越过网络层看威胁:为什么全攻击界面才是最重要的

安全
在网络安全上,企业面对的是难以攻克的高地,因为他们需要保护的攻击界面已经扩张了很多,且还在进一步膨胀中。

 随着新技术融入企业环境,安全实践者必须更全面整体地看待企业风险管理。

[[181711]]

几十年来,企业都将自身安全工作重点放在网络边界防御,以及保护服务器、计算机和网络设备方面。然而,在互联世界,“硬件定义的”方法不再具有意义。随着企业转向软件定义的网络,他们需要越过网络层来防护不断扩张的攻击界面并考虑:无边界攻击界面是怎样让今天的企业安全模型失效的?企业可以采取哪些措施来跟上不断进化的威胁?

在网络安全上,企业面对的是难以攻克的高地,因为他们需要保护的攻击界面已经扩张了很多,且还在进一步膨胀中。在过去,保护好网络和终端便已足够,但现在这种应用、云服务和移动设备(比如平板、手机、蓝牙设备和智能手表)越来越多的情况下,企业要面对的,是一个大为延伸了的攻击界面。

全球风险管理调查揭示,今天84%的网络攻击都针对的是应用层而非网络层。企业需要将安全工作的范围扩大到包含进这些新领域。但是,有2个攻击领域是被企业安全人员忽视得最严重的,尽管它们代表了对业务的严重威胁,且越来越受到了黑客的青睐:物联网(IoT)和微服务/容器。

1. 物联网

[[181712]]

虽然政客和安全专家一直在提醒网络攻击的风险,他们却极少(如果有的话)提到IoT相关的风险。鉴于所有设备全球连接性引发的严重安全问题,他们应该做出这方面警告的。

IoT(例如:物理安全系统、灯泡、家电、空调系统)将全球公司企业暴露在了更多的安全威胁之下。

美国中情局(CIA)前CISO罗伯特·比格曼认为,管理个人健康和安全系统的IoT设备,将成为下一个勒索软件金矿。正如自带设备办公现象,公司企业需要调整他们的风险管理实践,扩大风险评估范围,将所有联网设备囊括进来。如果员工的智能手表可被用以窃取公司WiFi口令,那这款手表就落入了公司风险评估的范围内。这种情况下,公司企业面对的主要挑战之一,是怎样存储、追踪、分析由于网络风险评估过程囊括进IoT而产生的大量数据,并让这些数据发挥作用。新兴网络风险管理技术可能会对此有所帮助。

让事情更复杂的是,IoT产品的开发先于通用安全框架或标准的产生。对很多IoT产品而言,安全都只是事后考虑的问题。解决IoT设备安全缺失问题的唯一合理方案,就是设立要求使用可信网络和操作系统的新标准和政府监管。在那之前,企业至少应保证部署的IoT设备遵循标准友好的中心辐射式网络协议,这样能更好地抵御攻击。另外,公司企业或许也可以考虑扩大渗透测试的范围,将这些化外设备包括进来。

2. 微服务/容器

[[181713]]

咨询公司 451 Research 最近的报告指出,近45%的企业要么已经实现,要么计划明年推出微服务架构或基于容器的应用。该数字证实了围绕这些新兴技术的大肆宣传,这些技术应能简化应用开发者和开发运维团队的生活的。微服务被用于有效分解大型应用,使之成为更小巧独特的服务;而容器在这种环境下则被视为微服务架构的天然计算平台。

通常,每个服务出于特定目的提供一组功能,不同服务相互作用以组成整个应用。中型应用由15-25个服务构成。相应地,这些微服务应用的物理特性就与它们的多层次前辈们大不相同了。将传统应用分解成大量微服务实例,自然扩大了攻击界面——因为应用不再集中在少数隔离的服务器上。而且,容器也可在数秒内被中断或关停,导致几乎无法手动追踪所有这些改变。

基于微服务的应用的引入,需要我们重新思考安全假设和实践,将重点放在监视服务间通信、微分段,和未使用及传输中数据的加密上。

最后,企业不应害怕对新兴技术的利用,它们可以提升业务效率,对公司的总体成功做出贡献。然而,安全实践也必须随之应用更整体的方法来搞定企业风险管理。这意味着不仅仅采取更广泛的供应商风险管理,还包括了从新攻击界面上收集安全数据。鉴于大多数IoT设备和微服务都欠缺足够的安全框架或工具来检测安全漏洞,传统方法,比如渗透测试,应重新纳入考虑——尽管它们价格不菲。

责任编辑:武晓燕 来源: 安全牛
相关推荐

2015-06-15 09:48:47

Google开源

2015-06-12 10:03:45

谷歌云计算开源

2015-05-12 15:31:53

2015-06-29 14:41:37

OpenStack企业云平台

2020-07-31 12:40:39

固态硬盘构成

2011-05-24 11:25:17

2009-05-14 10:40:11

网络工程师能力

2020-07-27 18:13:36

电脑主板功能

2019-07-08 10:28:33

网络认证供应商自动化

2023-05-05 16:26:33

2013-02-19 10:12:59

2013-05-14 09:44:41

程序员面试

2018-04-24 15:53:52

2023-05-23 16:08:19

2014-08-26 11:19:21

2010-01-25 13:13:11

2021-09-08 17:36:58

程序员技能开发者

2022-08-26 12:51:54

外部攻击面网络安全网络攻击

2023-07-28 11:03:55

2021-11-09 15:40:47

网络安全网络威胁网络攻击
点赞
收藏

51CTO技术栈公众号