安全专业人士可能会有一种虚幻的“安全感”。为更好地保护机构安全,我们必须在七个方面做出改变。
从SolarWinds攻击到微软Exchange漏洞,重大黑客攻击事件层出不穷。安全人员可能觉得自己正在做正确的事,但他们可能只是抱有虚幻的安全感。
安全“左移”(即将安全防护尽可能地移到开发流程的早期);购买最新的XDR和欺骗工具。技术和网络安全行业一直很容易受到营销炒作的影响,但这些未必真的能让企业变得更安全吗,而只是增加了更多的复杂性。
Salt Security技术布道者Michael Isbitski总结七个需要面对的现实,帮助安全专业人员理清部署新兴安全概念和技术过程中需要考虑的事项。企业需要需要改变其安全方法和技术,以更好应对新的网络威胁。
1. 云安全工具无法解决云应用安全问题
随着企业组织不断将业务迁移至云,他们在为云重新设计的安全工具上投入了大量资金,常见形式主要为云工作负载保护和容器安全工具。此类工具可用于识别已知的易受攻击的依赖项、检测错误配置、微分段工作负载以及防止偏离已确定的安全基线。但Kubernetes等平台中未修复的漏洞和错误配置一直都是攻击者的切入点,使他们能够绕过访问控制,在受感染的集群上运行恶意代码,并部署加密货币挖矿程序。
不过遗憾的是,这种新型云安全工具仍然无法解决大部分应用层安全问题。这些工具主要解决的是网络安全和基础设施安全问题,同时也将应用程序继续置于脆弱境地。因此,公有云可能是安全的,但这并不意味着您内部构建的应用是安全的。
2. 企业可以“左移”,但仍然必须“右移”
“左移”概念鼓励开发团队将安全流程和工具更早地纳入软件开发生命周期(SDLC)之中,并传播安全专业技术知识。左移与DevSecOps实践紧密相关,而后者的目标是在设计、构建和部署阶段集成和自动化安全性。这种做法已经为许多企业带来了回报,因为他们能够更快速地迭代安全性,验证是否从一开始就适当地内置了安全性,同时降低了SDLC后期修复漏的成本。
然而,企业组织不能以牺牲运行时安全为代价整体左移。开发人员永远无法编写出完美的代码,也无法在发布窗口期内足够广泛地扫描代码,扫描器的设计目的是为了找出遵循明确模式的已知漏洞或弱点。
企业组织必须明确,“左移”绝不仅仅意味着向左移动。但是,从好的方面来说,左移确实可以让开发团队更快地发现并修复大量安全漏洞。
如今,新型攻击和零日漏洞总会出现,因此我们仍然必须保护生产中的应用程序。很多公司应该不会牺牲运行时安全进行左移。而大多数人已经意识到这两者均需兼顾。
3. WAF和网关无法全面保护API安全
应用程序编程接口(API)允许轻松地机器对机器通信。如今,应用程序开发中的API使用已成为新的实践标准,通过集成第三方服务的功能,开发人员不用再从无到有自己构建所有功能,这样一来可以加快新产品及服务的开发过程。
近年来,API的使用更是呈现爆炸式增长。根据Akamai的说法,API通信现在占所有互联网流量的83%以上。
尽管API支撑着用户早已习惯的互动式数字体验,是公司数字化转型的基础,但它们同时也为恶意黑客提供了访问公司数据的多种途径,成为诸多安全问题的根源所在。
今年5月初,Pen Test Partners 安全研究员 Jan Masters 发现,他竟然能够在未经身份验证的情况下,向Peloton的官方API提出可获取其它用户私人数据的请求,且用户的本地设备和云端服务器都如此不设防。这些数据中包括了详细的用户年龄、性别、城市、体重、锻炼统计数据,甚至可揭示用户在个人资料设置页面中设为私密的生日等信息。
除Peloton公司外,最近新闻中曝光的涉及API相关网络安全问题的企业还包括Equifax、Instagram、Facebook、亚马逊以及Paypal。
造成这种情况一大原因是,太多企业假定Web应用防火墙(WAF)和API网关能够保护他们的API。实际上,由于固有的设计局限,这些技术无法阻止大多数类型的API攻击,而且它们还会让企业对其API以及API驱动的应用程序产生虚假的安全感。
API对每个企业而言都是独一无二的,针对API的真实攻击通常不会遵循已知漏洞的明确定义模式。对抗这些安全风险需要运行时安全,无论攻击者使用哪种攻击技术,它都能持续学习API行为并尽早阻止攻击者。
4. 传统补丁和漏洞管理工具无法应对集成应用与API的风险
虽然补丁和漏洞管理程序可以帮助安全团队解决现有软件和组件中的安全风险,但应用和API安全策略需要的远不止这些。
但是,为了避免沦为99%的已知漏洞的受害者,企业还是选择在补丁和漏洞管理方面投入了大量资源。它们通常作为通用漏洞和暴露(CVE)进行跟踪,这是一种有用的分类法,可用于对已发布软件或硬件中定义明确的漏洞进行分类。然而,这种方法根本无法捕获企业在构建或集成应用程序与API时可能引入的各种潜在漏洞以其发展趋势。
攻击者有时会以软件中众所周知的漏洞为目标,例如最近的Exchange服务器黑客攻击事件。然而,更为常见的情况是,攻击者会寻找目标企业独有的API或API集成中的漏洞。因为对于这些企业创建或集成的代码可没有“补丁”进行修复。
通用缺陷列表(CWE)ID是更适合描述自主开发的应用与API中缺陷的分类法。如果企业自行开发代码或集成其他代码,那么安全人员应该很熟悉CWE和OWASP Top 10。它们是更为相关的分类法,更适合自行构建应用程序或API而不是从其他适用CVE ID的地方采购软件。
根据官方说法,CWE可以帮助开发人员和安全从业人员执行以下操作:
用通用语言描述和讨论软件及硬件缺陷;
检查现有软件及硬件产品中的缺陷;
评估针对这些缺陷的工具的覆盖率;
利用通用基准执行缺陷识别、缓解和预防工作;
在部署之前防止软件及硬件漏洞;
5. 基础意识培训远远不够——尤其是对于工程师
围绕勒索软件攻击、网络钓鱼和社会工程的安全意识培训受到了极大的关注,因为这些都是攻击者惯用的攻击手段。
不过,企业对于这种意识培训能够实际改变员工行为的程度做出了太理想的假设。太多企业采用的是照单划勾的方法,通常每年通过第三方提供一到两次培训,确保员工已经完成了这项培训,然后就将之抛诸脑后,直到下次培训继续走个流程。
这显然远远不够,甚至可以说完全是在浪费时间。专注于“时间点”(point-in-time)的安全培训会好得多,它能够改变员工的行为,让他们以更具安全思维的方式工作。
除此之外,很多企业专注于应用程序安全的培训和意识仍然十分落后。随着应用程序发布步伐加速,开发人员和工程师往往根本没有时间参加培训。即便是有时间学习,他们也会更专注自己感兴趣的技术栈方面,安全性往往被抛诸脑后。
目前,对于大多数企业而言,安全专业技能仍然短缺,尤其是在“全栈”工程领域。这使得非安全人员在创建或更新应用程序时能够获得的指导少之又少。敏捷方法论和DevOps实践导致的开发和发布时间线压缩,也没给安全设计审查或威胁建模演练等安全培训和意识本可以产生效益的方面留下多少时间。
缺乏时间一直是一个挑战,但开发生命周期中的安全左移势在必行;安全问题不能被抛掷脑后,从组织的角度考虑,为什么不预先构建安全性呢?
在发生安全事件或漏洞前预先构建安全性,远比进行灾后补救更为节省成本。但这确实需要给开发人员留出时间来培训和学习,也需要开发人员愿意这么做。意识培训并非一蹴而就的事情。
6. 仅仅购买新工具并不能确保安全性
企业组织往往会觉得只要购买了最新的热门安全工具,它们就能安全,但事实并非如此。
员工流失率高,往往导致企业购买的新工具经常出现管理不善,甚至是管理员配置错误的问题。安全团队需要自省:我们使用的是最新版本吗?我们充分利用了新产品的所有功能吗?更新过程是否会覆盖某些规则?
人们总是觉得“钱是万能的”,买的够多就能解决安全问题。但不幸的是,很多情况下,最初安装产品的人早已离职。这就是为什么有时候可能会有1000条规则放在那儿,而现任管理员却不敢贸然修改它,因为们害怕一旦动了会破坏一些非常重要的东西。
除了技术方面外,企业还需要员工具备软技能——能够遵循规程、阅读文档、向管理层传达问题等。
另外,很多人还认为所有这些新产品肯定是完全集成的。这也是扩展检测与响应(XDR)兴起的原因之一,因为XDR本质上就是包含了端点、网络和云威胁检测与响应的预集成解决方案。
但不管怎么说,安全问题总归是个难题。这也是推动托管安全服务持续增长的一个原因,即便是一些顶级供应商也越来越多地提供托管服务。他们认识到,无论自己的产品平台多么集成和有效,还是有越来越多的CISO想要尽可能多地外包技术管理。而且随着时间的推移,这种趋势可能会稳步增长。
7. 推出物联网产品的企业并非总是关注安全性
一家企业的业务重点可能是制造汽车、电子消费品或家用电器,但他们未必总能意识到自己必须在开发和管理这些产品及其集成移动应用的代码方面投入更多的时间和金钱。
这确实是计算不断演进的结果。不从事软件开发业务的公司如今也在自主开发应用程序和API,以支持其核心业务。但企业并非总能认识到,对于许多物联网设备的API和应用程序,他们也必须予以适当的保护。
如今,随着5G在美国和很多发达国家的普及,各类物联网设备的泛在连接将不仅仅是一种可能,而是会成为标准实践。而许多此类设备不仅没有内置安全功能,甚至在整个开发过程中从未考虑过安全性。
可以说,如果无法对5G物联网提供更好的防护,那么规模化的物联网僵尸网络可能会卷土重来,尤其是在僵尸网络驱动的加密货币挖矿对很多黑客来说越来越有利可图的情况下。未来十年,物联网可能会成为网络安全故事的重要议题之一。
本文翻译自:https://www.darkreading.com/cloud/7-modern-day-cybersecurity-realities/d/d-id/1340826?image_number=1
声明:本文来自安全内参,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。