安全信息和事件管理系统(SIEM)通常难以访问遗留应用程序中的日志文件和其他数据。以下是一些可以提高知名度的方法。随着公司越来越善于分析日志数据以发现潜在的安全威胁,遗留应用程序会产生难以覆盖的盲点。数据安全公司Spirion的首席创新官GabrielGumbs表示:现代SIEM(SecurityInformationandEventManagement,安全信息和事件管理)已经超越了自身的传统功能集,成为高级威胁检测和响应平台。他说,遗留应用程序提供的日志数据并不总是有效地迁移到这些平台。例如,遗留应用程序可能会报告谁有权访问系统,但不会报告他们在这些系统中有权访问的内容。他说,这个可见性问题需要解决。当必须对遗留应用程序进行威胁监控时,问题会更加严重。例如,这些应用程序的构建可能与我们今天的安全需求截然不同,或者它们是在最佳实践被广泛使用之前构建的。这些遗留应用程序可能还存在已知漏洞,需要过时且不安全的基础架构,或者访问敏感数据或关键系统。“以能源行业为例,”总部位于英国的初创公司FurnaceIgnite的首席网络安全工程师DavidMound说,该公司可以更轻松地从遗留应用程序收集数据并将其输入SIEM。他们有一个SCADA基础。设施,这些东西已经有很多年了。避免不必要的意外DavidMound说公司有时不想接触正在运行的应用程序。不仅仅是在能源领域。一般来说,当我从事咨询工作时,大多数公司似乎都有一些遗留应用程序。工资之类的东西,已经好几年没碰过了。遗留应用程序通常无法提供监控公司所需的功能。例如,它们可能会生成性能数据,但不会详细说明哪些用户访问了哪些数据,或者缺乏安全研究人员发现事件所依赖的上下文。如果他们生成日志,这些日志也可能以某种专有的、难以使用的格式存储。网络安全公司Trustwave的威胁情报和检测全球总监JeremyBatterman表示:“内部开发的遗留应用程序尤其会存在严重的可见性问题。他说,当发生需要调查的网络安全事件时,这是一个大问题。“在我处理过的事件响应案例中,导致问题的往往是一次性应用程序,”他说。此外,缺少日志记录会加剧遗留应用程序的其他安全问题。例如,在一个案例中,一家公司有一个既连接到Internet又连接到其内部网络的遗留应用程序,但没有将其放在DMZ中。他们也没有意识到他们使用的是旧版本的JBoss和Apache,这对攻击者来说很容易。一旦受到威胁,攻击者就很容易在网络中移动,因为没有可见性。在事件调查期间,巴特曼说他经常询问公司为什么保留遗留应用程序。“这通常与金钱有关,”他说。“通常情况下,这种方法对他们有效,那么为什么要改变它呢?”在埃森哲对联邦IT高管的一项调查中,37%的受访者表示遗留应用程序是他们抵御网络威胁的关键障碍之一,85%的受访者表示他们的组织将在未来受到威胁,除非他们更新技术。网络安全咨询公司BTBSecurity的执行合伙人RonSchlecht表示,为了发现环境中有多少遗留应用程序,组织应该将它们作为威胁和漏洞评估的一部分。他说,有时企业很清楚他们的遗留应用程序不安全,因为他们正试图摆脱它们。遗留应用程序有时会被忽视。大多数情况下,这些应用程序很少使用,或者只被较小的部门使用,因为没有问题,人们继续使用它们。有时应用程序已被替换,但遗留版本仍在运行,这常常令人惊讶。有时,他们只是忘记将其关闭。有时,他们仍然希望能够访问应用程序中的旧历史数据。Schlect说,无论出于何种原因,应用程序和服务器都处于闲置状态。只要这些物质存在于环境中,就有可能有人滥用它们。如果应用程序以管理员权限运行,或者具有可用于升级访问权限的功能,这尤其危险。如果应用程序位于旧服务器上,则其环境中也可能存在漏洞。使遗留应用程序现代化Schlecht表示,第一步是确定原始供应商是否可以帮助将日志数据从遗留系统迁移到SIEM。也许供应商可以提供API或至少一些文档。如果没有,请尝试从具有自定义开发工作的应用程序中获取日志。另一个策略是使整个应用程序现代化,而不仅仅是日志记录功能。这不仅满足了公司的网络安全需求,还满足了合规性、可扩展性和其他业务需求。根据Gartner的一份报告,到2020年,在数字业务创新上花费的每一美元,将至少有三倍的钱用于遗留应用程序的现代化。值得投资。除了安全风险之外,遗留应用程序可能无法满足当今的业务需求,无法跟上技术变革的步伐,难以扩展,可能会产生合规性风险,并且维护成本高得令人望而却步。根据Gartner的另一份报告,实现遗留应用程序现代化的主要方法有七种:将它们打包并作为服务交付。重新托管。将其移动到新的运行平台。重建代码。重新构建应用程序。完成重建或重写。更换应用程序,同时考虑新的要求和需求。覆盖策略当现代化或更换遗留应用程序不是一种选择时,组织可以采用许多过度策略来解决一些可见性问题。例如,如果一个应用程序有一个后端数据库,人们就可以从数据库本身获取访问和使用信息,Trustwave的Batterman说,如果有流量进出数据库,网络传感器可以用来捕获数据包应用。Batterman表示,无论过渡策略如何,企业还应该对其遗留应用程序进行特殊保护。也许我们可以构建一个更封闭的系统,或者只提供一小部分服务。他们可以进行一些结构调整,以防止他们处于前线。例如,BTB的Schlecht表示,许多企业都面临着必须维护一个旧的、不安全的应用程序的问题,他们将这些应用程序沙盒化并放入虚拟或云环境中。这样,如果它受到攻击,对组织其他部分的影响将是最小的。【本文为专栏作家“李少鹏”原创文章,转载请通过安安牛(微信公众号id:gooann-sectv)获得授权】点此查看作者更多好文
