沒有任何一個安全防御是完美的,那么如何對隱藏的數據資產進行保護呢?確保軟件安全可以說是從底層開始對網絡安全進行防御的有效手段。
早在90年代,我們都曾經在系統周圍構建大型防火墻,并尋找要修補的漏洞。從理論上講,在所擁有的軟件系統周圍筑起一道堅不可摧的墻是個好主意,因為它甚至可以保護曾被忽略的問題。
然而,如果一堵墻是你唯一的防御手段,它就需要在所有的時間里做到100%完美。現實是,即便是用來居住的房子墻壁也會隨著時間的推移而形成裂縫,更不用說如今的企業邊界還涉及云、移動和遠程資產,而且還可能存在自己都不清楚的隱藏資產。
完美絕不是良好網絡安全的先決條件。我們有各種各樣的防御措施,即使在存在未知或錯誤的情況下也能發揮作用。比如,提高網絡系統中最基礎部分的安全性——軟件安全,來從底部構建網絡安全體系。
映射您的內部路徑
軟件系統非常復雜。因此,如果我像攻擊者一樣思考,那么不可能嘗試了解所有攻擊面。我不需要知道所有數據或有關的安全策略的所有信息。我們只需要考慮哪些途徑有利于快速入侵并成功,這可以作為破解攻擊面的切入點。
這就是應該考慮的保護系統的方式,找到軟件系統中的攻擊面和敏感資產之間存在的路徑,并將其扼殺,如果必須要用到這些路徑,并且十分關鍵,那么就設置故障保護和警報,這樣,當攻擊者利用這條路徑時,就可以在他們竊取數據之前就知道了。
或者可以理解為,企業可以提前發現軟件系統中的安全漏洞并進行修復,在黑客利用漏洞之前將網絡入侵“扼殺在搖籃”之中。
對網絡防御資產進行分類
一種方法是根據哪些資產需要與互聯網交流,哪些不需要,對資產進行分類。可能的情況是,絕大多數面向互聯網的資產是軟件即服務(SaaS)應用程序或設備的組件,這些應用程序或設備您不使用或不需要使用。如果您有一個提供文件傳輸和VPN的設備,并且您只使用VPN,那么請關閉文件傳輸特性。
下一個類別是:從外部可見的、對公司運營必不可少的東西,比如公司網站或遠程訪問協議。這些毫無疑問是攻擊面和敏感數據之間的一些突出的路徑。存儲這些數據軟件安全性至關重要,確保這些軟件安全對保護數據有很大意義。
增加外部防御更不能缺少內部強化
有些企業應該已經建立了完善的數據資產保護機制,并將需要訪問和密切監控的資產放置其中。但更重要的是,安全問題不應該僅靠外部防御,從軟件開發初期利用靜態代碼檢測工具發現并修復安全漏洞,減少安全漏洞的產生,比后期的彌補更重要。
當開發人員在編寫代碼時,盡量“安全地編碼”可以有效建立軟件安全防御屏障,在完成軟件原型要求的同時,構建更加安全的應用軟件。
不要指望漏洞補丁解決問題
當企業通過Qualys掃描并發現有300萬個安全漏洞時,該如何通過發布300萬個補丁來修補?想必對任何人來說都是無能為力的。但是在構建軟件系統時,對其細分市場中所包含的軟件進行安全檢測,不但可以高效了解系統安全狀況,更有利于在出現問題之前解決。
底線:企業應該在設計安全防御系統時假設攻擊者可以破壞任何資產并擁有其控制權、特權和功能。您可以通過實施縱深防御來保護資產,即使并不知道這些資產是否重要,嚴謹的安全防御仍然是必不可少的。
參讀鏈接:
threatpost.com/defending-u…
