向云端遷移。安全左移。購(gòu)買(mǎi)最新的XDR和欺騙工具。技術(shù)和網(wǎng)絡(luò)安全行業(yè)總是容易受到市場(chǎng)炒作的影響,但這些舉動(dòng)真的讓企業(yè)更安全了嗎?或者說(shuō),這些動(dòng)作不過(guò)是增加了復(fù)雜性?
從SolarWinds后門(mén)到微軟Exchange漏洞,重大黑客事件層出不窮,安全專(zhuān)業(yè)人員怎么才能睡個(gè)好覺(jué)?他們總覺(jué)得自己在做正確的事,但這難道真的難道不是一種虛假的安全感嗎?
SaltSecurity技術(shù)布道者M(jìn)ichaelIsbitski表示,安全專(zhuān)業(yè)人員應(yīng)該多加關(guān)注應(yīng)用編程接口(API)安全,因?yàn)锳PI支撐著上述很多技術(shù)策略。從托管內(nèi)部云應(yīng)用到依賴(lài)網(wǎng)關(guān)和傳統(tǒng)補(bǔ)丁管理工具,舊有安全方法對(duì)API安全并未投入足夠的重視,而API很容易遭到攻擊者染指。
Isbitski稱(chēng):“風(fēng)險(xiǎn)實(shí)在太大,企業(yè)應(yīng)該老實(shí)承認(rèn)自己在這些安全方法和工具選擇上過(guò)于自信了。面對(duì)現(xiàn)代威脅,企業(yè)真的應(yīng)該尋找相應(yīng)的工具和過(guò)程更新方法。”
下面謹(jǐn)列出七條建議,幫助安全專(zhuān)業(yè)人員梳理部署安全概念和技術(shù)的過(guò)程中應(yīng)該考慮的問(wèn)題。
?你構(gòu)建的云應(yīng)用真的安全嗎?
隨著邁向云端的步伐,企業(yè)在為云重新設(shè)計(jì)的安全工具上投入了大量資金,投資重點(diǎn)通常是云工作負(fù)載保護(hù)和容器安全工具。此類(lèi)工具有助于識(shí)別已知脆弱依賴(lài),檢測(cè)錯(cuò)誤配置,微分隔工作負(fù)載,以及防止偏離已確立的安全基線(xiàn)。但Kubernetes等平臺(tái)中未修復(fù)的漏洞和錯(cuò)誤配置一直以來(lái)都是攻擊者的入口點(diǎn),可供他們繞過(guò)訪(fǎng)問(wèn)控制,在被黑集群上執(zhí)行惡意代碼,以及部署加密貨幣挖礦機(jī)。
Isbitski說(shuō)道:“很不幸,此類(lèi)新型云安全工具仍然無(wú)法解決很多應(yīng)用層安全問(wèn)題。這些工具主要解決的是網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全,卻將應(yīng)用安全繼續(xù)置于脆弱境地。所以,公有云可能是安全的,但這并不意味著你內(nèi)部構(gòu)建的應(yīng)用是安全的。”
?安全可以左移,但也必須右移
左移概念鼓勵(lì)開(kāi)發(fā)團(tuán)隊(duì)將安全過(guò)程和工具盡早納入軟件開(kāi)發(fā)生命周期(SDLC),并傳播安全專(zhuān)業(yè)技術(shù)知識(shí)。左移與DevSecOps實(shí)踐緊密相關(guān),而后者的目標(biāo)是在設(shè)計(jì)、構(gòu)建和部署階段集成和自動(dòng)化安全。DevSecOps實(shí)踐為很多企業(yè)帶來(lái)了豐厚回報(bào),因?yàn)椴捎么藢?shí)踐的企業(yè)能夠更快速地迭代安全,驗(yàn)證是否從一開(kāi)始就恰當(dāng)構(gòu)建了安全,還能減少SDLC后期修復(fù)漏的開(kāi)支。
然而,企業(yè)無(wú)法以運(yùn)行時(shí)安全為代價(jià)整體左移。開(kāi)發(fā)人員不可能編寫(xiě)出完美代碼,也無(wú)法在發(fā)布窗口期內(nèi)充分細(xì)致地掃描代碼,而且掃描器從設(shè)計(jì)上就是用來(lái)發(fā)現(xiàn)遵循明確模式的已知漏洞或弱點(diǎn)的。
安全左移從來(lái)就不是只意味著“左移”。但是,有利的一面是,左移確實(shí)讓開(kāi)發(fā)團(tuán)隊(duì)能夠更快找到并修復(fù)大量安全漏洞。
新型攻擊和零日漏洞總會(huì)出現(xiàn),生產(chǎn)中的應(yīng)用也需要保護(hù)。很多公司應(yīng)該不會(huì)左移到將運(yùn)行時(shí)安全排除在外。大多數(shù)人已經(jīng)意識(shí)到首尾兩端均需兼顧了。
?WAF和網(wǎng)關(guān)無(wú)法全面保護(hù)API
API是當(dāng)今現(xiàn)代應(yīng)用的基礎(chǔ),但只有少數(shù)企業(yè)真正認(rèn)識(shí)到API的重要性或其呈現(xiàn)的風(fēng)險(xiǎn)水平。API對(duì)攻擊者的吸引力太大了,以致于承擔(dān)了與自身體量很不相稱(chēng)的風(fēng)險(xiǎn),但太多企業(yè)假定Web應(yīng)用防火墻(WAF)和API網(wǎng)關(guān)能夠充分保護(hù)自身API。實(shí)際上,這些技術(shù)由于固有的設(shè)計(jì)局限而無(wú)法阻止絕大多數(shù)類(lèi)型的API攻擊,往往會(huì)給企業(yè)造成自身API和API驅(qū)動(dòng)的應(yīng)用很安全的虛假感覺(jué)。
API對(duì)每個(gè)企業(yè)而言都很特殊,針對(duì)API的真實(shí)攻擊往往不遵循已知漏洞的明確模式。對(duì)抗這類(lèi)安全風(fēng)險(xiǎn)需要運(yùn)行時(shí)安全,運(yùn)行時(shí)安全才能夠持續(xù)學(xué)習(xí)API行為并盡早阻止攻擊者,無(wú)論攻擊者所用的攻擊技術(shù)是哪種。
安全團(tuán)隊(duì)需利用WAF或API網(wǎng)關(guān)之外的技術(shù)解決API安全問(wèn)題。
記得2005年左右還有人爭(zhēng)論稱(chēng),網(wǎng)關(guān)供應(yīng)商會(huì)站出來(lái)滿(mǎn)足對(duì)額外安全功能的需求,至少Apigee這家供應(yīng)商確實(shí)發(fā)布了一個(gè)安全附加模塊。然而,API安全畢竟很大程度上是一組獨(dú)立供應(yīng)商的專(zhuān)屬領(lǐng)域,而不是API網(wǎng)關(guān)企業(yè)的專(zhuān)利。
企業(yè)通過(guò)API暴露出了大量應(yīng)用和海量數(shù)據(jù)。API造成的數(shù)據(jù)泄露和未授權(quán)訪(fǎng)問(wèn)很常見(jiàn)。今天的API安全由大量工具組合構(gòu)成:一些擴(kuò)展到API防護(hù)的運(yùn)行時(shí)應(yīng)用安全工具,一些解決特定安全用例的API管理工具,可以測(cè)試API的應(yīng)用安全測(cè)試工具,以及專(zhuān)用于API的安全工具。
?傳統(tǒng)補(bǔ)丁和漏洞管理工具無(wú)法保護(hù)API
盡管補(bǔ)丁和漏洞管理程序能夠幫助安全團(tuán)隊(duì)?wèi)?yīng)對(duì)現(xiàn)成軟件和組件的安全風(fēng)險(xiǎn),但應(yīng)用和API安全策略需要的不止這些。
可惜,因?yàn)榧庇诒苊鉁S為99%的已知漏洞的受害者,企業(yè)將大量精力放在了補(bǔ)丁和漏洞管理上。已發(fā)布軟件或硬件中定義明確的漏洞往往通過(guò)通用漏洞與暴露(CVE)分類(lèi)法來(lái)跟蹤記錄。然而,這一分類(lèi)法根本無(wú)法捕獲企業(yè)在構(gòu)建或集成應(yīng)用與API時(shí)可能引入的各種潛在漏洞與弱點(diǎn)。
攻擊者有時(shí)會(huì)以軟件中眾所周知的漏洞為目標(biāo),例如最近的Exchange服務(wù)器黑客攻擊事件。不過(guò),更為普遍的情況是,攻擊者尋找目標(biāo)企業(yè)特有的API或API集成中的漏洞。企業(yè)創(chuàng)建或集成的代碼可沒(méi)有“補(bǔ)丁”供安全工程師用來(lái)縫合應(yīng)用與API。
通用缺陷列表(CWE)ID是更適合描述自主開(kāi)發(fā)的應(yīng)用與API中缺陷的分類(lèi)法。如果企業(yè)自行開(kāi)發(fā)代碼或集成其他代碼,那么安全人員應(yīng)該很熟悉CWE和OWASPTop10。這些都是更為相關(guān)的分類(lèi)法,更適合自行構(gòu)建應(yīng)用或API而不是從使用CVEID的其他地方采購(gòu)的情況。
cwe.mitre.org表示,CWE可幫助開(kāi)發(fā)人員和安全從業(yè)者做到以下事項(xiàng):
以通用語(yǔ)言描述和討論軟件及硬件缺陷。
檢查現(xiàn)有軟件及硬件產(chǎn)品中的缺陷。
評(píng)估針對(duì)這些缺陷的工具的覆蓋率。
利用通用基準(zhǔn)執(zhí)行缺陷識(shí)別、緩解和預(yù)防。
在部署前防止軟件及硬件漏洞。
?基本安全意識(shí)培訓(xùn)遠(yuǎn)遠(yuǎn)不夠,尤其是針對(duì)工程師的培訓(xùn)
安全意識(shí)培訓(xùn)的重點(diǎn)往往圍繞勒索軟件攻擊、網(wǎng)絡(luò)釣魚(yú)和社會(huì)工程攻擊,因?yàn)檫@些技術(shù)是攻擊者常會(huì)利用的。
企業(yè)往往過(guò)于自信此類(lèi)意識(shí)培訓(xùn)能夠?qū)嶋H改變員工行為的程度了。太多企業(yè)采用的是照單劃勾的方法,往往每年通過(guò)第三方搞個(gè)一兩次培訓(xùn),確保員工都參加了這個(gè)培訓(xùn),然后就將之拋諸腦后,直到下一次培訓(xùn)期到了再走一次過(guò)場(chǎng)。
這顯然遠(yuǎn)遠(yuǎn)不夠,老實(shí)說(shuō),完全是在浪費(fèi)時(shí)間。專(zhuān)注即時(shí)安全培訓(xùn)會(huì)好上很多,能夠改變員工的行為,讓他們以更具安全思維的方式工作。
很多企業(yè)的應(yīng)用安全培訓(xùn)和意識(shí)仍落后于時(shí)代。隨著應(yīng)用發(fā)布節(jié)奏加快,開(kāi)發(fā)人員和工程師往往根本沒(méi)有時(shí)間參加培訓(xùn)。即使擠出時(shí)間學(xué)習(xí),這些人也只會(huì)專(zhuān)注自己的技術(shù)棧,安全在很大程度上淪為了一項(xiàng)事后考慮。
大多數(shù)企業(yè)仍然缺乏安全專(zhuān)業(yè)知識(shí),尤其是在“全棧”工程這方面。這就造成非安全人員在創(chuàng)建或更新應(yīng)用時(shí)幾乎沒(méi)有安全指南。敏捷方法論和開(kāi)發(fā)運(yùn)維實(shí)踐導(dǎo)致的開(kāi)發(fā)和發(fā)布時(shí)間線(xiàn)壓縮,也沒(méi)給安全設(shè)計(jì)審查或威脅建模演練等安全培訓(xùn)和意識(shí)本可以產(chǎn)生成效的方面留下多少時(shí)間。
缺乏時(shí)間一直是一項(xiàng)安全挑戰(zhàn),但開(kāi)發(fā)生命周期中的安全左移不可避免;安全不能一直是事后考慮,從組織的角度考慮,為什么不前期構(gòu)建安全呢?
事前預(yù)防可比安全事件或數(shù)據(jù)泄露發(fā)生后再補(bǔ)救省錢(qián)多了。但這確實(shí)需要給開(kāi)發(fā)人員留出時(shí)間來(lái)培訓(xùn)和學(xué)習(xí),也需要開(kāi)發(fā)人員愿意這么做。意識(shí)培訓(xùn)不是一朝一夕之功。
?僅僅購(gòu)買(mǎi)新工具并不能保護(hù)企業(yè)安全
企業(yè)往往會(huì)覺(jué)得只要購(gòu)買(mǎi)了最新、最熱門(mén)的安全工具就能保障安全了,但事實(shí)并非如此。
優(yōu)秀人才的招募和保留頗不容易,所以企業(yè)購(gòu)買(mǎi)的新工具相當(dāng)程度上管理得并不恰當(dāng),管理員經(jīng)常錯(cuò)誤配置了這些工具。安全團(tuán)隊(duì)需要捫心自問(wèn):我們真的用的是最新版本嗎?我們確實(shí)充分利用了新產(chǎn)品的所有功能?某些規(guī)則是不是在更新過(guò)程中被重寫(xiě)了?
很多人都覺(jué)得靠買(mǎi)買(mǎi)買(mǎi)就能解決安全問(wèn)題。但很不幸,多數(shù)情況下,最初安裝產(chǎn)品的人早已離職。這就是為什么有時(shí)候可能會(huì)有1000條規(guī)則放在那兒,現(xiàn)任管理員碰都不敢碰。他們害怕一旦動(dòng)了會(huì)不會(huì)搞掉一些非常重要的東西。改一行代碼就導(dǎo)致整個(gè)系統(tǒng)崩潰這種事,大家就算沒(méi)經(jīng)歷過(guò)也聽(tīng)說(shuō)過(guò)很多了。
企業(yè)還需要員工具備軟技能:遵循規(guī)程、閱讀文檔、向管理層報(bào)告/溝通問(wèn)題。
另外,很多人都會(huì)認(rèn)為所有這些新產(chǎn)品肯定是完全集成的。這也是擴(kuò)展檢測(cè)與響應(yīng)(XDR)興起的原因之一,因?yàn)閄DR基本上就是包含了端點(diǎn)、網(wǎng)絡(luò)和云威脅檢測(cè)與響應(yīng)的預(yù)集成解決方案。
但不管怎么說(shuō),安全問(wèn)題總歸是個(gè)難題。所以,托管安全服務(wù)仍在發(fā)展,甚至頂級(jí)供應(yīng)商都還在不斷推出托管服務(wù)。他們認(rèn)識(shí)到,無(wú)論自己的產(chǎn)品平臺(tái)多么集成和有效,還是有越來(lái)越多的CISO想要盡可能多地外包技術(shù)的管理。而且這種趨勢(shì)可能會(huì)隨時(shí)間穩(wěn)步發(fā)展。
?推出物聯(lián)網(wǎng)產(chǎn)品的企業(yè)未必關(guān)注安全
企業(yè)的關(guān)注點(diǎn)可能落在制造汽車(chē)、電子消費(fèi)品或家用電器上,未必總能意識(shí)到自己理應(yīng)多投入點(diǎn)時(shí)間和金錢(qián)在這些產(chǎn)品及其集成移動(dòng)應(yīng)用的代碼開(kāi)發(fā)與管理方面。
計(jì)算發(fā)展演進(jìn)到今天就是這樣。不從事軟件開(kāi)發(fā)業(yè)務(wù)的公司如今也在開(kāi)發(fā)應(yīng)用和API來(lái)驅(qū)動(dòng)自身核心業(yè)務(wù)了。但企業(yè)并非總能認(rèn)識(shí)到自己應(yīng)該保護(hù)好支撐著這么多物聯(lián)網(wǎng)設(shè)備的API和應(yīng)用。
圍繞物聯(lián)網(wǎng)的漏洞真的太多了。隨著5G在美國(guó)和很多發(fā)達(dá)國(guó)家的鋪開(kāi),各種類(lèi)型物聯(lián)網(wǎng)設(shè)備的泛在連接將不僅僅是可能,而是會(huì)成為標(biāo)準(zhǔn)操作。而許多此類(lèi)設(shè)備不僅沒(méi)有內(nèi)置安全功能,還從開(kāi)發(fā)伊始就沒(méi)考慮過(guò)安全。
因此,如果缺乏良好的5G物聯(lián)網(wǎng)防護(hù),物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)可能會(huì)卷土重來(lái),尤其是在對(duì)很多黑客而言僵尸網(wǎng)絡(luò)驅(qū)動(dòng)的加密貨幣挖礦越來(lái)越有利可圖的情況下。未來(lái)十年,物聯(lián)網(wǎng)可能是網(wǎng)絡(luò)安全敘事的重點(diǎn)之一。
