威脅企業安全的新技術頻出,相關負責人應采用更全面的企業風險管理方法。
數十年以來,企業和組織都將其安全工作的重心放在網絡邊界防御,以及如何加強服務器、計算機和網絡設備的安全性。隨著軟件定義網絡的普及,攻擊面不斷擴大,企業需要跳出網絡層,并考慮以下問題:邊界被打破,攻擊面擴大,現有的企業安全模式為什么會因此失效?企業應采取哪些措施,應對快速變化的安全威脅?
由于需要保護的攻擊面急劇擴大,并將繼續擴大,欲攻克網絡安全問題,企業需要打一場硬仗。過去,企業做好網絡層和端點保護就足夠了。但現在,各種應用、云服務和移動設備越來越多,企業面對的攻擊面也急劇擴大。
這一點在最近一份調查中得到了證實。《全球風險管理調查》(Global Risk Management Survey)發現,如今84%的網絡攻擊針對的是應用層,而非網絡層。企業需要擴大保護面,將新的內容囊括進來。其中,有兩個攻擊點經常給業務造成重大威脅,也有越來越多的黑客開始利用其中的漏洞,但這兩個點卻常常被企業安全人員忽視:即物聯網(IoT)和微服務/容器。
IoT
隨著IoT(包括物理安全系統、燈泡、電器以及暖通系統)的普及,全球范圍內的眾多企業面對的安全威脅也明顯增加。
據中情局前首席信息官Robert Bigman稱,管理個人健康和安全系統的IoT設備,將會成為下一代勒索軟件的重點攻擊對象。隨著企業員工自帶設備(BYOD)現象的增長,企業需要調整其風險管理措施,并將風險評估的范圍擴大至所有聯網設備。比如說,如果員工的智能手表可以被利用來嗅探企業WiFi密碼,那么該手表就落入了企業風險評估的范疇。在這種環境下,將IoT設備納入風險評估后產生的大量數據,要如何儲存、追蹤、分析及理解,將成為企業必須面對的重大挑戰之一。企業可利用新興的網絡風險管理技術幫助應對這一挑戰。
在通用安全框架或標準建立之前,IoT設備的開發早已開始,這就使得問題更加復雜化。對于許多IoT產品而言,安全問題是后來才有的。唯一合理解決IoT設備安全問題的方法,是樹立新的標準和準則,要求使用受信網絡和操作系統。在相關標準和準則設立之前,企業應強制要求其使用的IoT設備遵守貼近標準的軸輻式網絡協議(hub-and-spoke networking protocols),減少被攻擊的可能性。此外,企業可能還要考慮對這些外來設備進行滲透測試。
微服務/容器
據451 Research最近發表的報告,近45%的企業已經實現或將在未來12個月中實現微服務架構或基于容器的應用程序。這一數字證實了最近的宣傳報道,即簡化應用開發過程和開發運維一體化操作的技術已經出現。微服務,其實就是將較大的應用拆分為較小的、特征明顯的服務;在這種情況下,容器自然而然成為了微服務架構的計算平臺。
一般每種服務通常會為實現某個特定目的,而提供一系列的功能。不同的服務進行交互,組成整個應用程序。中等大小的應用程序通常由15到25個服務組成。這些基于微服務的應用與擁有多層結構的傳統應用存在顯著差異。將傳統應用拆分為大量的微服務實例,自然會擴大攻擊面,因為應用不再集中分布于幾個獨立的服務器上。此外,容器可以在數秒之內啟動或關閉,要人工追蹤這些變化基本不可能。
引進基于微服務的應用,就要求企業相關人員重新思考安全假設與實踐,而且需要特別監控服務間的通信、微切分及動靜態數據的加密。
最后,現在出現了許多新興技術,可提高企業效率,幫助企業獲得成功,企業不應該也不能避開這些技術。但是,安全人員應該采用更全面的企業風險管理方法。這意味著他們不僅要采用更全面的供應商風險管理方法,更要從新的攻擊面收集安全數據。因為大多數IoT設備和微服務都缺乏合適的安全框架或者工具,來監控或檢測安全問題,企業必須重新考慮采用包括滲透測試在內的傳統方法。
京公網安備 11010502049343號