威胁企业安全的新技术频出,相关负责人应采用更全面的企业风险管理方法。
数十年以来,企业和组织都将其安全工作的重心放在网络边界防御,以及如何加强服务器、计算机和网络设备的安全性。随着软件定义网络的普及,攻击面不断扩大,企业需要跳出网络层,并考虑以下问题:边界被打破,攻击面扩大,现有的企业安全模式为什么会因此失效?企业应采取哪些措施,应对快速变化的安全威胁?
enterprise security.jpg
由于需要保护的攻击面急剧扩大,并将继续扩大,欲攻克网络安全问题,企业需要打一场硬仗。过去,企业做好网络层和端点保护就足够了。但现在,各种应用、云服务和移动设备越来越多,企业面对的攻击面也急剧扩大。
这一点在最近一份调查中得到了证实。《全球风险管理调查》(Global Risk Management Survey)发现,如今84%的网络攻击针对的是应用层,而非网络层。企业需要扩大保护面,将新的内容囊括进来。其中,有两个攻击点经常给业务造成重大威胁,也有越来越多的黑客开始利用其中的漏洞,但这两个点却常常被企业安全人员忽视:即物联网(IoT)和微服务/容器。
IoT
随着IoT(包括物理安全系统、灯泡、电器以及暖通系统)的普及,全球范围内的众多企业面对的安全威胁也明显增加。
IoT.jpg
据中情局前首席信息官Robert Bigman称,管理个人健康和安全系统的IoT设备,将会成为下一代勒索软件的重点攻击对象。随着企业员工自带设备(BYOD)现象的增长,企业需要调整其风险管理措施,并将风险评估的范围扩大至所有联网设备。比如说,如果员工的智能手表可以被利用来嗅探企业WiFi密码,那么该手表就落入了企业风险评估的范畴。在这种环境下,将IoT设备纳入风险评估后产生的大量数据,要如何储存、追踪、分析及理解,将成为企业必须面对的重大挑战之一。企业可利用新兴的网络风险管理技术帮助应对这一挑战。
在通用安全框架或标准建立之前,IoT设备的开发早已开始,这就使得问题更加复杂化。对于许多IoT产品而言,安全问题是后来才有的。唯一合理解决IoT设备安全问题的方法,是树立新的标准和准则,要求使用受信网络和操作系统。在相关标准和准则设立之前,企业应强制要求其使用的IoT设备遵守贴近标准的轴辐式网络协议(hub-and-spoke networking protocols),减少被攻击的可能性。此外,企业可能还要考虑对这些外来设备进行渗透测试。
微服务/容器
据451 Research最近发表的报告,近45%的企业已经实现或将在未来12个月中实现微服务架构或基于容器的应用程序。这一数字证实了最近的宣传报道,即简化应用开发过程和开发运维一体化操作的技术已经出现。微服务,其实就是将较大的应用拆分为较小的、特征明显的服务;在这种情况下,容器自然而然成为了微服务架构的计算平台。
ArchiMicro.jpg
一般每种服务通常会为实现某个特定目的,而提供一系列的功能。不同的服务进行交互,组成整个应用程序。中等大小的应用程序通常由15到25个服务组成。这些基于微服务的应用与拥有多层结构的传统应用存在显著差异。将传统应用拆分为大量的微服务实例,自然会扩大攻击面,因为应用不再集中分布于几个独立的服务器上。此外,容器可以在数秒之内启动或关闭,要人工追踪这些变化基本不可能。
引进基于微服务的应用,就要求企业相关人员重新思考安全假设与实践,而且需要特别监控服务间的通信、微切分及动静态数据的加密。
最后,现在出现了许多新兴技术,可提高企业效率,帮助企业获得成功,企业不应该也不能避开这些技术。但是,安全人员应该采用更全面的企业风险管理方法。这意味着他们不仅要采用更全面的供应商风险管理方法,更要从新的攻击面收集安全数据。因为大多数IoT设备和微服务都缺乏合适的安全框架或者工具,来监控或检测安全问题,企业必须重新考虑采用包括渗透测试在内的传统方法。
本文转自d1net(转载)