飛速發(fā)展的云計(jì)算和移動(dòng)應(yīng)用程序使企業(yè)網(wǎng)絡(luò)的邊界得到了擴(kuò)展,單純的網(wǎng)絡(luò)安全已經(jīng)不足以很好的保護(hù)組織的網(wǎng)絡(luò),暴露在互聯(lián)網(wǎng)上供無(wú)數(shù)人隨時(shí)隨地進(jìn)行訪(fǎng)問(wèn)的應(yīng)用程序,同樣需要得到很好的保護(hù)。
看過(guò)電影《大魔域》的人都知道,主人公Atreyu的目的就是要尋找幻想國(guó)的邊界。然而令他失望的是,幻想國(guó)根本就沒(méi)有邊界,因?yàn)榛孟雵?guó)是人類(lèi)幻想的產(chǎn)物。
在某種意義上講,幻想國(guó)和網(wǎng)絡(luò)安全有著異曲同工之處。曾經(jīng)的網(wǎng)絡(luò)安全就像早期還是一座城堡的幻想國(guó)一樣,只須守住城池即可,但隨著邊界的不斷擴(kuò)張,關(guān)于如何更好地保護(hù)好企業(yè)的網(wǎng)絡(luò)安全使企業(yè)免受入侵,成為了一個(gè)難以具體限定和進(jìn)退其難的問(wèn)題。
另外,關(guān)于到底是在網(wǎng)絡(luò)安全中投入更多的時(shí)間和資源,還是在應(yīng)用程序安全中投入更多的時(shí)間和資源問(wèn)題,也和保護(hù)企業(yè)的安全同等地重要。
邊界造成的困惑
據(jù)弗雷斯特研究公司(Forrester Research)最近的一份關(guān)于網(wǎng)絡(luò)安全的研究報(bào)告顯示,2015年安全技術(shù)中支出預(yù)算的最大部分是在網(wǎng)絡(luò)安全,并且有望在未來(lái)幾年內(nèi)持續(xù)增加。
“展望未來(lái),41%的決策者預(yù)計(jì)2016年的網(wǎng)絡(luò)安全支出要比2015年至少增加5%,9%的安全決策者則預(yù)計(jì)2016年的網(wǎng)絡(luò)安全支出要比2015年增加10%以上。”由此可見(jiàn),雖然應(yīng)用程序的安全性已經(jīng)存在了一段時(shí)間,IT專(zhuān)業(yè)人員卻仍然根深蒂固地固守在傳統(tǒng)的網(wǎng)絡(luò)安全。這種情況所造成的結(jié)果就是,在安全工具投資的預(yù)算上,往往只能二選一。但現(xiàn)實(shí)情況中,我們組織的網(wǎng)絡(luò)早已經(jīng)成了幻想國(guó),是沒(méi)有邊界的。
模糊的邊界
我們很多人可能會(huì)認(rèn)為,《大魔域》不過(guò)是一部童話(huà)電影而已。然而,無(wú)論是成人世界還是網(wǎng)絡(luò)安全領(lǐng)域,都可以從孩子身上學(xué)習(xí)到很多的東西。在最近一期電臺(tái)節(jié)目中,一個(gè)四年級(jí)學(xué)生就提出,“網(wǎng)絡(luò)安全應(yīng)當(dāng)從娃娃抓起”。
他說(shuō),雖然自己還是個(gè)孩子,但在電腦方面已經(jīng)比自己的父母懂得多得多了。他指出,要實(shí)現(xiàn)良好的安全,不僅需要開(kāi)發(fā)者清除自己代碼中的BUG,而且還需要使用者使用強(qiáng)密碼,否則,很容易就會(huì)遭遇入侵。
你看,連孩子都已經(jīng)意識(shí)到網(wǎng)絡(luò)安全不僅僅是網(wǎng)絡(luò)的事了。在過(guò)去二十年中,人們一直都在采取一種由外向內(nèi)的方法,專(zhuān)注于邊界安全和防火墻。但是,網(wǎng)絡(luò)發(fā)展到今天早已今非昔比,沒(méi)有了所謂的邊界,我們的世界需要互聯(lián),我們的企業(yè)需要打開(kāi)互聯(lián)網(wǎng)的大門(mén)來(lái)做生意。
我們的很多組織認(rèn)為自己還處在傳統(tǒng)的網(wǎng)絡(luò)環(huán)境中,卻沒(méi)有意識(shí)到自己的網(wǎng)絡(luò)環(huán)境根本沒(méi)有界限,邊界早已不復(fù)存在。我們?cè)诩抑匈?gòu)買(mǎi)的設(shè)備是為了和外界相互溝通,在企業(yè)里的情況也并沒(méi)有什么不同。
網(wǎng)絡(luò)非常具有穿透性,并且隨著物聯(lián)網(wǎng)時(shí)代到來(lái),這一趨勢(shì)將愈演愈烈。我們的一個(gè)基本的方針就是不要再為我們的基礎(chǔ)設(shè)施設(shè)置樊籬了,我們應(yīng)該認(rèn)識(shí)到,設(shè)備的作用就是用來(lái)溝通的。
很多公司了解到自己公司的網(wǎng)絡(luò)受到比預(yù)期多得多的攻擊時(shí),往往驚訝不已,但作為安全專(zhuān)業(yè)人士我們?cè)缫岩?jiàn)多不怪了。如果一個(gè)傳統(tǒng)的系統(tǒng)包含有數(shù)據(jù)庫(kù)、服務(wù)器和客戶(hù)端,那么我們就認(rèn)為其處理的瀏覽器連接是不受信任的。對(duì)于這樣的企業(yè),風(fēng)險(xiǎn)主要在于備份、災(zāi)難恢復(fù)、事件響應(yīng)和任何其他外包的未經(jīng)編輯、加密、審計(jì)的連接。
從歷史上看,網(wǎng)絡(luò)安全都集中在端口和協(xié)議,依賴(lài)于掃描網(wǎng)絡(luò)流量的能力,屬于典型的企業(yè)網(wǎng)絡(luò)邊界的范疇。在傳統(tǒng)的網(wǎng)絡(luò)安全中,保護(hù)網(wǎng)絡(luò)的措施包括防火墻、入侵防御系統(tǒng)(IPS)、安全WEB網(wǎng)關(guān)(SWG)、分布式拒絕服務(wù)(DDoS)保護(hù)、虛擬專(zhuān)用網(wǎng)(VPN)等等。
其實(shí),環(huán)境感知型網(wǎng)絡(luò)安全就已經(jīng)模糊了網(wǎng)絡(luò)安全和應(yīng)用程序安全之間的界限,網(wǎng)絡(luò)安全應(yīng)用程序和軟件與端點(diǎn)保護(hù)設(shè)備的集成同樣也在模糊著兩者之間的界限。然而,網(wǎng)絡(luò)安全仍然依賴(lài)于對(duì)企業(yè)網(wǎng)絡(luò)流量的掃描能力。
應(yīng)用程序安全帶來(lái)的挑戰(zhàn)
云計(jì)算和移動(dòng)應(yīng)用程序的大范圍普及也在摧毀著傳統(tǒng)網(wǎng)絡(luò)安全的邊界圍墻。企業(yè)員工已經(jīng)在公司日常業(yè)務(wù)中大量使用基于云計(jì)算的企業(yè)應(yīng)用程序和移動(dòng)應(yīng)用程序,這些基于云計(jì)算的應(yīng)用程序仍然必須得到安全保護(hù)。從另一方面講,應(yīng)用程序安全性更加側(cè)重于應(yīng)用程序如何操作以及如何在這些操作中查找異常操作。
應(yīng)用程序安全包含WEB應(yīng)用程序防火墻、數(shù)據(jù)庫(kù)安全、郵件服務(wù)器安全、瀏覽器安全和移動(dòng)應(yīng)用安全。當(dāng)然,我們也可以將應(yīng)用程序代碼的動(dòng)態(tài)測(cè)試和靜態(tài)測(cè)試也包含進(jìn)去,雖然這些通常是在企業(yè)應(yīng)用程序發(fā)布到生產(chǎn)環(huán)境之前就已經(jīng)完成的。
在我們想要保護(hù)的東西中建立安全機(jī)制不僅對(duì)于將來(lái)至關(guān)重要,對(duì)于當(dāng)前也是如此。連接即是價(jià)值,而非什么趕時(shí)髦。在設(shè)備之間進(jìn)行連接和建立信任的能力才是設(shè)備所具備的真正價(jià)值。
那些繼續(xù)把資源集中到網(wǎng)絡(luò)安全的組織當(dāng)然也不能說(shuō)其南轅北轍或是背道而馳,畢竟網(wǎng)絡(luò)安全的問(wèn)題并沒(méi)有消失,并且還會(huì)一直存在下去。只是其他方面的安全挑戰(zhàn)已經(jīng)躍然其上,不得不引起足夠的重視了。
設(shè)置風(fēng)險(xiǎn)優(yōu)先級(jí)
關(guān)鍵資產(chǎn)外部的邊界是相當(dāng)脆弱的,因?yàn)槲覀儸F(xiàn)在的網(wǎng)絡(luò)構(gòu)架早已不是當(dāng)年的組織內(nèi)網(wǎng)加有限的外部接入了,在互聯(lián)網(wǎng)時(shí)代,互聯(lián)網(wǎng)的接入早已成為主流,而在互聯(lián)網(wǎng)接入過(guò)程中,大量的應(yīng)用程序和資源都會(huì)暴露在互聯(lián)網(wǎng)上。
在互聯(lián)網(wǎng)時(shí)代,尤其是當(dāng)前正在高速進(jìn)入的移動(dòng)互聯(lián)網(wǎng)時(shí)代,外部用戶(hù)對(duì)組織網(wǎng)絡(luò)的接入,也已經(jīng)不再局限于使用單位辦公網(wǎng)絡(luò)進(jìn)行接入了,繁忙的商務(wù)人士隨身攜帶筆記本,隨時(shí)隨地通過(guò)其他的網(wǎng)絡(luò)訪(fǎng)問(wèn)著各個(gè)組織的應(yīng)用程序,甚至每個(gè)人也在到處尋找WIFI,走到哪里都是低頭一族,而這些其他的網(wǎng)絡(luò)大部分都是未知的網(wǎng)絡(luò),其安全狀況完全是未知的,很容易給網(wǎng)絡(luò)攻擊制造切入點(diǎn)。
為了更好的保護(hù)自己,安全團(tuán)隊(duì)?wèi)?yīng)當(dāng)首先搞清楚已經(jīng)得到保護(hù)有哪些,還未得到保護(hù)而又亟待需要保護(hù)的又有哪些。我們應(yīng)該對(duì)這些設(shè)定風(fēng)險(xiǎn)優(yōu)先級(jí)并分步實(shí)施,特別是當(dāng)我們資源有限的情況下。合理分配資源
對(duì)于任何安全團(tuán)隊(duì)最大挑戰(zhàn)就是把時(shí)間、精力和資源全部都用到刀刃上。為了更好地利用好有限的資源,我們還需要了解最新的漏洞,并能夠快速分析和理解這些漏洞可能所帶來(lái)的影響。
信息網(wǎng)絡(luò)安全歷來(lái)側(cè)重于保護(hù)周邊邊界,但隨著互聯(lián)網(wǎng)的普及和移動(dòng)應(yīng)用時(shí)代的到來(lái),越來(lái)越多的信息通過(guò)網(wǎng)絡(luò)和應(yīng)用程序暴露在互聯(lián)網(wǎng)上,這才是各個(gè)公司當(dāng)下所面臨的挑戰(zhàn)。
如今的信息網(wǎng)絡(luò)安全已經(jīng)不單單是網(wǎng)絡(luò)安全問(wèn)題或應(yīng)用程序安全的問(wèn)題了,它已經(jīng)上升到了組織風(fēng)險(xiǎn)管理的層面了。我們當(dāng)前最實(shí)際的解決方案應(yīng)當(dāng)基于數(shù)據(jù)或應(yīng)用程序的敏感性,并結(jié)合對(duì)風(fēng)險(xiǎn)高低的評(píng)估來(lái)設(shè)定優(yōu)先級(jí)。
無(wú)論是應(yīng)用程序和還是網(wǎng)絡(luò)都存在風(fēng)險(xiǎn),并且有遭遇惡意黑客通過(guò)接入互聯(lián)網(wǎng)的網(wǎng)絡(luò)或應(yīng)用程序內(nèi)部來(lái)獲取敏感信息的可能。我們要對(duì)我們的基礎(chǔ)設(shè)施了如指掌,對(duì)我們的應(yīng)用程序的對(duì)外暴露情況心知肚明。
這不是二選一的問(wèn)題。我們不能只固守網(wǎng)絡(luò)安全,而忽視應(yīng)用程序安全,同時(shí),也不能只重視應(yīng)用程序安全,而忽略了網(wǎng)絡(luò)安全。我們需要在網(wǎng)絡(luò)安全和應(yīng)用程序安全中更合理的分配資源。而所謂的合理分配,應(yīng)當(dāng)是基于我們從風(fēng)險(xiǎn)的角度對(duì)兩者進(jìn)行分析和權(quán)衡的結(jié)果。
京公網(wǎng)安備 11010502049343號(hào)