越过网络层看威胁：为什么全攻击界面才是最重要的

随着新技术融入企业环境，安全实践者必须更全面整体地看待企业风险管理。

几十年来，企业都将自身安全工作重点放在网络边界防御，以及保护服务器、计算机和网络设备方面。然而，在互联世界，“硬件定义的”方法不再具有意义。随着企业转向软件定义的网络，他们需要越过网络层来防护不断扩张的攻击界面并考虑：无边界攻击界面是怎样让今天的企业安全模型失效的？企业可以采取哪些措施来跟上不断进化的威胁？

在网络安全上，企业面对的是难以攻克的高地，因为他们需要保护的攻击界面已经扩张了很多，且还在进一步膨胀中。在过去，保护好网络和终端便已足够，但现在这种应用、云服务和移动设备(比如平板、手机、蓝牙设备和智能手表)越来越多的情况下，企业要面对的，是一个大为延伸了的攻击界面。

全球风险管理调查揭示，今天84%的网络攻击都针对的是应用层而非网络层。企业需要将安全工作的范围扩大到包含进这些新领域。但是，有2个攻击领域是被企业安全人员忽视得最严重的，尽管它们代表了对业务的严重威胁，且越来越受到了黑客的青睐：物联网(IoT)和微服务/容器。

1. 物联网

虽然政客和安全专家一直在提醒网络攻击的风险，他们却极少(如果有的话)提到IoT相关的风险。鉴于所有设备全球连接性引发的严重安全问题，他们应该做出这方面警告的。

IoT(例如：物理安全系统、灯泡、家电、空调系统)将全球公司企业暴露在了更多的安全威胁之下。

美国中情局(CIA)前CISO罗伯特·比格曼认为，管理个人健康和安全系统的IoT设备，将成为下一个勒索软件金矿。正如自带设备办公现象，公司企业需要调整他们的风险管理实践，扩大风险评估范围，将所有联网设备囊括进来。如果员工的智能手表可被用以窃取公司WiFi口令，那这款手表就落入了公司风险评估的范围内。这种情况下，公司企业面对的主要挑战之一，是怎样存储、追踪、分析由于网络风险评估过程囊括进IoT而产生的大量数据，并让这些数据发挥作用。新兴网络风险管理技术可能会对此有所帮助。

让事情更复杂的是，IoT产品的开发先于通用安全框架或标准的产生。对很多IoT产品而言，安全都只是事后考虑的问题。解决IoT设备安全缺失问题的唯一合理方案，就是设立要求使用可信网络和操作系统的新标准和政府监管。在那之前，企业至少应保证部署的IoT设备遵循标准友好的中心辐射式网络协议，这样能更好地抵御攻击。另外，公司企业或许也可以考虑扩大渗透测试的范围，将这些化外设备包括进来。

1. 微服务/容器

咨询公司 451 Research 最近的报告指出，近45%的企业要么已经实现，要么计划明年推出微服务架构或基于容器的应用。该数字证实了围绕这些新兴技术的大肆宣传，这些技术应能简化应用开发者和开发运维团队的生活的。微服务被用于有效分解大型应用，使之成为更小巧独特的服务；而容器在这种环境下则被视为微服务架构的天然计算平台。

通常，每个服务出于特定目的提供一组功能，不同服务相互作用以组成整个应用。中型应用由15-25个服务构成。相应地，这些微服务应用的物理特性就与它们的多层次前辈们大不相同了。将传统应用分解成大量微服务实例，自然扩大了攻击界面——因为应用不再集中在少数隔离的服务器上。而且，容器也可在数秒内被中断或关停，导致几乎无法手动追踪所有这些改变。

基于微服务的应用的引入，需要我们重新思考安全假设和实践，将重点放在监视服务间通信、微分段，和未使用及传输中数据的加密上。

最后，企业不应害怕对新兴技术的利用，它们可以提升业务效率，对公司的总体成功做出贡献。然而，安全实践也必须随之应用更整体的方法来搞定企业风险管理。这意味着不仅仅采取更广泛的供应商风险管理，还包括了从新攻击界面上收集安全数据。鉴于大多数IoT设备和微服务都欠缺足够的安全框架或工具来检测安全漏洞，传统方法，比如渗透测试，应重新纳入考虑——尽管它们价格不菲。

本文转自d1net（转载）