隨著新技術融入企業環境，安全實踐者必須更全面整體地看待企業風險管理。

[[181711]]

幾十年來，企業都將自身安全工作重點放在網絡邊界防御，以及保護服務器、計算機和網絡設備方面。然而，在互聯世界，“硬件定義的”方法不再具有意義。隨著企業轉向軟件定義的網絡，他們需要越過網絡層來防護不斷擴張的攻擊界面并考慮：無邊界攻擊界面是怎樣讓今天的企業安全模型失效的?企業可以采取哪些措施來跟上不斷進化的威脅?

在網絡安全上，企業面對的是難以攻克的高地，因為他們需要保護的攻擊界面已經擴張了很多，且還在進一步膨脹中。在過去，保護好網絡和終端便已足夠，但現在這種應用、云服務和移動設備(比如平板、手機、藍牙設備和智能手表)越來越多的情況下，企業要面對的，是一個大為延伸了的攻擊界面。

全球風險管理調查揭示，今天84%的網絡攻擊都針對的是應用層而非網絡層。企業需要將安全工作的范圍擴大到包含進這些新領域。但是，有2個攻擊領域是被企業安全人員忽視得最嚴重的，盡管它們代表了對業務的嚴重威脅，且越來越受到了黑客的青睞：物聯網(IoT)和微服務/容器。

1. 物聯網

[[181712]]

雖然政客和安全專家一直在提醒網絡攻擊的風險，他們卻極少(如果有的話)提到IoT相關的風險。鑒于所有設備全球連接性引發的嚴重安全問題，他們應該做出這方面警告的。

IoT(例如：物理安全系統、燈泡、家電、空調系統)將全球公司企業暴露在了更多的安全威脅之下。

美國中情局(CIA)前CISO羅伯特·比格曼認為，管理個人健康和安全系統的IoT設備，將成為下一個勒索軟件金礦。正如自帶設備辦公現象，公司企業需要調整他們的風險管理實踐，擴大風險評估范圍，將所有聯網設備囊括進來。如果員工的智能手表可被用以竊取公司WiFi口令，那這款手表就落入了公司風險評估的范圍內。這種情況下，公司企業面對的主要挑戰之一，是怎樣存儲、追蹤、分析由于網絡風險評估過程囊括進IoT而產生的大量數據，并讓這些數據發揮作用。新興網絡風險管理技術可能會對此有所幫助。

讓事情更復雜的是，IoT產品的開發先于通用安全框架或標準的產生。對很多IoT產品而言，安全都只是事后考慮的問題。解決IoT設備安全缺失問題的唯一合理方案，就是設立要求使用可信網絡和操作系統的新標準和政府監管。在那之前，企業至少應保證部署的IoT設備遵循標準友好的中心輻射式網絡協議，這樣能更好地抵御攻擊。另外，公司企業或許也可以考慮擴大滲透測試的范圍，將這些化外設備包括進來。

2. 微服務/容器

[[181713]]

咨詢公司 451 Research 最近的報告指出，近45%的企業要么已經實現，要么計劃明年推出微服務架構或基于容器的應用。該數字證實了圍繞這些新興技術的大肆宣傳，這些技術應能簡化應用開發者和開發運維團隊的生活的。微服務被用于有效分解大型應用，使之成為更小巧獨特的服務;而容器在這種環境下則被視為微服務架構的天然計算平臺。

通常，每個服務出于特定目的提供一組功能，不同服務相互作用以組成整個應用。中型應用由15-25個服務構成。相應地，這些微服務應用的物理特性就與它們的多層次前輩們大不相同了。將傳統應用分解成大量微服務實例，自然擴大了攻擊界面——因為應用不再集中在少數隔離的服務器上。而且，容器也可在數秒內被中斷或關停，導致幾乎無法手動追蹤所有這些改變。

基于微服務的應用的引入，需要我們重新思考安全假設和實踐，將重點放在監視服務間通信、微分段，和未使用及傳輸中數據的加密上。

最后，企業不應害怕對新興技術的利用，它們可以提升業務效率，對公司的總體成功做出貢獻。然而，安全實踐也必須隨之應用更整體的方法來搞定企業風險管理。這意味著不僅僅采取更廣泛的供應商風險管理，還包括了從新攻擊界面上收集安全數據。鑒于大多數IoT設備和微服務都欠缺足夠的安全框架或工具來檢測安全漏洞，傳統方法，比如滲透測試，應重新納入考慮——盡管它們價格不菲。