安全專業(yè)人士很多時(shí)候可能會(huì)產(chǎn)生一種虛假的“安全感”，為更好地確保企業(yè)組織安全，我們探索了應(yīng)該做出改變的7個(gè)地方。

遷移云端;安全“左移”(即將安全防護(hù)盡可能地移到開發(fā)流程的早期);購買最新的XDR和欺騙工具。技術(shù)和網(wǎng)絡(luò)安全行業(yè)一直很容易受到營銷炒作的影響，但這些舉動(dòng)真的能夠讓企業(yè)變得更安全嗎?或者它們只是增加了更多的復(fù)雜性?

[[407634]]

從SolarWinds攻擊到微軟Exchange漏洞，重大黑客攻擊事件層出不窮，安全專業(yè)人員如何才能睡個(gè)好覺?他們可能覺得自己正在做正確的事情，但是他們是否只是懷有一種虛假的安全感?

Salt Security技術(shù)布道者M(jìn)ichael Isbitski表示，安全專業(yè)人員應(yīng)該更多地關(guān)注和保護(hù)應(yīng)用編程接口(API)安全，因?yàn)檫@些接口為許多此類技術(shù)提供支持。從托管內(nèi)部云應(yīng)用程序到依賴網(wǎng)關(guān)和傳統(tǒng)補(bǔ)丁管理工具，舊式安全方法對(duì)API安全性的關(guān)注遠(yuǎn)遠(yuǎn)不夠，而現(xiàn)實(shí)是，API很容易受到攻擊者的破壞。

鑒于風(fēng)險(xiǎn)實(shí)在太大，企業(yè)需要謙虛地接受自己對(duì)這些安全方法和工具選擇過于自信的事實(shí)。企業(yè)組織應(yīng)該尋找方法更新他們的工具和過程，以迎接新的網(wǎng)絡(luò)威脅形勢(shì)帶來的挑戰(zhàn)。

我們匯總了7條建議，以幫助安全專業(yè)人員理清部署新興安全概念和技術(shù)過程中需要考慮的事項(xiàng)。

1. 您構(gòu)建的云應(yīng)用程序真的安全嗎?

隨著企業(yè)組織不斷將業(yè)務(wù)遷移至云，他們?cè)跒樵浦匦略O(shè)計(jì)的安全工具上投入了大量資金，常見形式主要為云工作負(fù)載保護(hù)和容器安全工具。此類工具可用于識(shí)別已知的易受攻擊的依賴項(xiàng)、檢測錯(cuò)誤配置、微分段工作負(fù)載以及防止偏離已確定的安全基線。但Kubernetes等平臺(tái)中未修復(fù)的漏洞和錯(cuò)誤配置一直都是攻擊者的切入點(diǎn)，使他們能夠繞過訪問控制，在受感染的集群上運(yùn)行惡意代碼，并部署加密貨幣挖礦程序。

不過遺憾的是，這種新型云安全工具仍然無法解決大部分應(yīng)用層安全問題。這些工具主要解決的是網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全問題，同時(shí)也將應(yīng)用程序繼續(xù)置于脆弱境地。因此，公有云可能是安全的，但這并不意味著您內(nèi)部構(gòu)建的應(yīng)用是安全的。

2. 企業(yè)可以“左移”，但仍然必須“右移”

“左移”概念鼓勵(lì)開發(fā)團(tuán)隊(duì)將安全流程和工具更早地納入軟件開發(fā)生命周期(SDLC)之中，并傳播安全專業(yè)技術(shù)知識(shí)。左移與DevSecOps實(shí)踐緊密相關(guān)，而后者的目標(biāo)是在設(shè)計(jì)、構(gòu)建和部署階段集成和自動(dòng)化安全性。這種做法已經(jīng)為許多企業(yè)帶來了回報(bào)，因?yàn)樗麄兡軌蚋焖俚氐踩裕?yàn)證是否從一開始就適當(dāng)?shù)貎?nèi)置了安全性，同時(shí)降低了SDLC后期修復(fù)漏的成本。

然而，企業(yè)組織不能以犧牲運(yùn)行時(shí)安全為代價(jià)整體左移。開發(fā)人員永遠(yuǎn)無法編寫出完美的代碼，也無法在發(fā)布窗口期內(nèi)足夠廣泛地掃描代碼，而且掃描器的設(shè)計(jì)目的是為了找出遵循明確模式的已知漏洞或弱點(diǎn)。

企業(yè)組織必須明確，“左移”絕不僅僅意味著向左移動(dòng)。但是，從好的方面來說，左移確實(shí)可以讓開發(fā)團(tuán)隊(duì)更快地發(fā)現(xiàn)并修復(fù)大量安全漏洞。

如今，新型攻擊和零日漏洞總會(huì)出現(xiàn)，因此我們?nèi)匀槐仨毐Ｗo(hù)生產(chǎn)中的應(yīng)用程序。很多公司應(yīng)該不會(huì)犧牲運(yùn)行時(shí)安全進(jìn)行左移。而大多數(shù)人已經(jīng)意識(shí)到這兩者均需兼顧。

3. WAF和網(wǎng)關(guān)無法全面保護(hù)API

應(yīng)用程序編程接口(API)允許輕松地機(jī)器對(duì)機(jī)器通信。如今，應(yīng)用程序開發(fā)中的API使用已成為新的實(shí)踐標(biāo)準(zhǔn)，通過集成第三方服務(wù)的功能，開發(fā)人員不用再從無到有自己構(gòu)建所有功能，這樣一來可以加快新產(chǎn)品及服務(wù)的開發(fā)過程。

近年來，API的使用更是呈現(xiàn)爆炸式增長。根據(jù)Akamai的說法，API通信現(xiàn)在占所有互聯(lián)網(wǎng)流量的83%以上。

盡管API支撐著用戶早已習(xí)慣的互動(dòng)式數(shù)字體驗(yàn)，是公司數(shù)字化轉(zhuǎn)型的基礎(chǔ)，但它們同時(shí)也為惡意黑客提供了訪問公司數(shù)據(jù)的多種途徑，成為諸多安全問題的根源所在。

今年5月初，Pen Test Partners 安全研究員 Jan Masters 發(fā)現(xiàn)，他竟然能夠在未經(jīng)身份驗(yàn)證的情況下，向Peloton的官方API提出可獲取其它用戶私人數(shù)據(jù)的請(qǐng)求，且用戶的本地設(shè)備和云端服務(wù)器都如此不設(shè)防。這些數(shù)據(jù)中包括了詳細(xì)的用戶年齡、性別、城市、體重、鍛煉統(tǒng)計(jì)數(shù)據(jù)，甚至可揭示用戶在個(gè)人資料設(shè)置頁面中設(shè)為私密的生日等信息。

除Peloton公司外，最近新聞中曝光的涉及API相關(guān)網(wǎng)絡(luò)安全問題的企業(yè)還包括Equifax、Instagram、Facebook、亞馬遜以及Paypal。

造成這種情況一大原因是，太多企業(yè)假定Web應(yīng)用防火墻(WAF)和API網(wǎng)關(guān)能夠保護(hù)他們的API。實(shí)際上，由于固有的設(shè)計(jì)局限，這些技術(shù)無法阻止大多數(shù)類型的API攻擊，而且它們還會(huì)讓企業(yè)對(duì)其API以及API驅(qū)動(dòng)的應(yīng)用程序產(chǎn)生虛假的安全感。

API對(duì)每個(gè)企業(yè)而言都是獨(dú)一無二的，針對(duì)API的真實(shí)攻擊通常不會(huì)遵循已知漏洞的明確定義模式。對(duì)抗這些安全風(fēng)險(xiǎn)需要運(yùn)行時(shí)安全，無論攻擊者使用哪種攻擊技術(shù)，它都能持續(xù)學(xué)習(xí)API行為并盡早阻止攻擊者。

4. 傳統(tǒng)的補(bǔ)丁和漏洞管理工具無法保護(hù)API

雖然補(bǔ)丁和漏洞管理程序可以幫助安全團(tuán)隊(duì)解決現(xiàn)成軟件和組件中的安全風(fēng)險(xiǎn)，但應(yīng)用程序和API安全策略需要的遠(yuǎn)不止這些。

但是，為了避免淪為99%的已知漏洞的受害者，企業(yè)還是選擇在補(bǔ)丁和漏洞管理方面投入了大量資源。它們通常作為通用漏洞和暴露(CVE)進(jìn)行跟蹤，這是一種有用的分類法，可用于對(duì)已發(fā)布軟件或硬件中定義明確的漏洞進(jìn)行分類。然而，這種方法根本無法捕獲企業(yè)在構(gòu)建或集成應(yīng)用程序與API時(shí)可能引入的各種潛在漏洞以其發(fā)展趨勢(shì)。

攻擊者有時(shí)會(huì)以軟件中眾所周知的漏洞為目標(biāo)，例如最近的Exchange服務(wù)器黑客攻擊事件。然而，更為常見的情況是，攻擊者會(huì)尋找目標(biāo)企業(yè)獨(dú)有的API或API集成中的漏洞。因?yàn)閷?duì)于這些企業(yè)創(chuàng)建或集成的代碼可沒有“補(bǔ)丁”進(jìn)行修復(fù)。

通用缺陷列表(CWE)ID是更適合描述自主開發(fā)的應(yīng)用與API中缺陷的分類法。如果企業(yè)自行開發(fā)代碼或集成其他代碼，那么安全人員應(yīng)該很熟悉CWE和OWASP Top 10。它們是更為相關(guān)的分類法，更適合自行構(gòu)建應(yīng)用程序或API而不是從其他適用CVE ID的地方采購軟件。

根據(jù)官方說法，CWE可以幫助開發(fā)人員和安全從業(yè)人員執(zhí)行以下操作：

• 用通用語言描述和討論軟件及硬件缺陷;
• 檢查現(xiàn)有軟件及硬件產(chǎn)品中的缺陷;
• 評(píng)估針對(duì)這些缺陷的工具的覆蓋率;
• 利用通用基準(zhǔn)執(zhí)行缺陷識(shí)別、緩解和預(yù)防工作;
• 在部署之前防止軟件及硬件漏洞;

5. 基礎(chǔ)意識(shí)培訓(xùn)遠(yuǎn)遠(yuǎn)不夠——尤其是對(duì)于工程師

圍繞勒索軟件攻擊、網(wǎng)絡(luò)釣魚和社會(huì)工程的安全意識(shí)培訓(xùn)受到了極大的關(guān)注，因?yàn)檫@些都是攻擊者慣用的攻擊手段。

不過，企業(yè)對(duì)于這種意識(shí)培訓(xùn)能夠?qū)嶋H改變員工行為的程度做出了太理想的假設(shè)。太多企業(yè)采用的是照單劃勾的方法，通常每年通過第三方提供一到兩次培訓(xùn)，確保員工已經(jīng)完成了這項(xiàng)培訓(xùn)，然后就將之拋諸腦后，直到下次培訓(xùn)繼續(xù)走個(gè)流程。

這顯然遠(yuǎn)遠(yuǎn)不夠，甚至可以說完全是在浪費(fèi)時(shí)間。專注于“時(shí)間點(diǎn)”(point-in-time)的安全培訓(xùn)會(huì)好得多，它能夠改變員工的行為，讓他們以更具安全思維的方式工作。

除此之外，很多企業(yè)專注于應(yīng)用程序安全的培訓(xùn)和意識(shí)仍然十分落后。隨著應(yīng)用程序發(fā)布步伐加速，開發(fā)人員和工程師往往根本沒有時(shí)間參加培訓(xùn)。即便是有時(shí)間學(xué)習(xí)，他們也會(huì)更專注自己感興趣的技術(shù)棧方面，安全性往往被拋諸腦后。

目前，對(duì)于大多數(shù)企業(yè)而言，安全專業(yè)技能仍然短缺，尤其是在“全棧”工程領(lǐng)域。這使得非安全人員在創(chuàng)建或更新應(yīng)用程序時(shí)能夠獲得的指導(dǎo)少之又少。敏捷方法論和DevOps實(shí)踐導(dǎo)致的開發(fā)和發(fā)布時(shí)間線壓縮，也沒給安全設(shè)計(jì)審查或威脅建模演練等安全培訓(xùn)和意識(shí)本可以產(chǎn)生效益的方面留下多少時(shí)間。

缺乏時(shí)間一直是一個(gè)挑戰(zhàn)，但開發(fā)生命周期中的安全左移勢(shì)在必行;安全問題不能被拋擲腦后，從組織的角度考慮，為什么不預(yù)先構(gòu)建安全性呢?

在發(fā)生安全事件或漏洞前預(yù)先構(gòu)建安全性，遠(yuǎn)比進(jìn)行災(zāi)后補(bǔ)救更為節(jié)省成本。但這確實(shí)需要給開發(fā)人員留出時(shí)間來培訓(xùn)和學(xué)習(xí)，也需要開發(fā)人員愿意這么做。意識(shí)培訓(xùn)并非一蹴而就的事情。

6. 僅僅購買新工具并不能確保安全性

企業(yè)組織往往會(huì)覺得只要購買了最新的熱門安全工具，它們就能安全，但事實(shí)并非如此。

員工流失率高，往往導(dǎo)致企業(yè)購買的新工具經(jīng)常出現(xiàn)管理不善，甚至是管理員配置錯(cuò)誤的問題。安全團(tuán)隊(duì)需要自?。何覀兪褂玫氖亲钚掳姹締?我們充分利用了新產(chǎn)品的所有功能嗎?更新過程是否會(huì)覆蓋某些規(guī)則?

人們總是覺得“錢是萬能的”，買的夠多就能解決安全問題。但不幸的是，很多情況下，最初安裝產(chǎn)品的人早已離職。這就是為什么有時(shí)候可能會(huì)有1000條規(guī)則放在那兒，而現(xiàn)任管理員卻不敢貿(mào)然修改它，因?yàn)閭兒ε乱坏﹦?dòng)了會(huì)破壞一些非常重要的東西。

除了技術(shù)方面外，企業(yè)還需要員工具備軟技能——能夠遵循規(guī)程、閱讀文檔、向管理層傳達(dá)問題等。

另外，很多人還認(rèn)為所有這些新產(chǎn)品肯定是完全集成的。這也是擴(kuò)展檢測與響應(yīng)(XDR)興起的原因之一，因?yàn)閄DR本質(zhì)上就是包含了端點(diǎn)、網(wǎng)絡(luò)和云威脅檢測與響應(yīng)的預(yù)集成解決方案。

但不管怎么說，安全問題總歸是個(gè)難題。這也是推動(dòng)托管安全服務(wù)持續(xù)增長的一個(gè)原因，即便是一些頂級(jí)供應(yīng)商也越來越多地提供托管服務(wù)。他們認(rèn)識(shí)到，無論自己的產(chǎn)品平臺(tái)多么集成和有效，還是有越來越多的CISO想要盡可能多地外包技術(shù)管理。而且隨著時(shí)間的推移，這種趨勢(shì)可能會(huì)穩(wěn)步增長。

7. 推出物聯(lián)網(wǎng)產(chǎn)品的企業(yè)并非總是關(guān)注安全性

一家企業(yè)的業(yè)務(wù)重點(diǎn)可能是制造汽車、電子消費(fèi)品或家用電器，但他們未必總能意識(shí)到自己必須在開發(fā)和管理這些產(chǎn)品及其集成移動(dòng)應(yīng)用的代碼方面投入更多的時(shí)間和金錢。

這確實(shí)是計(jì)算不斷演進(jìn)的結(jié)果。不從事軟件開發(fā)業(yè)務(wù)的公司如今也在自主開發(fā)應(yīng)用程序和API，以支持其核心業(yè)務(wù)。但企業(yè)并非總能認(rèn)識(shí)到，對(duì)于許多物聯(lián)網(wǎng)設(shè)備的API和應(yīng)用程序，他們也必須予以適當(dāng)?shù)谋Ｗo(hù)。

如今，隨著5G在美國和很多發(fā)達(dá)國家的普及，各類物聯(lián)網(wǎng)設(shè)備的泛在連接將不僅僅是一種可能，而是會(huì)成為標(biāo)準(zhǔn)實(shí)踐。而許多此類設(shè)備不僅沒有內(nèi)置安全功能，甚至在整個(gè)開發(fā)過程中從未考慮過安全性。

可以說，如果無法對(duì)5G物聯(lián)網(wǎng)提供更好的防護(hù)，那么規(guī)?；奈锫?lián)網(wǎng)僵尸網(wǎng)絡(luò)可能會(huì)卷土重來，尤其是在僵尸網(wǎng)絡(luò)驅(qū)動(dòng)的加密貨幣挖礦對(duì)很多黑客來說越來越有利可圖的情況下。未來十年，物聯(lián)網(wǎng)可能會(huì)成為網(wǎng)絡(luò)安全故事的重要議題之一。

本文翻譯自：

https://www.darkreading.com/cloud/7-modern-day-cybersecurity-realities/d/d-id/1340826?image_number=2