安全信息和事件管理系統(tǒng) (SIEM) 想要訪問遺留應(yīng)用程序中的日志文件和其他數(shù)據(jù)通常比較困難。下面是一些能夠提高可見性的方法。

[[272020]]

隨著公司越來越善于通過分析日志數(shù)據(jù)發(fā)現(xiàn)潛在的安全威脅，遺留應(yīng)用程序會(huì)帶來難以覆蓋的盲區(qū)。數(shù)據(jù)安全公司Spirion的首席創(chuàng)新官Gabriel Gumbs表示：現(xiàn)代SIEM (Security Information and Event Management，安全信息和事件管理)已經(jīng)超越了它們自己的傳統(tǒng)功能集，成為了先進(jìn)的威脅檢測(cè)和響應(yīng)平臺(tái)。

他表示遺留應(yīng)用程序提供的日志數(shù)據(jù)并不總是能夠有效的遷移到這些平臺(tái)上。例如，遺留應(yīng)用程序可能會(huì)報(bào)告誰(shuí)有權(quán)訪問系統(tǒng)，但不會(huì)報(bào)告他們有權(quán)訪問這些系統(tǒng)中的哪些內(nèi)容。這個(gè)可見性問題需要解決，他說道。

當(dāng)必須監(jiān)控遺留應(yīng)用程序來發(fā)現(xiàn)威脅時(shí)，問題會(huì)更加嚴(yán)重。例如，這些應(yīng)用程序被構(gòu)建時(shí)的安全需求可能與我們今天的需求大不相同，或者它們是在廣泛使用最佳實(shí)踐前被構(gòu)建的。

這些遺留應(yīng)用程序還可能擁有已知的漏洞，需要過時(shí)和不安全的基礎(chǔ)設(shè)施，或訪問敏感數(shù)據(jù)或關(guān)鍵系統(tǒng)。“以能源行業(yè)為例”，總部位于英國(guó)的初創(chuàng)企業(yè) Furnace Ignite(該公司使得從遺留應(yīng)用程序中收集數(shù)據(jù)并將其提供給 SIEM 變得更加容易)首席網(wǎng)絡(luò)安全工程師 David Mound 表示，他們有SCADA基礎(chǔ)設(shè)施，這些東西已經(jīng)存在很多年了。

避免不必要的驚喜

David Mound 表示公司有時(shí)不想接觸正在運(yùn)行的應(yīng)用程序。不僅僅是在能源領(lǐng)域。

遺留應(yīng)用程序常常不能提供公司所需的監(jiān)控。例如，它們可能會(huì)生成性能數(shù)據(jù)，但不能詳細(xì)說明哪些用戶訪問了哪些數(shù)據(jù)，或者缺少了安全研究人員賴以發(fā)現(xiàn)事件的環(huán)境。如果它們生成了日志，這些日志可能也是以某種專有的、難以使用的格式存儲(chǔ)的。

網(wǎng)絡(luò)安全公司 Trustwave 負(fù)責(zé)威脅情報(bào)和檢測(cè)的全球主管 Jeremy Batterman 表示：特別是內(nèi)部開發(fā)的遺留應(yīng)用程序，將會(huì)存在明顯的可見性問題。

他說當(dāng)有網(wǎng)絡(luò)安全事件發(fā)生并需要進(jìn)行調(diào)查時(shí)，這是一個(gè)大問題。他說：在我處理過的事件響應(yīng)案例中，往往是一次性的應(yīng)用程序?qū)е铝藛栴}。

此外，缺少日志記錄可能會(huì)加劇遺留應(yīng)用程序的其他安全問題。例如，在一個(gè)案例中，一個(gè)公司有一個(gè)既連接到互聯(lián)網(wǎng)又連接到其內(nèi)部網(wǎng)絡(luò)的遺留應(yīng)用程序，而沒有把它放在 DMZ 中。

在調(diào)查事故期間，Batterman 表示他經(jīng)常問公司，他們?yōu)槭裁匆Ａ暨@個(gè)遺留應(yīng)用程序。“通常和錢有關(guān)”，他說道。“更常見的情況是，這種方法適用于他們，所以為什么要改變它呢?”埃森哲 (Accenture) 對(duì)聯(lián)邦 IT 主管的一項(xiàng)調(diào)查顯示，37% 的人表示遺留應(yīng)用程序?qū)λ麄兊钟W(wǎng)絡(luò)威脅是一個(gè)阻礙，85% 的人表示除非他們更新技術(shù)，否則他們所在組織機(jī)構(gòu)在未來將受到威脅。

網(wǎng)絡(luò)安全咨詢公司 BTB Security 的管理合伙人 Ron Schlecht 表示，為了發(fā)現(xiàn)環(huán)境中有多少遺留應(yīng)用程序，企業(yè)應(yīng)該把它們作為威脅和漏洞評(píng)估的一部分。他說有時(shí)候企業(yè)很清楚自己的遺留應(yīng)用程序不安全，因?yàn)樗麄冊(cè)谠噲D擺脫它們。

遺留應(yīng)用程序有時(shí)會(huì)被忽略。在大多數(shù)情況下，這些應(yīng)用程序很少會(huì)被使用，或者僅被較小的部門使用，因?yàn)闆]有任何問題，人們會(huì)繼續(xù)使用它們。

有時(shí)候應(yīng)用程序已經(jīng)被替換了，但是遺留版本仍然在運(yùn)行，這往往讓人驚訝。有時(shí)候，他們只是忘了關(guān)掉它。有時(shí)候，他們?nèi)匀幌Ｍ軌蛟趹?yīng)用程序中訪問舊的歷史數(shù)據(jù)。

Schlect 表示無(wú)論是哪個(gè)原因，這些應(yīng)用程序和服務(wù)器都處于閑置狀態(tài)。任何時(shí)候只要環(huán)境中有這些存在，就有可能會(huì)有人濫用它們。如果應(yīng)用程序正在以管理員權(quán)限運(yùn)行，或者具有可用于升級(jí)訪問權(quán)限的功能，則尤其危險(xiǎn)。如果應(yīng)用程序在舊服務(wù)器上，那么其環(huán)境中也可能存在漏洞。

現(xiàn)代化遺留應(yīng)用程序

Schlecht 表示，第一步是確定原始供應(yīng)商是否能夠幫忙將日志數(shù)據(jù)從遺留系統(tǒng)遷移到 SIEM。也許供應(yīng)商可以提供一個(gè) API 或者至少一些文檔。如果沒有，可以通過定制開發(fā)工作來嘗試從應(yīng)用程序中獲取日志。

另一個(gè)策略是使整個(gè)應(yīng)用程序現(xiàn)代化，而不僅僅是日志功能。這樣不僅滿足了公司的網(wǎng)絡(luò)安全需求，還能夠滿足合規(guī)、可擴(kuò)展性和其他業(yè)務(wù)需求。根據(jù) Gartner的一份報(bào)告，到 2020 年，在數(shù)字商業(yè)創(chuàng)新上每投入一美元，就至少有其三倍的資金花在了傳統(tǒng)應(yīng)用程序的現(xiàn)代化上。這筆投資是值得的。除了安全風(fēng)險(xiǎn)之外，遺留應(yīng)用程序可能無(wú)法滿足當(dāng)今的業(yè)務(wù)需求，無(wú)法跟上技術(shù)變革的步伐，難以進(jìn)行擴(kuò)展，可能會(huì)產(chǎn)生合規(guī)風(fēng)險(xiǎn)，而且維護(hù)成本過高。

根據(jù) Gartner 的另一份報(bào)告，實(shí)現(xiàn)遺留應(yīng)用程序現(xiàn)代化的主要方法有七種：

• 將其封裝，并作為服務(wù)提供。
• 重新托管。
• 將其移動(dòng)到一個(gè)新的運(yùn)行平臺(tái)。
• 重構(gòu)代碼。
• 重新架構(gòu)應(yīng)用程序。
• 完全重建或進(jìn)行重寫。
• 替換應(yīng)用程序，考慮到新的要求和需求。

過度策略

當(dāng)無(wú)法對(duì)傳統(tǒng)應(yīng)用程序進(jìn)行現(xiàn)代化或替換時(shí)，企業(yè)可以采用一些過度策略來解決一些可見性問題。例如，如果一個(gè)應(yīng)用程序有一個(gè)后端數(shù)據(jù)庫(kù)，那么人們就有可能從數(shù)據(jù)庫(kù)本身獲取訪問和使用信息，Trustwave 的 Batterman 說道，如果有流量進(jìn)出應(yīng)用程序，網(wǎng)絡(luò)傳感器可以用來捕獲數(shù)據(jù)包。

Batterman 表示無(wú)論采用哪種過度策略，企業(yè)也應(yīng)該為其遺留應(yīng)用程序進(jìn)行特別保護(hù)。

例如，BTB 的 Schlecht 表示，很多企業(yè)面臨著不得不維護(hù)一個(gè)舊的、不安全的應(yīng)用程序的問題，他們會(huì)將其沙箱化，并將其放到虛擬環(huán)境或云環(huán)境中。這樣，如果它受到攻擊，對(duì)組織機(jī)構(gòu)其他部分的影響將會(huì)是最小的。

【本文是51CTO專欄作者“李少鵬”的原創(chuàng)文章，轉(zhuǎn)載請(qǐng)通過安全牛（微信公眾號(hào)id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文