引言:
飛速發展的云計算和移動應用程序使企業網絡的邊界得到了擴展,單純的網絡安全已經不足以很好的保護組織的網絡,暴露在互聯網上供無數人隨時隨地進行訪問的應用程序,同樣需要得到很好的保護。
看過電影《大魔域》的人都知道,主人公Atreyu的目的就是要尋找幻想國的邊界。然而令他失望的是,幻想國根本就沒有邊界,因為幻想國是人類幻想的產物。
在某種意義上講,幻想國和網絡安全有著異曲同工之處。曾經的網絡安全就像早期還是一座城堡的幻想國一樣,只須守住城池即可,但隨著邊界的不斷擴張,關于如何更好地保護好企業的網絡安全使企業免受入侵,成為了一個難以具體限定和進退其難的問題。
另外,關于到底是在網絡安全中投入更多的時間和資源,還是在應用程序安全中投入更多的時間和資源問題,也和保護企業的安全同等地重要。
邊界造成的困惑
據弗雷斯特研究公司(Forrester Research)最近的一份關于網絡安全的研究報告顯示,2015年安全技術中支出預算的最大部分是在網絡安全,并且有望在未來幾年內持續增加。
“展望未來,41%的決策者預計2016年的網絡安全支出要比2015年至少增加5%,9%的安全決策者則預計2016年的網絡安全支出要比2015年增加10%以上。”
由此可見,雖然應用程序的安全性已經存在了一段時間,IT專業人員卻仍然根深蒂固地固守在傳統的網絡安全。這種情況所造成的結果就是,在安全工具投資的預算上,往往只能二選一。但現實情況中,我們組織的網絡早已經成了幻想國,是沒有邊界的。
模糊的邊界
我們很多人可能會認為,《大魔域》不過是一部童話電影而已。然而,無論是成人世界還是網絡安全領域,都可以從孩子身上學習到很多的東西。在最近一期電臺節目中,一個四年級學生就提出, “網絡安全應當從娃娃抓起”。
他說,雖然自己還是個孩子,但在電腦方面已經比自己的父母懂得多得多了。他指出,要實現良好的安全,不僅需要開發者清除自己代碼中的BUG,而且還需要使用者使用強密碼,否則,很容易就會遭遇入侵。
你看,連孩子都已經意識到網絡安全不僅僅是網絡的事了。在過去二十年中,人們一直都在采取一種由外向內的方法,專注于邊界安全和防火墻。但是,網絡發展到今天早已今非昔比,沒有了所謂的邊界,我們的世界需要互聯,我們的企業需要打開互聯網的大門來做生意。
我們的很多組織認為自己還處在傳統的網絡環境中,卻沒有意識到自己的網絡環境根本沒有界限,邊界早已不復存在。我們在家中購買的設備是為了和外界相互溝通,在企業里的情況也并沒有什么不同。
網絡非常具有穿透性,并且隨著物聯網時代到來,這一趨勢將愈演愈烈。我們的一個基本的方針就是不要再為我們的基礎設施設置樊籬了,我們應該認識到,設備的作用就是用來溝通的。
很多公司了解到自己公司的網絡受到比預期多得多的攻擊時,往往驚訝不已,但作為安全專業人士我們早已見多不怪了。如果一個傳統的系統包含有數據庫、服務器和客戶端,那么我們就認為其處理的瀏覽器連接是不受信任的。對于這樣的企業,風險主要在于備份、災難恢復、事件響應和任何其他外包的未經編輯、加密、審計的連接。
從歷史上看,網絡安全都集中在端口和協議,依賴于掃描網絡流量的能力,屬于典型的企業網絡邊界的范疇。在傳統的網絡安全中,保護網絡的措施包括防火墻、入侵防御系統(IPS)、安全WEB網關(SWG)、分布式拒絕服務(DDoS)保護、虛擬專用網(VPN)等等。
其實,環境感知型網絡安全就已經模糊了網絡安全和應用程序安全之間的界限,網絡安全應用程序和軟件與端點保護設備的集成同樣也在模糊著兩者之間的界限。然而,網絡安全仍然依賴于對企業網絡流量的掃描能力。
應用程序安全帶來的挑戰
云計算和移動應用程序的大范圍普及也在摧毀著傳統網絡安全的邊界圍墻。企業員工已經在公司日常業務中大量使用基于云計算的企業應用程序和移動應用程序,這些基于云計算的應用程序仍然必須得到安全保護。從另一方面講,應用程序安全性更加側重于應用程序如何操作以及如何在這些操作中查找異常操作。
應用程序安全包含WEB應用程序防火墻、數據庫安全、郵件服務器安全、瀏覽器安全和移動應用安全。當然,我們也可以將應用程序代碼的動態測試和靜態測試也包含進去,雖然這些通常是在企業應用程序發布到生產環境之前就已經完成的。
在我們想要保護的東西中建立安全機制不僅對于將來至關重要,對于當前也是如此。連接即是價值,而非什么趕時髦。在設備之間進行連接和建立信任的能力才是設備所具備的真正價值。
那些繼續把資源集中到網絡安全的組織當然也不能說其南轅北轍或是背道而馳,畢竟網絡安全的問題并沒有消失,并且還會一直存在下去。只是其他方面的安全挑戰已經躍然其上,不得不引起足夠的重視了。
設置風險優先級
關鍵資產外部的邊界是相當脆弱的,因為我們現在的網絡構架早已不是當年的組織內網加有限的外部接入了,在互聯網時代,互聯網的接入早已成為主流,而在互聯網接入過程中,大量的應用程序和資源都會暴露在互聯網上。
在互聯網時代,尤其是當前正在高速進入的移動互聯網時代,外部用戶對組織網絡的接入,也已經不再局限于使用單位辦公網絡進行接入了,繁忙的商務人士隨身攜帶筆記本,隨時隨地通過其他的網絡訪問著各個組織的應用程序,甚至每個人也在到處尋找WIFI,走到哪里都是低頭一族,而這些其他的網絡大部分都是未知的網絡,其安全狀況完全是未知的,很容易給網絡攻擊制造切入點。
為了更好的保護自己,安全團隊應當首先搞清楚已經得到保護有哪些,還未得到保護而又亟待需要保護的又有哪些。我們應該對這些設定風險優先級并分步實施,特別是當我們資源有限的情況下。
合理分配資源
對于任何安全團隊最大挑戰就是把時間、精力和資源全部都用到刀刃上。為了更好地利用好有限的資源,我們還需要了解最新的漏洞,并能夠快速分析和理解這些漏洞可能所帶來的影響。
信息網絡安全歷來側重于保護周邊邊界,但隨著互聯網的普及和移動應用時代的到來,越來越多的信息通過網絡和應用程序暴露在互聯網上,這才是各個公司當下所面臨的挑戰。
如今的信息網絡安全已經不單單是網絡安全問題或應用程序安全的問題了,它已經上升到了組織風險管理的層面了。我們當前最實際的解決方案應當基于數據或應用程序的敏感性,并結合對風險高低的評估來設定優先級。
無論是應用程序和還是網絡都存在風險,并且有遭遇惡意黑客通過接入互聯網的網絡或應用程序內部來獲取敏感信息的可能。我們要對我們的基礎設施了如指掌,對我們的應用程序的對外暴露情況心知肚明。
這不是二選一的問題。我們不能只固守網絡安全,而忽視應用程序安全,同時,也不能只重視應用程序安全,而忽略了網絡安全。我們需要在網絡安全和應用程序安全中更合理的分配資源。而所謂的合理分配,應當是基于我們從風險的角度對兩者進行分析和權衡的結果。
京公網安備 11010502049343號