安全专业人员可能会在工作中体验到一种虚假的安全感。如果要维护企业安全,传统安全方法和技术中有几个方面需要改进。迁移到云端。安全离开。购买最新的XDR和欺骗工具。科技和网络安全行业总是容易受到市场炒作的影响,但这些举措真的能让企业更安全吗?或者他们只是增加了复杂性?从SolarWinds后门到MicrosoftExchange漏洞,重大黑客攻击比比皆是,安全专业人员如何安然入睡?他们总觉得自己在做正确的事,但这真的不是一种虚假的安全感吗?SaltSecurity技术布道者MichaelIsbitski表示,安全专业人员应该多加注意。关注应用程序编程接口(API)安全性,因为API是上述许多技术策略的基础。从托管内部云应用程序到依赖网关和传统的补丁管理工具,传统的安全方法没有对API安全给予足够的重视,这很容易受到攻击者的攻击。Isbitski说:“风险如此之大,以至于组织应该诚实地承认他们对自己的安全方法和工具选择过于自信。”“面对现代威胁,组织真的应该寻找更新其工具和流程的方法。”这里有七个。帮助安全专业人员解决在部署安全概念和技术过程中应考虑的问题的建议。?您构建的云应用程序真的安全吗?随着他们迁移到云,企业正在大力投资为云重新设计的安全工具,通常侧重于云工作负载保护和容器安全工具。这些工具有助于识别已知的易受攻击的依赖项、检测错误配置、微分段工作负载,并防止偏离已建立的安全基线。但Kubernetes等平台中未修补的漏洞和错误配置长期以来一直是攻击者的切入点,使他们能够绕过访问控制,在被黑客攻击的集群上执行恶意代码,并部署加密货币矿机。“不幸的是,这些新的云安全工具仍然没有解决许多应用层安全问题,”Isbitski说。“这些工具主要解决网络安全和基础设施安全问题,但应用程序安全性仍然很脆弱。因此,公共云可能是安全的,但这并不意味着你在内部构建的应用程序是安全的。”?安全可以向左移动,但也必须向右移动),并传播安全专业知识。向左移动与DevSecOps实践密切相关,其目标是在设计、构建和部署阶段集成和自动化安全。DevSecOps实践为许多组织带来了回报,因为它们可以更快地迭代安全性,验证从一开始就正确构建了安全性,并减少了在SDLC后期修复漏洞的费用。但是,企业不能以牺牲运行时安全性为代价集体向左移动。开发人员无法编写完美的代码,也无法在发布窗口期间足够详细地扫描代码,而扫描器旨在发现遵循明确定义模式的已知漏洞或弱点。SafeLeft绝不仅仅意味着“左移”。然而,从好的方面来说,左移确实可以让开发团队更快地找到并修复大量安全漏洞。新型攻击和零日漏洞总会出现,生产应用也需要防护。许多公司不应该向左移动而将运行时安全排除在外。大多数人已经意识到需要考虑两端。?WAF和网关无法完全保护APIAPI是当今现代应用程序的基础,但只有少数企业真正了解API的重要性或它们存在的风险级别。API对攻击者来说太有吸引力了,以至于他们无法承担与其规模不成比例的风险,但太多的企业认为Web应用程序防火墙(WAF)和API网关将充分保护他们的API。事实上,由于固有的设计限制,这些技术无法阻止大多数类型的API攻击,常常让企业对自己的API和API驱动的应用程序产生错误的安全感。API对每个企业都是独一无二的,针对API的现实世界攻击通常不会遵循已知漏洞的明确模式。应对此类安全风险需要运行时安全性,无论攻击者使用何种攻击技术,它都可以不断学习API行为并尽早阻止攻击者。安全团队需要利用WAF或API网关以外的技术来解决API安全问题。我记得在2005年左右,有一种争论认为网关供应商会加紧努力以满足对额外安全功能的需求,至少有一个供应商Apigee确实发布了一个安全附加模块。然而API安全毕竟很大程度上是一群独立厂商的专属领域,而不是API网关公司的专属领域。企业通过API暴露出大量应用和海量数据。数据泄露和API未经授权的访问很常见。今天的API安全性由大量工具组成:一些扩展到API保护的运行时应用程序安全工具,一些解决特定安全用例的API管理工具,可以测试API的应用程序安全测试工具,以及特定于API的安全工具。?传统的补丁和漏洞管理工具无法保护API虽然补丁和漏洞管理程序可以帮助安全团队解决现成软件和组件中的安全风险,但应用程序和API安全策略的要求不止于此。不幸的是,为了避免成为99%的已知漏洞的受害者,组织在修补和漏洞管理方面投入了大量精力。已发布的软件或硬件中明确定义的漏洞通常通过常见漏洞和披露(CVE)分类法进行跟踪。然而,这种分类法根本无法捕获企业在构建或集成应用程序和API时可能引入的各种潜在漏洞和弱点。攻击者有时会以软件中众所周知的漏洞为目标,例如最近的Exchange服务器黑客攻击。不过,更常见的是,攻击者正在寻找特定于目标业务的API或API集成中的漏洞。企业创建或集成的代码可能没有安全工程师可以用来将应用程序和API缝合在一起的“补丁”。CommonWeaknessList(CWE)ID是一种更适合描述本土应用程序和API中错误的分类法。如果企业开发自己的代码或集成其他代码,安全人员应该熟悉CWE和OWASPTop10。这些是更相关的分类法,更适合您构建自己的应用程序或API而不是从其他地方采购的情况CVEID。根据cwe.mitre.org,CWE帮助开发人员和安全从业人员执行以下操作:用通用语言描述和讨论软件和硬件缺陷。检查现有软件和硬件产品中的缺陷。评估工具对这些缺陷的覆盖率。利用通用基线进行缺陷识别、缓解和预防。在部署之前防止软件和硬件漏洞。?基本的安全意识培训是不够的,尤其是对工程师而言安全意识培训通常侧重于勒索软件攻击、网络钓鱼和社会工程攻击,因为这些是攻击者经常利用的技术。组织通常对这种意识培训实际改变员工行为的程度过于自信。太多的公司采用的是把关的方式,往往每年通过第三方进行一两次培训,确保所有员工都参加了这次培训,然后直到下一个培训期到来才算了。过场动画。这显然是不够的,坦率地说,这完全是浪费时间。专注于适时的安全培训会好得多,这可以改变员工的行为,让他们以更安全的方式工作。许多组织的应用程序安全培训和意识仍然落后于时代。随着应用程序发布速度的加快,开发人员和工程师往往根本没有时间进行培训。即使他们抽出时间学习,这些人也只会专注于自己的技术栈,而安全性在很大程度上被降为事后诸葛亮。大多数企业仍然缺乏安全专业知识,尤其是在涉及“全栈”工程时。这使得非安全人员在创建或更新应用程序时几乎没有安全指导。敏捷方法和DevOps实践导致开发和发布时间线的压缩,几乎没有时间用于安全培训和意识方面,这些方面本可以得到回报,例如安全设计审查或威胁建模练习。时间不足一直是一个安全挑战,但在开发生命周期中留下的安全转移是不可避免的;安全不能总是事后才想到,从组织的角度来看,为什么不预先建立安全呢?预先防止类似的安全事件或数据泄露事件的发生,稍后进行修复以节省更多资金。但这确实需要给开发人员时间来培训和学习,并且开发人员愿意这样做。意识培训不会在一夜之间发生。?仅仅购买新工具并不能确保您的业务安全企业通常认为购买最新、最热门的安全工具就很安全,但事实并非如此。招聘和留住优秀人才并不容易,因此企业购买的新工具大多管理不善,管理员经常错误配置这些工具。安全团队需要问问自己:我们真的在使用最新版本吗?我们真的利用了新产品的所有功能吗?更新过程中是否改写了一些规则?解决安全问题。不幸的是,在大多数情况下,最初安装该产品的人早已离开。这就是为什么有时可能会有1,000条当前管理员不敢触及的规则。他们害怕如果他们移动,他们会破坏一些非常重要的东西。即使没有经历过,改一行代码导致整个系统崩溃这样的事情你也听过很多。企业还需要员工具备软技能:遵循程序、阅读文件、向管理层报告/沟通问题。此外,许多人会认为所有这些新产品都必须完全集成。这是扩展检测和响应(XDR)兴起的原因之一,它基本上是一种预先集成的解决方案,包括端点、网络和云威胁检测和响应。但无论如何,安全问题始终是个问题。因此,托管安全服务仍在不断发展,甚至顶级供应商仍在推出托管服务。他们认识到,无论他们自己的产品平台的集成度和有效性如何,越来越多的CISO希望将尽可能多的技术管理外包出去。随着时间的推移,这种趋势可能会稳步发展。?推出物联网产品的企业不一定关心安全企业可能专注于制造汽车、消费电子或家用电器,但可能并不总是意识到他们应该在这些产品和集成移动应用程序开发的代码上花费更多的时间和金钱和管理。这就是计算发展到今天的方式。不从事软件开发业务的公司现在正在开发应用程序和API来推动其核心业务。但企业并不总是意识到他们应该保护支撑如此多物联网设备的API和应用程序。物联网存在太多漏洞。随着5G在美国和许多发达国家的推出,各种类型的物联网设备的无处不在的连接不仅将成为可能,而且将成为标准做法。许多这些设备不仅没有内置安全功能,而且在开发时从未考虑过安全性。因此,如果没有良好的5G物联网保护,物联网僵尸网络可能会卷土重来,尤其是在僵尸网络驱动的加密货币挖掘对许多黑客来说越来越有利可图的情况下。物联网很可能成为未来十年网络安全叙事的焦点之一。
