信息化觀察網

安全專業(yè)人士很多時候可能會產生一種虛假的“安全感”，為更好地確保企業(yè)組織安全，我們探索了必須做出改變的7個地方。

遷移云端；安全“左移”（即將安全防護盡可能地移到開發(fā)流程的早期）；購買最新的XDR和欺騙工具。技術和網絡安全行業(yè)一直很容易受到營銷炒作的影響，但這些舉動真的能夠讓企業(yè)變得更安全嗎？或者它們只是增加了更多的復雜性？

從SolarWinds攻擊到微軟Exchange漏洞，重大黑客攻擊事件層出不窮，安全專業(yè)人員如何才能睡個好覺？他們可能覺得自己正在做正確的事情，但是他們是否只是懷有一種虛假的安全感？

Salt Security技術布道者Michael Isbitski表示，安全專業(yè)人員應該更多地關注和保護應用編程接口（API）安全，因為這些接口為許多此類技術提供支持。從托管內部云應用程序到依賴網關和傳統(tǒng)補丁管理工具，舊式安全方法對API安全性的關注遠遠不夠，而現(xiàn)實是，API很容易受到攻擊者的破壞。

鑒于風險實在太大，企業(yè)需要謙虛地接受自己對這些安全方法和工具選擇過于自信的事實。企業(yè)組織應該尋找方法更新他們的工具和過程，以迎接新的網絡威脅形勢帶來的挑戰(zhàn)。

我們匯總了7條建議，以幫助安全專業(yè)人員理清部署新興安全概念和技術過程中需要考慮的事項。

1.您構建的云應用程序真的安全嗎？

隨著企業(yè)組織不斷將業(yè)務遷移至云，他們在為云重新設計的安全工具上投入了大量資金，常見形式主要為云工作負載保護和容器安全工具。此類工具可用于識別已知的易受攻擊的依賴項、檢測錯誤配置、微分段工作負載以及防止偏離已確定的安全基線。但Kubernetes等平臺中未修復的漏洞和錯誤配置一直都是攻擊者的切入點，使他們能夠繞過訪問控制，在受感染的集群上運行惡意代碼，并部署加密貨幣挖礦程序。

不過遺憾的是，這種新型云安全工具仍然無法解決大部分應用層安全問題。這些工具主要解決的是網絡安全和基礎設施安全問題，同時也將應用程序繼續(xù)置于脆弱境地。因此，公有云可能是安全的，但這并不意味著您內部構建的應用是安全的。

2.企業(yè)可以“左移”，但仍然必須“右移”

“左移”概念鼓勵開發(fā)團隊將安全流程和工具更早地納入軟件開發(fā)生命周期（SDLC）之中，并傳播安全專業(yè)技術知識。左移與DevSecOps實踐緊密相關，而后者的目標是在設計、構建和部署階段集成和自動化安全性。這種做法已經為許多企業(yè)帶來了回報，因為他們能夠更快速地迭代安全性，驗證是否從一開始就適當?shù)貎戎昧税踩裕瑫r降低了SDLC后期修復漏的成本。

然而，企業(yè)組織不能以犧牲運行時安全為代價整體左移。開發(fā)人員永遠無法編寫出完美的代碼，也無法在發(fā)布窗口期內足夠廣泛地掃描代碼，而且掃描器的設計目的是為了找出遵循明確模式的已知漏洞或弱點。

企業(yè)組織必須明確，“左移”絕不僅僅意味著向左移動。但是，從好的方面來說，左移確實可以讓開發(fā)團隊更快地發(fā)現(xiàn)并修復大量安全漏洞。

如今，新型攻擊和零日漏洞總會出現(xiàn)，因此我們仍然必須保護生產中的應用程序。很多公司應該不會犧牲運行時安全進行左移。而大多數(shù)人已經意識到這兩者均需兼顧。

3.WAF和網關無法全面保護API

應用程序編程接口（API）允許輕松地機器對機器通信。如今，應用程序開發(fā)中的API使用已成為新的實踐標準，通過集成第三方服務的功能，開發(fā)人員不用再從無到有自己構建所有功能，這樣一來可以加快新產品及服務的開發(fā)過程。

近年來，API的使用更是呈現(xiàn)爆炸式增長。根據Akamai的說法，API通信現(xiàn)在占所有互聯(lián)網流量的83％以上。

盡管API支撐著用戶早已習慣的互動式數(shù)字體驗，是公司數(shù)字化轉型的基礎，但它們同時也為惡意黑客提供了訪問公司數(shù)據的多種途徑，成為諸多安全問題的根源所在。

今年5月初，Pen Test Partners安全研究員Jan Masters發(fā)現(xiàn)，他竟然能夠在未經身份驗證的情況下，向Peloton的官方API提出可獲取其它用戶私人數(shù)據的請求，且用戶的本地設備和云端服務器都如此不設防。這些數(shù)據中包括了詳細的用戶年齡、性別、城市、體重、鍛煉統(tǒng)計數(shù)據，甚至可揭示用戶在個人資料設置頁面中設為私密的生日等信息。

除Peloton公司外，最近新聞中曝光的涉及API相關網絡安全問題的企業(yè)還包括Equifax、Instagram、Facebook、亞馬遜以及Paypal。

造成這種情況一大原因是，太多企業(yè)假定Web應用防火墻（WAF）和API網關能夠保護他們的API。實際上，由于固有的設計局限，這些技術無法阻止大多數(shù)類型的API攻擊，而且它們還會讓企業(yè)對其API以及API驅動的應用程序產生虛假的安全感。

API對每個企業(yè)而言都是獨一無二的，針對API的真實攻擊通常不會遵循已知漏洞的明確定義模式。對抗這些安全風險需要運行時安全，無論攻擊者使用哪種攻擊技術，它都能持續(xù)學習API行為并盡早阻止攻擊者。

4.傳統(tǒng)的補丁和漏洞管理工具無法保護API

雖然補丁和漏洞管理程序可以幫助安全團隊解決現(xiàn)成軟件和組件中的安全風險，但應用程序和API安全策略需要的遠不止這些。

但是，為了避免淪為99%的已知漏洞的受害者，企業(yè)還是選擇在補丁和漏洞管理方面投入了大量資源。它們通常作為通用漏洞和暴露（CVE）進行跟蹤，這是一種有用的分類法，可用于對已發(fā)布軟件或硬件中定義明確的漏洞進行分類。然而，這種方法根本無法捕獲企業(yè)在構建或集成應用程序與API時可能引入的各種潛在漏洞以其發(fā)展趨勢。

攻擊者有時會以軟件中眾所周知的漏洞為目標，例如最近的Exchange服務器黑客攻擊事件。然而，更為常見的情況是，攻擊者會尋找目標企業(yè)獨有的API或API集成中的漏洞。因為對于這些企業(yè)創(chuàng)建或集成的代碼可沒有“補丁”進行修復。

通用缺陷列表（CWE）ID是更適合描述自主開發(fā)的應用與API中缺陷的分類法。如果企業(yè)自行開發(fā)代碼或集成其他代碼，那么安全人員應該很熟悉CWE和OWASP Top 10。它們是更為相關的分類法，更適合自行構建應用程序或API而不是從其他適用CVE ID的地方采購軟件。

根據官方說法，CWE可以幫助開發(fā)人員和安全從業(yè)人員執(zhí)行以下操作：

用通用語言描述和討論軟件及硬件缺陷；

檢查現(xiàn)有軟件及硬件產品中的缺陷；

評估針對這些缺陷的工具的覆蓋率；

利用通用基準執(zhí)行缺陷識別、緩解和預防工作；

在部署之前防止軟件及硬件漏洞；

5.基礎意識培訓遠遠不夠——尤其是對于工程師

圍繞勒索軟件攻擊、網絡釣魚和社會工程的安全意識培訓受到了極大的關注，因為這些都是攻擊者慣用的攻擊手段。

不過，企業(yè)對于這種意識培訓能夠實際改變員工行為的程度做出了太理想的假設。太多企業(yè)采用的是照單劃勾的方法，通常每年通過第三方提供一到兩次培訓，確保員工已經完成了這項培訓，然后就將之拋諸腦后，直到下次培訓繼續(xù)走個流程。

這顯然遠遠不夠，甚至可以說完全是在浪費時間。專注于“時間點”（point-in-time）的安全培訓會好得多，它能夠改變員工的行為，讓他們以更具安全思維的方式工作。

除此之外，很多企業(yè)專注于應用程序安全的培訓和意識仍然十分落后。隨著應用程序發(fā)布步伐加速，開發(fā)人員和工程師往往根本沒有時間參加培訓。即便是有時間學習，他們也會更專注自己感興趣的技術棧方面，安全性往往被拋諸腦后。

目前，對于大多數(shù)企業(yè)而言，安全專業(yè)技能仍然短缺，尤其是在“全棧”工程領域。這使得非安全人員在創(chuàng)建或更新應用程序時能夠獲得的指導少之又少。敏捷方法論和DevOps實踐導致的開發(fā)和發(fā)布時間線壓縮，也沒給安全設計審查或威脅建模演練等安全培訓和意識本可以產生效益的方面留下多少時間。

缺乏時間一直是一個挑戰(zhàn)，但開發(fā)生命周期中的安全左移勢在必行；安全問題不能被拋擲腦后，從組織的角度考慮，為什么不預先構建安全性呢？

在發(fā)生安全事件或漏洞前預先構建安全性，遠比進行災后補救更為節(jié)省成本。但這確實需要給開發(fā)人員留出時間來培訓和學習，也需要開發(fā)人員愿意這么做。意識培訓并非一蹴而就的事情。

6.僅僅購買新工具并不能確保安全性

企業(yè)組織往往會覺得只要購買了最新的熱門安全工具，它們就能安全，但事實并非如此。

員工流失率高，往往導致企業(yè)購買的新工具經常出現(xiàn)管理不善，甚至是管理員配置錯誤的問題。安全團隊需要自?。何覀兪褂玫氖亲钚掳姹締?？我們充分利用了新產品的所有功能嗎？更新過程是否會覆蓋某些規(guī)則？

人們總是覺得“錢是萬能的”，買的夠多就能解決安全問題。但不幸的是，很多情況下，最初安裝產品的人早已離職。這就是為什么有時候可能會有1000條規(guī)則放在那兒，而現(xiàn)任管理員卻不敢貿然修改它，因為們害怕一旦動了會破壞一些非常重要的東西。

除了技術方面外，企業(yè)還需要員工具備軟技能——能夠遵循規(guī)程、閱讀文檔、向管理層傳達問題等。

另外，很多人還認為所有這些新產品肯定是完全集成的。這也是擴展檢測與響應（XDR）興起的原因之一，因為XDR本質上就是包含了端點、網絡和云威脅檢測與響應的預集成解決方案。

但不管怎么說，安全問題總歸是個難題。這也是推動托管安全服務持續(xù)增長的一個原因，即便是一些頂級供應商也越來越多地提供托管服務。他們認識到，無論自己的產品平臺多么集成和有效，還是有越來越多的CISO想要盡可能多地外包技術管理。而且隨著時間的推移，這種趨勢可能會穩(wěn)步增長。

7.推出物聯(lián)網產品的企業(yè)并非總是關注安全性

一家企業(yè)的業(yè)務重點可能是制造汽車、電子消費品或家用電器，但他們未必總能意識到自己必須在開發(fā)和管理這些產品及其集成移動應用的代碼方面投入更多的時間和金錢。

這確實是計算不斷演進的結果。不從事軟件開發(fā)業(yè)務的公司如今也在自主開發(fā)應用程序和API，以支持其核心業(yè)務。但企業(yè)并非總能認識到，對于許多物聯(lián)網設備的API和應用程序，他們也必須予以適當?shù)谋Ｗo。

如今，隨著5G在美國和很多發(fā)達國家的普及，各類物聯(lián)網設備的泛在連接將不僅僅是一種可能，而是會成為標準實踐。而許多此類設備不僅沒有內置安全功能，甚至在整個開發(fā)過程中從未考慮過安全性。

可以說，如果無法對5G物聯(lián)網提供更好的防護，那么規(guī)模化的物聯(lián)網僵尸網絡可能會卷土重來，尤其是在僵尸網絡驅動的加密貨幣挖礦對很多黑客來說越來越有利可圖的情況下。未來十年，物聯(lián)網可能會成為網絡安全故事的重要議題之一。