企業承受的攻擊面擴大，安全應該考慮網路層以外的東西

威脅企業安全的新技術頻出，相關負責人應採用更全面的企業風險管理方法。

數十年以來，企業和組織都將其安全工作的重心放在網路邊界防禦，以及如何加強伺服器、計算機和網路設備的安全性。隨著軟體定義網路的普及，攻擊面不斷擴大，企業需要跳出網路層，並考慮以下問題：邊界被打破，攻擊面擴大，現有的企業安全模式為什麼會因此失效？企業應採取哪些措施，應對快速變化的安全威脅？

由於需要保護的攻擊面急劇擴大，並將繼續擴大，欲攻克網路安全問題，企業需要打一場硬仗。過去，企業做好網路層和端點保護就足夠了。但現在，各種應用、雲服務和移動設備越來越多，企業面對的攻擊面也急劇擴大。

這一點在最近一份調查中得到了證實。《全球風險管理調查》（Global Risk Management Survey）發現，如今84%的網路攻擊針對的是應用層，而非網路層。企業需要擴大保護面，將新的內容囊括進來。其中，有兩個攻擊點經常給業務造成重大威脅，也有越來越多的黑客開始利用其中的漏洞，但這兩個點卻常常被企業安全人員忽視：即物聯網（IoT）和微服務/容器。

IoT

隨著IoT（包括物理安全系統、燈泡、電器以及暖通系統）的普及，全球範圍內的眾多企業面對的安全威脅也明顯增加。

據中情局前首席信息官Robert Bigman稱，管理個人健康和安全系統的IoT設備，將會成為下一代勒索軟體的重點攻擊對象。隨著企業員工自帶設備（BYOD）現象的增長，企業需要調整其風險管理措施，並將風險評估的範圍擴大至所有聯網設備。比如說，如果員工的智能手錶可以被利用來嗅探企業WiFi密碼，那麼該手錶就落入了企業風險評估的範疇。在這種環境下，將IoT設備納入風險評估後產生的大量數據，要如何儲存、追蹤、分析及理解，將成為企業必須面對的重大挑戰之一。企業可利用新興的網路風險管理技術幫助應對這一挑戰。

在通用安全框架或標準建立之前，IoT設備的開發早已開始，這就使得問題更加複雜化。對於許多IoT產品而言，安全問題是後來才有的。唯一合理解決IoT設備安全問題的方法，是樹立新的標準和準則，要求使用受信網路和操作系統。在相關標準和準則設立之前，企業應強制要求其使用的IoT設備遵守貼近標準的軸輻式網路協議（hub-and-spoke networking protocols），減少被攻擊的可能性。此外，企業可能還要考慮對這些外來設備進行滲透測試。

微服務/容器

據451 Research最近發表的報告，近45%的企業已經實現或將在未來12個月中實現微服務架構或基於容器的應用程序。這一數字證實了最近的宣傳報道，即簡化應用開發過程和開發運維一體化操作的技術已經出現。微服務，其實就是將較大的應用拆分為較小的、特徵明顯的服務；在這種情況下，容器自然而然成為了微服務架構的計算平台。

一般每種服務通常會為實現某個特定目的，而提供一系列的功能。不同的服務進行交互，組成整個應用程序。中等大小的應用程序通常由15到25個服務組成。這些基於微服務的應用與擁有多層結構的傳統應用存在顯著差異。將傳統應用拆分為大量的微服務實例，自然會擴大攻擊面，因為應用不再集中分布於幾個獨立的伺服器上。此外，容器可以在數秒之內啟動或關閉，要人工追蹤這些變化基本不可能。

引進基於微服務的應用，就要求企業相關人員重新思考安全假設與實踐，而且需要特別監控服務間的通信、微切分及動靜態數據的加密。

最後，現在出現了許多新興技術，可提高企業效率，幫助企業獲得成功，企業不應該也不能避開這些技術。但是，安全人員應該採用更全面的企業風險管理方法。這意味著他們不僅要採用更全面的供應商風險管理方法，更要從新的攻擊面收集安全數據。因為大多數IoT設備和微服務都缺乏合適的安全框架或者工具，來監控或檢測安全問題，企業必須重新考慮採用包括滲透測試在內的傳統方法。

*參考來源：securityweek，FB小編kuma編譯，轉載請註明來自FreeBuf.COM