随着新技术融入企业环境,安全实践者必须更全面整体地看待企业风险管理。
几十年来,企业都将自身安全工作重点放在网络边界防御,以及保护服务器、计算机和网络设备方面。然而,在互联世界,“硬件定义的”方法不再具有意义。随着企业转向软件定义的网络,他们需要越过网络层来防护不断扩张的攻击界面并考虑:无边界攻击界面是怎样让今天的企业安全模型失效的?企业可以采取哪些措施来跟上不断进化的威胁?
在网络安全上,企业面对的是难以攻克的高地,因为他们需要保护的攻击界面已经扩张了很多,且还在进一步膨胀中。在过去,保护好网络和终端便已足够,但现在这种应用、云服务和移动设备(比如平板、手机、蓝牙设备和智能手表)越来越多的情况下,企业要面对的,是一个大为延伸了的攻击界面。
全球风险管理调查揭示,今天84%的网络攻击都针对的是应用层而非网络层。企业需要将安全工作的范围扩大到包含进这些新领域。但是,有2个攻击领域是被企业安全人员忽视得最严重的,尽管它们代表了对业务的严重威胁,且越来越受到了黑客的青睐:物联网(IoT)和微服务/容器。
1. 物联网
虽然政客和安全专家一直在提醒网络攻击的风险,他们却极少(如果有的话)提到IoT相关的风险。鉴于所有设备全球连接性引发的严重安全问题,他们应该做出这方面警告的。
IoT(例如:物理安全系统、灯泡、家电、空调系统)将全球公司企业暴露在了更多的安全威胁之下。
美国中情局(CIA)前CISO罗伯特·比格曼认为,管理个人健康和安全系统的IoT设备,将成为下一个勒索软件金矿。正如自带设备办公现象,公司企业需要调整他们的风险管理实践,扩大风险评估范围,将所有联网设备囊括进来。如果员工的智能手表可被用以窃取公司WiFi口令,那这款手表就落入了公司风险评估的范围内。这种情况下,公司企业面对的主要挑战之一,是怎样存储、追踪、分析由于网络风险评估过程囊括进IoT而产生的大量数据,并让这些数据发挥作用。新兴网络风险管理技术可能会对此有所帮助。
让事情更复杂的是,IoT产品的开发先于通用安全框架或标准的产生。对很多IoT产品而言,安全都只是事后考虑的问题。解决IoT设备安全缺失问题的唯一合理方案,就是设立要求使用可信网络和操作系统的新标准和政府监管。在那之前,企业至少应保证部署的IoT设备遵循标准友好的中心辐射式网络协议,这样能更好地抵御攻击。另外,公司企业或许也可以考虑扩大渗透测试的范围,将这些化外设备包括进来。
2. 微服务/容器
咨询公司 451 Research 最近的报告指出,近45%的企业要么已经实现,要么计划明年推出微服务架构或基于容器的应用。该数字证实了围绕这些新兴技术的大肆宣传,这些技术应能简化应用开发者和开发运维团队的生活的。微服务被用于有效分解大型应用,使之成为更小巧独特的服务;而容器在这种环境下则被视为微服务架构的天然计算平台。
通常,每个服务出于特定目的提供一组功能,不同服务相互作用以组成整个应用。中型应用由15-25个服务构成。相应地,这些微服务应用的物理特性就与它们的多层次前辈们大不相同了。将传统应用分解成大量微服务实例,自然扩大了攻击界面——因为应用不再集中在少数隔离的服务器上。而且,容器也可在数秒内被中断或关停,导致几乎无法手动追踪所有这些改变。
基于微服务的应用的引入,需要我们重新思考安全假设和实践,将重点放在监视服务间通信、微分段,和未使用及传输中数据的加密上。
最后,企业不应害怕对新兴技术的利用,它们可以提升业务效率,对公司的总体成功做出贡献。然而,安全实践也必须随之应用更整体的方法来搞定企业风险管理。这意味着不仅仅采取更广泛的供应商风险管理,还包括了从新攻击界面上收集安全数据。鉴于大多数IoT设备和微服务都欠缺足够的安全框架或工具来检测安全漏洞,传统方法,比如渗透测试,应重新纳入考虑——尽管它们价格不菲。