安全专业人士往往会产生虚假的情况“安全感”,为了更好地保证企业组织的安全,我们探索了七个应该改变的地方。
迁移云;安全“左移”(即将安全防护尽可能地移到开发流程的早期);购买最新的XDR欺骗工具。技术和网络安全行业一直容易受到营销炒作的影响,但这些行动真的能让企业更安全吗?还是他们只是增加了更多的复杂性?
从SolarWinds攻击到微软Exchange漏洞,重大黑客攻击源源不断地涌现,安全专业人员如何睡个好觉?他们可能会觉得自己在做正确的事情,但他们只是有一种虚假的安全感吗?
Salt Security技术布道者Michael Isbitski安全专业人员应更加关注和保护应用编程界面(API)安全,因为这些接口支持许多这样的技术。从托管内部云应用程序到依赖网关和传统补丁管理工具,旧的安全方法API安全关注远远不够,但现实是,API很容易被攻击者破坏。
鉴于风险太大,企业需要谦虚地接受他们对这些安全方法和工具选择过于自信的事实。企业组织应该找到更新其工具和流程的方法,以满足新网络威胁形势的挑战。
为了帮助安全专业人员澄清和部署新兴安全概念和技术过程中需要考虑的事项,我们总结了7项建议。
1. 你构建的云应用程序真的安全吗?
随着企业组织不断向云转移业务,他们在重新设计云的安全工具上投入了大量资金,主要是云工作负荷保护和容器安全工具。该工具可用于识别已知的易受攻击的依赖性项目、检测错误配置、微分段工作负并防止偏离已确定的安全基线。Kubernetes平台上未修复的漏洞和错误配置一直是攻击者的切入点,允许他们绕过访问控制,在感染集群上运行恶意代码,并部署加密货币挖掘程序。
不幸的是,这种新的云安全工具仍然无法解决大多数应用层的安全问题。这些工具主要解决网络安全和基础设施安全问题,并将应用程序继续处于脆弱状态。因此,公共云可能是安全的,但这并不意味着您的内部应用程序是安全的。
2. 企业可以“左移”,但仍然必须“右移”
“左移”概念鼓励开发团队更早地将安全过程和工具纳入软件开发的生命周期(SDLC)并传播安全专业技术知识。DevSecOps实践密切相关,后者的目标是在设计、构建和部署阶段集成和自动化安全。这种做法给许多企业带来了回报,因为他们可以更快地迭代安全,验证安全是否从一开始就被适当地内置,并减少安全性SDLC后期修复泄漏的成本。
然而,企业组织不能以牺牲运行安全为代价向左移动。开发人员永远无法编写完美的代码,也无法在发布窗口期间广泛扫描代码,扫描仪的设计目的是找循明确模式的已知漏洞或弱点。
企业组织必须明确,“左移”不仅仅是向左移动。但是,从好的方面来说,左移确实可以让开发团队更快地发现和修复大量的安全漏洞。
如今,新的攻击和零天的漏洞总是出现的,所以我们仍然必须保护生产中的应用程序。许多公司在运营过程中不应牺牲安全。大多数人已经意识到两者都需要考虑在内。
3. WAF网关不能完全保护API
应用程序编程接口(API)允许机器轻松通信机器。如今,在应用程序开发中API使用已成为一种新的实践标准。通过整合第三方服务的功能,开发人员不再需要从零开始构建自己的所有功能,从而加快新产品和服务的开发过程。
近年来,API的使用更是呈现爆炸式增长。根据Akamai的说法,API通信现在占所有互联网流量的83%以上。
尽管API支持用户已经习惯的互动数字体验是公司数字转型的基础,但它们也为恶意黑客访问公司数据提供了多种方式,成为许多安全问题的根源。
今年5月初,Pen Test Partners 安全研究员 Jan Masters 发现他可以在没有身份验证的情况下向前走Peloton的官方API提出要求获取其他用户的私人数据,用户的本地设备和云服务器如此无用。这些数据包括详细的用户年龄、性别、城市、体重、锻炼统计数据,甚至揭示用户在个人数据设置页面上设置为私人生日。
除Peloton除了公司,最近新闻曝光的涉及API还包括相关网络安全问题的企业Equifax、Instagram、Facebook、亚马逊以及Paypal。
造成这种情况的一个主要原因是,太多的企业假设Web应用防火墙(WAF)和API网关可以保护他们API。事实上,由于固有的设计限制,这些技术并不能阻止大多数类型API它们还会让企业攻击它们API以及API驱动程序产生虚假的安全感。
API对每个企业来说都是独一无二的,对每个企业来说都是独一无二的API的真实攻击通常不会遵循已知漏洞的明确定义模式。对抗这些安全风险需要运行时安全,无论攻击者使用哪种攻击技术,它都能持续学习API并尽快阻止攻击者。
4. 传统的补丁和漏洞管理工具无法保护API
虽然补丁和漏洞管理程序可以帮助安全团队解决现成软件和组件中的安全风险,但应用程序和API安全策略远不止这些。
然而,为了避免成为99%已知漏洞的受害者,企业选择在补丁和漏洞管理上投入大量资源。它们通常被用作通用漏洞和暴露(CVE)跟踪是一种有用的分类方法,可以用来分类已发布软件或硬件中明确定义的漏洞。然而,这种方法根本无法捕捉企业在构建或集成应用程序和API以其发展趋势可能引入的各种潜在漏洞。
攻击者有时会针对软件中众所周知的漏洞,比如最近Exchange服务器黑客攻击事件。然而,更常见的情况是,攻击者找目标企业的独特性API或API集成漏洞。因为没有这些企业创建或集成的代码“补丁”进行修复。
一般缺陷列表(CWE)ID更适合描述自主开发的应用和应用API缺陷的分类方法。如果企业自行开发代码或集成其他代码,安全人员应熟悉CWE和OWASP Top 10。它们是更为相关的分类法,更适合自行构建应用程序或API而不是其他适用CVE ID本地采购软件。
根据官方说法,CWE可帮助开发人员和安全从业人员进行以下操作:
- 用通用语言描述和讨论软硬件缺陷;
- 检查现有软硬件产品的缺陷;
- 对这些缺陷工具的覆盖率进行评估;
- 利用一般基准进行缺陷识别、缓解和预防;
- 防止软前防止软硬件漏洞;
5. 基础意识训练远远不够——尤其是对于工程师
勒索软件攻击、网络钓鱼和社会工程安全意识训练受到了极大的关注,因为这些都是攻击者常用的攻击手段。
然而,企业对这种意识培训实际上可以改变员工行为的程度做出了理想的假设。太多的企业使用订单检查的方法,通常每年通过第三方提供一到两次培训,以确保员工完成培训,然后把它放在脑后,直到下一次培训继续进行一个过程。
这显然远远不够,甚至是浪费时间。“时间点”(point-in-time)安全培训会好很多,可以改变员工的行为,让他们以更安全的思维方式工作。
此外,许多企业仍然非常落后,专注于应用程序安全的培训和意识。随着应用程序发布的加快,开发人员和工程师往往没有时间参加培训。即使他们有时间学习,他们也会更加关注自己感兴趣的技术堆栈,安全往往被遗忘。
目前,对于大多数企业来说,安全专业技能仍然短缺,特别是在“全栈”工程领域。这使得非安全人员在创建或更新应用程序时很少获得指导。敏捷方法论和DevOps实践造成的开发发布时间线压缩,没有给安全设计审查、威胁建模演练等安全培训和意识能产生效益的时间。
缺乏时间一直是一个挑战,但在生命周期中发展安全左移势在必行;安全问题不能抛在脑后。从组织的角度来看,为什么不提前构建安全性呢?
在发生安全事件或漏洞之前提前建立安全比灾后补救节省更多的成本。但这确实需要给开发人员时间来培训和学习,也需要开发人员愿意这样做。意识培训不是一蹴而就的。
6. 仅仅购买新工具并不能保证安全
企业组织往往认为,只要购买最新的热门安全工具,就可以安全,但事实并非如此。
员工流失率高,往往导致企业购买的新工具管理不善,甚至管理员配置错误。安全团队需要反思自己:我们使用最新版本吗?我们充分利用了新产品的所有功能吗?更新过程是否涵盖了一些规则?
人们总觉得“钱是万能的”,足够的购买可以解决安全问题。但不幸的是,在许多情况下,最初安装产品的人已经离开了。这就是为什么有时有1000条规则,而现任管理员不敢轻易修改它,因为他们害怕一旦移动就会破坏一些非常重要的东西。
除了技术,企业还需要员工具备软技能——遵循规则,阅读文档,向管理层传达问题。
此外,许多人认为这些新产品必须完全集成。这也是扩展检测和响应(XDR)兴起的原因之一是XDR本质上是预集成解决方案,包括端点、网络和云威胁检测和响应。
但无论如何,安全问题总是一个难题。这也是促进托管安全服务持续增长的原因之一至一些顶级供应商也提供越来越多的托管服务。他们意识到,无论他们的产品平台有多集成和有效,越来越多CISO尽可能多地外包技术管理。而且随着时间的推移,这种趋势可能会稳步增长。
7. 推出物联网产品的企业并不总是关注安全
企业的业务重点可能是制造汽车、电子消费品或家用电器,但他们可能并不总是意识到他们必须投入更多的时间和金钱来开发和管理这些产品及其集成移动应用程序的代码。
这确实是计算进化的结果。不从事软件开发业务的公司现在也在独立开发应用程序和API,支持其核心业务。然而,企业并不总是意识到许多物联网设备API他们还必须对应用程序进行适当的保护。
如今,随着5G随着美国和许多发达国家的普及,各种物联网设备的泛连接不仅是一种可能性,而且将成为一种标准实践。许多此类设备不仅没有内置的安全功能,而且在整个开发过程中也从未考虑过安全。
可以说,如果不对5G如果物联网提供更好的保护,大型物联网僵尸网络可能会卷土重来,特别是当僵尸网络驱动的加密货币挖掘对许多黑客来说越来越有利可图时。未来十年,物联网可能成为网络安全故事的重要问题之一。
本文翻译自:
https://www.darkreading.com/cloud/7-modern-day-cybersecurity-realities/d/d-id/1340826?image_number=2