攻擊面膨脹使網絡層安全“流產”

長久以來，企業都將其安全工作的重點放在網絡外圍防御以及如何保障服務器、工作站及網絡設備的安全上。但在一個互聯的世界中，“硬件定義的”方法已經喪失了其意義。伴隨著企業轉換到“軟件定義網絡”， 企業需要跳出網絡層的需要來保護其不斷擴展的“攻擊面”，并且考慮：外圍缺失的攻擊面如何造成企業的安全模式無效？企業可以采取哪些措施來跟得上不斷演變的威脅？

在信息安全問題上，企業面臨著一場艱難的戰役，這是因為企業需要保護的攻擊面已經有了巨大擴展，并且有望進一步膨脹。過去，重視網絡和端點保護就足夠了，但如今的應用、云服務、移動設備（例如，平板電腦、藍牙設備等）使得企業的防御面臨著一個極大擴增的攻擊面。

據GRMS（全球風險管理調查）的報告，當今，大約有84%的網絡攻擊針對的是應用層而不是網絡層。企業需要擴展其覆蓋范圍來包括這些新區域。然而，企業尤其需要關注如下兩個被安全專家忽視的攻擊區域（即使其給企業帶來巨大威脅并且被黑客越來越多地利用）：物聯網和微服務/軟件容器。

物聯網

雖然安全專家一直都在警告企業注意網絡攻擊的風險，但對物聯網的風險卻重視不夠。因而所有設備之間的全面連接必然帶來嚴重的安全問題。

物聯網（例如，其中的物理安全系統以及空調系統）將大大小小的公司暴露在更多的安全威脅面前。例如，管理個人健康和安全系統的物聯網設備將成為下一個被勒索的金礦。

正如企業對待BYOD一樣，企業也需要調整自己的風險管理方法，并且擴展風險評估的范圍，使其包含所有的連網設備。如果雇員的智能手表可能被利用窺探公司的無線網絡的口令，它就應屬于企業風險評估范圍的一部分。在此情況下，企業的首要挑戰之一是如何存儲、跟蹤、分析、理解由網絡風險評估過程中的物聯網所產生的海量數據。新出現的網絡風險管理技術可以起到幫助作用。

此外，物聯網產品的開發往往在普通安全框架或標準的創建之前，這使問題更復雜。對許多物聯網產品而言，安全是以后才考慮的問題。解決物聯網設備中缺乏安全性的唯一合理方案是，建立新的標準和政府規范，要求物聯網產品使用可信任的網絡和操作系統。企業應當要求，內部部署的物聯網產品至少遵循友好且不易被攻擊的網絡協議。此外，企業可能希望考慮擴展其滲透測試的范圍，從而包括這些可能存在安全問題的設備。

微服務與軟件容器

據調查，有不少企業已經實施或計劃將來實施微服務架構或基于軟件容器的應用程序。這些新出現的技術的目的是使應用程序開發者和DevOps團隊的工作更輕松。企業利用微服務從功能上將大型應用分解為更小巧的不同服務，而此處的軟件容器被看作是微服務架構的一種自然計算平臺。

典型情況下，每種服務都完成一種特定的目的來提供一套功能，而且不同的服務還相互作用從而構成整個應用。中等規模的應用由20個左右的服務組成。這些基于微服務的應用的物理特性不同于早期的多層應用。將傳統的應用分解為大量的微服務實例，自然就擴展了攻擊面，因為應用程序不再集中在幾個分離的服務器中。此外，軟件容器只需用幾秒的時間就可以啟動或關閉，從而使得以人工方式跟蹤這些變化幾乎是不可能的。

基于微服務的應用程序的采用要求重新思考安全設想和方法，尤其要重視監視服務間的通信、微分段、靜態和動態的數據加密。

最終，企業不應當回避利用新出現的技術來提升業務效率和為企業的全面成功做出貢獻。但是，安全從業者們必須對企業的風險管理應用一種更為整體化的方法。這意味著不僅要對廠商的風險管理實施更多的方法，還要從這種新的攻擊面中收集安全數據。由于多數物聯網設備和微服務都缺乏充足的安全框架或工具來監視和檢測安全問題，企業必須考慮滲透測試等傳統的方法，而不必過于關注成本問題。