沒(méi)有任何一個(gè)安全防御是完美的,那么如何對(duì)隱藏的數(shù)據(jù)資產(chǎn)進(jìn)行保護(hù)呢?確保軟件安全可以說(shuō)是從底層開始對(duì)網(wǎng)絡(luò)安全進(jìn)行防御的有效手段。
早在90年代,我們都曾經(jīng)在系統(tǒng)周圍構(gòu)建大型防火墻,并尋找要修補(bǔ)的漏洞。從理論上講,在所擁有的軟件系統(tǒng)周圍筑起一道堅(jiān)不可摧的墻是個(gè)好主意,因?yàn)樗踔量梢员Wo(hù)曾被忽略的問(wèn)題。
然而,如果一堵墻是你唯一的防御手段,它就需要在所有的時(shí)間里做到100%完美。現(xiàn)實(shí)是,即便是用來(lái)居住的房子墻壁也會(huì)隨著時(shí)間的推移而形成裂縫,更不用說(shuō)如今的企業(yè)邊界還涉及云、移動(dòng)和遠(yuǎn)程資產(chǎn),而且還可能存在自己都不清楚的隱藏資產(chǎn)。
完美絕不是良好網(wǎng)絡(luò)安全的先決條件。我們有各種各樣的防御措施,即使在存在未知或錯(cuò)誤的情況下也能發(fā)揮作用。比如,提高網(wǎng)絡(luò)系統(tǒng)中最基礎(chǔ)部分的安全性——軟件安全,來(lái)從底部構(gòu)建網(wǎng)絡(luò)安全體系。
映射您的內(nèi)部路徑
軟件系統(tǒng)非常復(fù)雜。因此,如果我像攻擊者一樣思考,那么不可能嘗試了解所有攻擊面。我不需要知道所有數(shù)據(jù)或有關(guān)的安全策略的所有信息。我們只需要考慮哪些途徑有利于快速入侵并成功,這可以作為破解攻擊面的切入點(diǎn)。
這就是應(yīng)該考慮的保護(hù)系統(tǒng)的方式,找到軟件系統(tǒng)中的攻擊面和敏感資產(chǎn)之間存在的路徑,并將其扼殺,如果必須要用到這些路徑,并且十分關(guān)鍵,那么就設(shè)置故障保護(hù)和警報(bào),這樣,當(dāng)攻擊者利用這條路徑時(shí),就可以在他們竊取數(shù)據(jù)之前就知道了。
或者可以理解為,企業(yè)可以提前發(fā)現(xiàn)軟件系統(tǒng)中的安全漏洞并進(jìn)行修復(fù),在黑客利用漏洞之前將網(wǎng)絡(luò)入侵“扼殺在搖籃”之中。
對(duì)網(wǎng)絡(luò)防御資產(chǎn)進(jìn)行分類
一種方法是根據(jù)哪些資產(chǎn)需要與互聯(lián)網(wǎng)交流,哪些不需要,對(duì)資產(chǎn)進(jìn)行分類。可能的情況是,絕大多數(shù)面向互聯(lián)網(wǎng)的資產(chǎn)是軟件即服務(wù)(SaaS)應(yīng)用程序或設(shè)備的組件,這些應(yīng)用程序或設(shè)備您不使用或不需要使用。如果您有一個(gè)提供文件傳輸和VPN的設(shè)備,并且您只使用VPN,那么請(qǐng)關(guān)閉文件傳輸特性。
下一個(gè)類別是:從外部可見的、對(duì)公司運(yùn)營(yíng)必不可少的東西,比如公司網(wǎng)站或遠(yuǎn)程訪問(wèn)協(xié)議。這些毫無(wú)疑問(wèn)是攻擊面和敏感數(shù)據(jù)之間的一些突出的路徑。存儲(chǔ)這些數(shù)據(jù)軟件安全性至關(guān)重要,確保這些軟件安全對(duì)保護(hù)數(shù)據(jù)有很大意義。
增加外部防御更不能缺少內(nèi)部強(qiáng)化
有些企業(yè)應(yīng)該已經(jīng)建立了完善的數(shù)據(jù)資產(chǎn)保護(hù)機(jī)制,并將需要訪問(wèn)和密切監(jiān)控的資產(chǎn)放置其中。但更重要的是,安全問(wèn)題不應(yīng)該僅靠外部防御,從軟件開發(fā)初期利用靜態(tài)代碼檢測(cè)工具發(fā)現(xiàn)并修復(fù)安全漏洞,減少安全漏洞的產(chǎn)生,比后期的彌補(bǔ)更重要。
當(dāng)開發(fā)人員在編寫代碼時(shí),盡量“安全地編碼”可以有效建立軟件安全防御屏障,在完成軟件原型要求的同時(shí),構(gòu)建更加安全的應(yīng)用軟件。
不要指望漏洞補(bǔ)丁解決問(wèn)題
當(dāng)企業(yè)通過(guò)Qualys掃描并發(fā)現(xiàn)有300萬(wàn)個(gè)安全漏洞時(shí),該如何通過(guò)發(fā)布300萬(wàn)個(gè)補(bǔ)丁來(lái)修補(bǔ)?想必對(duì)任何人來(lái)說(shuō)都是無(wú)能為力的。但是在構(gòu)建軟件系統(tǒng)時(shí),對(duì)其細(xì)分市場(chǎng)中所包含的軟件進(jìn)行安全檢測(cè),不但可以高效了解系統(tǒng)安全狀況,更有利于在出現(xiàn)問(wèn)題之前解決。
底線:企業(yè)應(yīng)該在設(shè)計(jì)安全防御系統(tǒng)時(shí)假設(shè)攻擊者可以破壞任何資產(chǎn)并擁有其控制權(quán)、特權(quán)和功能。您可以通過(guò)實(shí)施縱深防御來(lái)保護(hù)資產(chǎn),即使并不知道這些資產(chǎn)是否重要,嚴(yán)謹(jǐn)?shù)陌踩烙匀皇潜夭豢缮俚摹?/p>
參讀鏈接:
threatpost.com/defending-u…