安全專業(yè)人士在工作中可能會(huì)有一種虛假的安全感。如果想要維護(hù)企業(yè)安全，舊有安全方法和技術(shù)中有幾處地方需要改進(jìn)。

向云端遷移。安全左移。購買最新的XDR和欺騙工具。技術(shù)和網(wǎng)絡(luò)安全行業(yè)總是容易受到市場(chǎng)炒作的影響，但這些舉動(dòng)真的讓企業(yè)更安全了嗎?或者說，這些動(dòng)作不過是增加了復(fù)雜性?

從SolarWinds后門到微軟Exchange漏洞，重大黑客事件層出不窮，安全專業(yè)人員怎么才能睡個(gè)好覺?他們總覺得自己在做正確的事，但這難道真的難道不是一種虛假的安全感嗎?

Salt Security技術(shù)布道者M(jìn)ichael Isbitski表示，安全專業(yè)人員應(yīng)該多加關(guān)注應(yīng)用編程接口(API)安全，因?yàn)锳PI支撐著上述很多技術(shù)策略。從托管內(nèi)部云應(yīng)用到依賴網(wǎng)關(guān)和傳統(tǒng)補(bǔ)丁管理工具，舊有安全方法對(duì)API安全并未投入足夠的重視，而API很容易遭到攻擊者染指。

Isbitski稱：“風(fēng)險(xiǎn)實(shí)在太大，企業(yè)應(yīng)該老實(shí)承認(rèn)自己在這些安全方法和工具選擇上過于自信了。面對(duì)現(xiàn)代威脅，企業(yè)真的應(yīng)該尋找相應(yīng)的工具和過程更新方法。”

下面謹(jǐn)列出七條建議，幫助安全專業(yè)人員梳理部署安全概念和技術(shù)的過程中應(yīng)該考慮的問題。

[[397574]]

▶ 你構(gòu)建的云應(yīng)用真的安全嗎?

隨著邁向云端的步伐，企業(yè)在為云重新設(shè)計(jì)的安全工具上投入了大量資金，投資重點(diǎn)通常是云工作負(fù)載保護(hù)和容器安全工具。此類工具有助于識(shí)別已知脆弱依賴，檢測(cè)錯(cuò)誤配置，微分隔工作負(fù)載，以及防止偏離已確立的安全基線。但Kubernetes等平臺(tái)中未修復(fù)的漏洞和錯(cuò)誤配置一直以來都是攻擊者的入口點(diǎn)，可供他們繞過訪問控制，在被黑集群上執(zhí)行惡意代碼，以及部署加密貨幣挖礦機(jī)。

Isbitski說道：“很不幸，此類新型云安全工具仍然無法解決很多應(yīng)用層安全問題。這些工具主要解決的是網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全，卻將應(yīng)用安全繼續(xù)置于脆弱境地。所以，公有云可能是安全的，但這并不意味著你內(nèi)部構(gòu)建的應(yīng)用是安全的。”

▶ 安全可以左移，但也必須右移

左移概念鼓勵(lì)開發(fā)團(tuán)隊(duì)將安全過程和工具盡早納入軟件開發(fā)生命周期(SDLC)，并傳播安全專業(yè)技術(shù)知識(shí)。左移與DevSecOps實(shí)踐緊密相關(guān)，而后者的目標(biāo)是在設(shè)計(jì)、構(gòu)建和部署階段集成和自動(dòng)化安全。DevSecOps實(shí)踐為很多企業(yè)帶來了豐厚回報(bào)，因?yàn)椴捎么藢?shí)踐的企業(yè)能夠更快速地迭代安全，驗(yàn)證是否從一開始就恰當(dāng)構(gòu)建了安全，還能減少SDLC后期修復(fù)漏的開支。

然而，企業(yè)無法以運(yùn)行時(shí)安全為代價(jià)整體左移。開發(fā)人員不可能編寫出完美代碼，也無法在發(fā)布窗口期內(nèi)充分細(xì)致地掃描代碼，而且掃描器從設(shè)計(jì)上就是用來發(fā)現(xiàn)遵循明確模式的已知漏洞或弱點(diǎn)的。

安全左移從來就不是只意味著“左移”。但是，有利的一面是，左移確實(shí)讓開發(fā)團(tuán)隊(duì)能夠更快找到并修復(fù)大量安全漏洞。

新型攻擊和零日漏洞總會(huì)出現(xiàn)，生產(chǎn)中的應(yīng)用也需要保護(hù)。很多公司應(yīng)該不會(huì)左移到將運(yùn)行時(shí)安全排除在外。大多數(shù)人已經(jīng)意識(shí)到首尾兩端均需兼顧了。

▶ WAF和網(wǎng)關(guān)無法全面保護(hù)API

API是當(dāng)今現(xiàn)代應(yīng)用的基礎(chǔ)，但只有少數(shù)企業(yè)真正認(rèn)識(shí)到API的重要性或其呈現(xiàn)的風(fēng)險(xiǎn)水平。API對(duì)攻擊者的吸引力太大了，以致于承擔(dān)了與自身體量很不相稱的風(fēng)險(xiǎn)，但太多企業(yè)假定Web應(yīng)用防火墻(WAF)和API網(wǎng)關(guān)能夠充分保護(hù)自身API。實(shí)際上，這些技術(shù)由于固有的設(shè)計(jì)局限而無法阻止絕大多數(shù)類型的API攻擊，往往會(huì)給企業(yè)造成自身API和API驅(qū)動(dòng)的應(yīng)用很安全的虛假感覺。

API對(duì)每個(gè)企業(yè)而言都很特殊，針對(duì)API的真實(shí)攻擊往往不遵循已知漏洞的明確模式。對(duì)抗這類安全風(fēng)險(xiǎn)需要運(yùn)行時(shí)安全，運(yùn)行時(shí)安全才能夠持續(xù)學(xué)習(xí)API行為并盡早阻止攻擊者，無論攻擊者所用的攻擊技術(shù)是哪種。

安全團(tuán)隊(duì)需利用WAF或API網(wǎng)關(guān)之外的技術(shù)解決API安全問題。

記得2005年左右還有人爭(zhēng)論稱，網(wǎng)關(guān)供應(yīng)商會(huì)站出來滿足對(duì)額外安全功能的需求，至少Apigee這家供應(yīng)商確實(shí)發(fā)布了一個(gè)安全附加模塊。然而，API安全畢竟很大程度上是一組獨(dú)立供應(yīng)商的專屬領(lǐng)域，而不是API網(wǎng)關(guān)企業(yè)的專利。

企業(yè)通過API暴露出了大量應(yīng)用和海量數(shù)據(jù)。API造成的數(shù)據(jù)泄露和未授權(quán)訪問很常見。今天的API安全由大量工具組合構(gòu)成：一些擴(kuò)展到API防護(hù)的運(yùn)行時(shí)應(yīng)用安全工具，一些解決特定安全用例的API管理工具，可以測(cè)試API的應(yīng)用安全測(cè)試工具，以及專用于API的安全工具。

▶ 傳統(tǒng)補(bǔ)丁和漏洞管理工具無法保護(hù)API

盡管補(bǔ)丁和漏洞管理程序能夠幫助安全團(tuán)隊(duì)?wèi)?yīng)對(duì)現(xiàn)成軟件和組件的安全風(fēng)險(xiǎn)，但應(yīng)用和API安全策略需要的不止這些。

可惜，因?yàn)榧庇诒苊鉁S為99%的已知漏洞的受害者，企業(yè)將大量精力放在了補(bǔ)丁和漏洞管理上。已發(fā)布軟件或硬件中定義明確的漏洞往往通過通用漏洞與暴露(CVE)分類法來跟蹤記錄。然而，這一分類法根本無法捕獲企業(yè)在構(gòu)建或集成應(yīng)用與API時(shí)可能引入的各種潛在漏洞與弱點(diǎn)。

攻擊者有時(shí)會(huì)以軟件中眾所周知的漏洞為目標(biāo)，例如最近的Exchange服務(wù)器黑客攻擊事件。不過，更為普遍的情況是，攻擊者尋找目標(biāo)企業(yè)特有的API或API集成中的漏洞。企業(yè)創(chuàng)建或集成的代碼可沒有“補(bǔ)丁”供安全工程師用來縫合應(yīng)用與API。

通用缺陷列表(CWE)ID是更適合描述自主開發(fā)的應(yīng)用與API中缺陷的分類法。如果企業(yè)自行開發(fā)代碼或集成其他代碼，那么安全人員應(yīng)該很熟悉CWE和OWASP Top 10。這些都是更為相關(guān)的分類法，更適合自行構(gòu)建應(yīng)用或API而不是從使用CVE ID的其他地方采購的情況。

cwe.mitre.org表示，CWE可幫助開發(fā)人員和安全從業(yè)者做到以下事項(xiàng)：

• 以通用語言描述和討論軟件及硬件缺陷。
• 檢查現(xiàn)有軟件及硬件產(chǎn)品中的缺陷。
• 評(píng)估針對(duì)這些缺陷的工具的覆蓋率。
• 利用通用基準(zhǔn)執(zhí)行缺陷識(shí)別、緩解和預(yù)防。
• 在部署前防止軟件及硬件漏洞。

▶ 基本安全意識(shí)培訓(xùn)遠(yuǎn)遠(yuǎn)不夠，尤其是針對(duì)工程師的培訓(xùn)

安全意識(shí)培訓(xùn)的重點(diǎn)往往圍繞勒索軟件攻擊、網(wǎng)絡(luò)釣魚和社會(huì)工程攻擊，因?yàn)檫@些技術(shù)是攻擊者常會(huì)利用的。

企業(yè)往往過于自信此類意識(shí)培訓(xùn)能夠?qū)嶋H改變員工行為的程度了。太多企業(yè)采用的是照單劃勾的方法，往往每年通過第三方搞個(gè)一兩次培訓(xùn)，確保員工都參加了這個(gè)培訓(xùn)，然后就將之拋諸腦后，直到下一次培訓(xùn)期到了再走一次過場(chǎng)。

這顯然遠(yuǎn)遠(yuǎn)不夠，老實(shí)說，完全是在浪費(fèi)時(shí)間。專注即時(shí)安全培訓(xùn)會(huì)好上很多，能夠改變員工的行為，讓他們以更具安全思維的方式工作。

很多企業(yè)的應(yīng)用安全培訓(xùn)和意識(shí)仍落后于時(shí)代。隨著應(yīng)用發(fā)布節(jié)奏加快，開發(fā)人員和工程師往往根本沒有時(shí)間參加培訓(xùn)。即使擠出時(shí)間學(xué)習(xí)，這些人也只會(huì)專注自己的技術(shù)棧，安全在很大程度上淪為了一項(xiàng)事后考慮。

大多數(shù)企業(yè)仍然缺乏安全專業(yè)知識(shí)，尤其是在“全棧”工程這方面。這就造成非安全人員在創(chuàng)建或更新應(yīng)用時(shí)幾乎沒有安全指南。敏捷方法論和開發(fā)運(yùn)維實(shí)踐導(dǎo)致的開發(fā)和發(fā)布時(shí)間線壓縮，也沒給安全設(shè)計(jì)審查或威脅建模演練等安全培訓(xùn)和意識(shí)本可以產(chǎn)生成效的方面留下多少時(shí)間。

缺乏時(shí)間一直是一項(xiàng)安全挑戰(zhàn)，但開發(fā)生命周期中的安全左移不可避免;安全不能一直是事后考慮，從組織的角度考慮，為什么不前期構(gòu)建安全呢?

事前預(yù)防可比安全事件或數(shù)據(jù)泄露發(fā)生后再補(bǔ)救省錢多了。但這確實(shí)需要給開發(fā)人員留出時(shí)間來培訓(xùn)和學(xué)習(xí)，也需要開發(fā)人員愿意這么做。意識(shí)培訓(xùn)不是一朝一夕之功。

▶ 僅僅購買新工具并不能保護(hù)企業(yè)安全

企業(yè)往往會(huì)覺得只要購買了最新、最熱門的安全工具就能保障安全了，但事實(shí)并非如此。

優(yōu)秀人才的招募和保留頗不容易，所以企業(yè)購買的新工具相當(dāng)程度上管理得并不恰當(dāng)，管理員經(jīng)常錯(cuò)誤配置了這些工具。安全團(tuán)隊(duì)需要捫心自問：我們真的用的是最新版本嗎?我們確實(shí)充分利用了新產(chǎn)品的所有功能?某些規(guī)則是不是在更新過程中被重寫了?

很多人都覺得靠買買買就能解決安全問題。但很不幸，多數(shù)情況下，最初安裝產(chǎn)品的人早已離職。這就是為什么有時(shí)候可能會(huì)有1000條規(guī)則放在那兒，現(xiàn)任管理員碰都不敢碰。他們害怕一旦動(dòng)了會(huì)不會(huì)搞掉一些非常重要的東西。改一行代碼就導(dǎo)致整個(gè)系統(tǒng)崩潰這種事，大家就算沒經(jīng)歷過也聽說過很多了。

企業(yè)還需要員工具備軟技能：遵循規(guī)程、閱讀文檔、向管理層報(bào)告/溝通問題。

另外，很多人都會(huì)認(rèn)為所有這些新產(chǎn)品肯定是完全集成的。這也是擴(kuò)展檢測(cè)與響應(yīng)(XDR)興起的原因之一，因?yàn)閄DR基本上就是包含了端點(diǎn)、網(wǎng)絡(luò)和云威脅檢測(cè)與響應(yīng)的預(yù)集成解決方案。

但不管怎么說，安全問題總歸是個(gè)難題。所以，托管安全服務(wù)仍在發(fā)展，甚至頂級(jí)供應(yīng)商都還在不斷推出托管服務(wù)。他們認(rèn)識(shí)到，無論自己的產(chǎn)品平臺(tái)多么集成和有效，還是有越來越多的CISO想要盡可能多地外包技術(shù)的管理。而且這種趨勢(shì)可能會(huì)隨時(shí)間穩(wěn)步發(fā)展。

▶ 推出物聯(lián)網(wǎng)產(chǎn)品的企業(yè)未必關(guān)注安全

企業(yè)的關(guān)注點(diǎn)可能落在制造汽車、電子消費(fèi)品或家用電器上，未必總能意識(shí)到自己理應(yīng)多投入點(diǎn)時(shí)間和金錢在這些產(chǎn)品及其集成移動(dòng)應(yīng)用的代碼開發(fā)與管理方面。

計(jì)算發(fā)展演進(jìn)到今天就是這樣。不從事軟件開發(fā)業(yè)務(wù)的公司如今也在開發(fā)應(yīng)用和API來驅(qū)動(dòng)自身核心業(yè)務(wù)了。但企業(yè)并非總能認(rèn)識(shí)到自己應(yīng)該保護(hù)好支撐著這么多物聯(lián)網(wǎng)設(shè)備的API和應(yīng)用。

圍繞物聯(lián)網(wǎng)的漏洞真的太多了。隨著5G在美國和很多發(fā)達(dá)國家的鋪開，各種類型物聯(lián)網(wǎng)設(shè)備的泛在連接將不僅僅是可能，而是會(huì)成為標(biāo)準(zhǔn)操作。而許多此類設(shè)備不僅沒有內(nèi)置安全功能，還從開發(fā)伊始就沒考慮過安全。

因此，如果缺乏良好的5G物聯(lián)網(wǎng)防護(hù)，物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)可能會(huì)卷土重來，尤其是在對(duì)很多黑客而言僵尸網(wǎng)絡(luò)驅(qū)動(dòng)的加密貨幣挖礦越來越有利可圖的情況下。未來十年，物聯(lián)網(wǎng)可能是網(wǎng)絡(luò)安全敘事的重點(diǎn)之一。