们应该认识到,设备的作用就是用来沟通的。
很多公司了解到自己公司的网络受到比预期多得多的攻击时,往往惊讶不已,但作为安全专业人士我们早已见多不怪了。如果一个传统的系统包含有数据库、服务器和客户端,那么我们就认为其处理的浏览器连接是不受信任的。对于这样的企业,风险主要在于备份、灾难恢复、事件响应和任何其他外包的未经编辑、加密、审计的连接。
从历史上看,网络安全都集中在端口和协议,依赖于扫描网络流量的能力,属于典型的企业网络边界的范畴。在传统的网络安全中,保护网络的措施包括防火墙、入侵防御系统(IPS)、安全WEB网关(SWG)、分布式拒绝服务(DDoS)保护、虚拟专用网(VPN)等等。
其实,环境感知型网络安全就已经模糊了网络安全和应用程序安全之间的界限,网络安全应用程序和软件与端点保护设备的集成同样也在模糊着两者之间的界限。然而,网络安全仍然依赖于对企业网络流量的扫描能力。
应用程序安全带来的挑战
云计算和移动应用程序的大范围普及也在摧毁着传统网络安全的边界围墙。企业员工已经在公司日常业务中大量使用基于云计算的企业应用程序和移动应用程序,这些基于云计算的应用程序仍然必须得到安全保护。从另一方面讲,应用程序安全性更加侧重于应用程序如何操作以及如何在这些操作中查找异常操作。
应用程序安全包含WEB应用程序防火墙、数据库安全、邮件服务器安全、浏览器安全和移动应用安全。当然,我们也可以将应用程序代码的动态测试和静态测试也包含进去,虽然这些通常是在企业应用程序发布到生产环境之前就已经完成的。
在我们想要保护的东西中建立安全机制不仅对于将来至关重要,对于当前也是如此。连接即是价值,而非什么赶时髦。在设备之间进行连接和建立信任的能力才是设备所具备的真正价值。
那些继续把资源集中到网络安全的组织当然也不能说其南辕北辙或是背道而驰,毕竟网络安全的问题并没有消失,并且还会一直存在下去。只是其他方面的安全挑战已经跃然其上,不得不引起足够的重视了。
设置风险优先级
关键资产外部的边界是相当脆弱的,因为我们现在的网络构架早已不是当年的组织内网加有限的外部接入了,在互联网时代,互联网的接入早已成为主流,而在互联网接入过程中,大量的应用程序和资源都会暴露在互联网上。
在互联网时代,尤其是当前正在高速进入的移动互联网时代,外部用户对组织网络的接入,也已经不再局限于使用单位办公网络进行接入了,繁忙的商务人士随身携带笔记本,随时随地通过其他的网络访问着各个组织的应用程序,甚至每个人也在到处寻找WIFI,走到哪里都是低头一族,而这些其他的网络大部分都是未知的网络,其安全状况完全是未知的,很容易给网络攻击制造切入点。
为了更好的保护自己,安全团队应当首先搞清楚已经得到保护有哪些,还未得到保护而又亟待需要保护的又有哪些。我们应该对这些设定风险优先级并分步实施,特别是当我们资源有限的情况下。合理分配资源
对于任何安全团队最大挑战就是把时间、精力和资源全部都用到刀刃上。为了更好地利用好有限的资源,我们还需要了解最新的漏洞,并能够快速分析和理解这些漏洞可能所带来的影响。
信息网络安全历来侧重于保护周边边界,但随着互联网的普及和移动应用时代的到来,越来越多的信息通过网络和应用程序暴露在互联网上,这才是各个公司当下所面临的挑战。
如今的信息网络安全已经不单单是网络安全问题或应用程序安全的问题了,它已经上升到了组织风险管理的层面了。我们当前最实际的解决方案应当基于数据或应用程序的敏感性,并结合对风险高低的评估来设定优先级。
无论是应用程序和还是网络都存在风险,并且有遭遇恶意黑客通过接入互联网的网络或应用程序内部来获取敏感信息的可能。我们要对我们的基础设施了如指掌,对我们的应用程序的对外暴露情况心知肚明。
这不是二选一的问题。我们不能只固守网络安全,而忽视应用程序安全,同时,也不能只重视应用程序安全,而忽略了网络安全。我们需要在网络安全和应用程序安全中更合理的分配资源。而所谓的合理分配,应当是基于我们从风险的角度对两者进行分析和权衡的结果。
