攻擊面膨脹使網(wǎng)絡(luò)層安全“流產(chǎn)”

長(zhǎng)久以來(lái)，企業(yè)都將其安全工作的重點(diǎn)放在網(wǎng)絡(luò)外圍防御以及如何保障服務(wù)器、工作站及網(wǎng)絡(luò)設(shè)備的安全上。但在一個(gè)互聯(lián)的世界中，“硬件定義的”方法已經(jīng)喪失了其意義。伴隨著企業(yè)轉(zhuǎn)換到“軟件定義網(wǎng)絡(luò)”， 企業(yè)需要跳出網(wǎng)絡(luò)層的需要來(lái)保護(hù)其不斷擴(kuò)展的“攻擊面”，并且考慮：外圍缺失的攻擊面如何造成企業(yè)的安全模式無(wú)效？企業(yè)可以采取哪些措施來(lái)跟得上不斷演變的威脅？

在信息安全問(wèn)題上，企業(yè)面臨著一場(chǎng)艱難的戰(zhàn)役，這是因?yàn)槠髽I(yè)需要保護(hù)的攻擊面已經(jīng)有了巨大擴(kuò)展，并且有望進(jìn)一步膨脹。過(guò)去，重視網(wǎng)絡(luò)和端點(diǎn)保護(hù)就足夠了，但如今的應(yīng)用、云服務(wù)、移動(dòng)設(shè)備（例如，平板電腦、藍(lán)牙設(shè)備等）使得企業(yè)的防御面臨著一個(gè)極大擴(kuò)增的攻擊面。

據(jù)GRMS（全球風(fēng)險(xiǎn)管理調(diào)查）的報(bào)告，當(dāng)今，大約有84%的網(wǎng)絡(luò)攻擊針對(duì)的是應(yīng)用層而不是網(wǎng)絡(luò)層。企業(yè)需要擴(kuò)展其覆蓋范圍來(lái)包括這些新區(qū)域。然而，企業(yè)尤其需要關(guān)注如下兩個(gè)被安全專家忽視的攻擊區(qū)域（即使其給企業(yè)帶來(lái)巨大威脅并且被黑客越來(lái)越多地利用）：物聯(lián)網(wǎng)和微服務(wù)/軟件容器。

物聯(lián)網(wǎng)

雖然安全專家一直都在警告企業(yè)注意網(wǎng)絡(luò)攻擊的風(fēng)險(xiǎn)，但對(duì)物聯(lián)網(wǎng)的風(fēng)險(xiǎn)卻重視不夠。因而所有設(shè)備之間的全面連接必然帶來(lái)嚴(yán)重的安全問(wèn)題。

物聯(lián)網(wǎng)（例如，其中的物理安全系統(tǒng)以及空調(diào)系統(tǒng)）將大大小小的公司暴露在更多的安全威脅面前。例如，管理個(gè)人健康和安全系統(tǒng)的物聯(lián)網(wǎng)設(shè)備將成為下一個(gè)被勒索的金礦。

正如企業(yè)對(duì)待BYOD一樣，企業(yè)也需要調(diào)整自己的風(fēng)險(xiǎn)管理方法，并且擴(kuò)展風(fēng)險(xiǎn)評(píng)估的范圍，使其包含所有的連網(wǎng)設(shè)備。如果雇員的智能手表可能被利用窺探公司的無(wú)線網(wǎng)絡(luò)的口令，它就應(yīng)屬于企業(yè)風(fēng)險(xiǎn)評(píng)估范圍的一部分。在此情況下，企業(yè)的首要挑戰(zhàn)之一是如何存儲(chǔ)、跟蹤、分析、理解由網(wǎng)絡(luò)風(fēng)險(xiǎn)評(píng)估過(guò)程中的物聯(lián)網(wǎng)所產(chǎn)生的海量數(shù)據(jù)。新出現(xiàn)的網(wǎng)絡(luò)風(fēng)險(xiǎn)管理技術(shù)可以起到幫助作用。

此外，物聯(lián)網(wǎng)產(chǎn)品的開(kāi)發(fā)往往在普通安全框架或標(biāo)準(zhǔn)的創(chuàng)建之前，這使問(wèn)題更復(fù)雜。對(duì)許多物聯(lián)網(wǎng)產(chǎn)品而言，安全是以后才考慮的問(wèn)題。解決物聯(lián)網(wǎng)設(shè)備中缺乏安全性的唯一合理方案是，建立新的標(biāo)準(zhǔn)和政府規(guī)范，要求物聯(lián)網(wǎng)產(chǎn)品使用可信任的網(wǎng)絡(luò)和操作系統(tǒng)。企業(yè)應(yīng)當(dāng)要求，內(nèi)部部署的物聯(lián)網(wǎng)產(chǎn)品至少遵循友好且不易被攻擊的網(wǎng)絡(luò)協(xié)議。此外，企業(yè)可能希望考慮擴(kuò)展其滲透測(cè)試的范圍，從而包括這些可能存在安全問(wèn)題的設(shè)備。

微服務(wù)與軟件容器

據(jù)調(diào)查，有不少企業(yè)已經(jīng)實(shí)施或計(jì)劃將來(lái)實(shí)施微服務(wù)架構(gòu)或基于軟件容器的應(yīng)用程序。這些新出現(xiàn)的技術(shù)的目的是使應(yīng)用程序開(kāi)發(fā)者和DevOps團(tuán)隊(duì)的工作更輕松。企業(yè)利用微服務(wù)從功能上將大型應(yīng)用分解為更小巧的不同服務(wù)，而此處的軟件容器被看作是微服務(wù)架構(gòu)的一種自然計(jì)算平臺(tái)。

典型情況下，每種服務(wù)都完成一種特定的目的來(lái)提供一套功能，而且不同的服務(wù)還相互作用從而構(gòu)成整個(gè)應(yīng)用。中等規(guī)模的應(yīng)用由20個(gè)左右的服務(wù)組成。這些基于微服務(wù)的應(yīng)用的物理特性不同于早期的多層應(yīng)用。將傳統(tǒng)的應(yīng)用分解為大量的微服務(wù)實(shí)例，自然就擴(kuò)展了攻擊面，因?yàn)閼?yīng)用程序不再集中在幾個(gè)分離的服務(wù)器中。此外，軟件容器只需用幾秒的時(shí)間就可以啟動(dòng)或關(guān)閉，從而使得以人工方式跟蹤這些變化幾乎是不可能的。

基于微服務(wù)的應(yīng)用程序的采用要求重新思考安全設(shè)想和方法，尤其要重視監(jiān)視服務(wù)間的通信、微分段、靜態(tài)和動(dòng)態(tài)的數(shù)據(jù)加密。

最終，企業(yè)不應(yīng)當(dāng)回避利用新出現(xiàn)的技術(shù)來(lái)提升業(yè)務(wù)效率和為企業(yè)的全面成功做出貢獻(xiàn)。但是，安全從業(yè)者們必須對(duì)企業(yè)的風(fēng)險(xiǎn)管理應(yīng)用一種更為整體化的方法。這意味著不僅要對(duì)廠商的風(fēng)險(xiǎn)管理實(shí)施更多的方法，還要從這種新的攻擊面中收集安全數(shù)據(jù)。由于多數(shù)物聯(lián)網(wǎng)設(shè)備和微服務(wù)都缺乏充足的安全框架或工具來(lái)監(jiān)視和檢測(cè)安全問(wèn)題，企業(yè)必須考慮滲透測(cè)試等傳統(tǒng)的方法，而不必過(guò)于關(guān)注成本問(wèn)題。