“外围”消亡 企业安全防护需要新形态

日期:2015-7-23作者:赵长林

【TechTarget中国原创】

过去的几十年,企业以部署网络安全、身份访问管理、终端保护为主,如今,应用程序及其处理的数据成为企业的最宝贵资产。对于保护应用程序,网络级的安全有不足之处,其中网络过滤器对应用程序的行为、数据流、组成等都知之甚少。

而且,基于网络的保护要求仅适应基于外围的技术,但近几年来所谓的“外围”已经消亡。公司防火墙也提供了保护,但在员工们使用移动设备时,就会发生动态改变。外围不复存在,所以我们如何期望防火墙保护员工呢?防火墙如何保护移动设备上的应用呢?因此,企业既要利用网络级的保护,更要重视利用应用级的保护。

企业需要双重保护

网络和应用级的安全都非常重要,因为其着重点不同。网络级的防御是根据源地址、目的地址、源端口以及目标端口来做出安全决策的。虽然这种安全机制运行很快,但它并不检查数据包的应用层,因而就有可能遗漏针对应用层的攻击。

应用层的防御工作要跨越OSI参考模型的全部七层。一般来说,应用层的防御在编制时是针对具体应用的,并且要掌控大量的应用信息。虽然应用层防御一般相对较慢,但它可以有效地过滤哪些命令与相关应用结合使用,并执行有效的应用分析。所以,如果一个应用程序表现出异常行为,安全管理者就有可能在第一时间防止其造成破坏。由于其速度和处理海量通信的能力,我们建议将网络防御放在企业的网关,然后在需要保护的服务之前部署应用层防御。

任何企业都有可能面临应用层和网络层的攻击。如今,企业越来越能够理解针对应用程序的威胁与基于网络的威胁一样可带来严重威胁,甚至其危害更大。而且,攻击者正在使用一种新型攻击:可在应用层和网络层之间切换的多阶攻击。

攻击者通过访问第三方承包商的访问入口,使用合法的凭据访问企业网络。企业使用应用程序控制检测可疑的登录,可以检测或防止此行为。由此,攻击会通过网络转而访问其它系统。在这里,入侵防御系统(IPS)或基于网络的威胁检测工具就有可以检测和阻止攻击。虽然有些企业并不知道自己如何成了靶子,但通过应用程序和网络的安全控制使防御者挫败攻击者。

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

评论
查看更多评论

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

作者>更多

赵长林
赵长林

TechTarget中国特邀作者

企业安全风险管理>更多

相关推荐

技术手册>更多

  • 09年安全走向预测

    2009年的安全形势与经济危机虽然没有直接关系,但是也会受到影响,例如企业的合并、安全预算的缩减、裁员、安全设备的选择等等,那么在新年中,安全形势将会发生哪些变化呢?在本专题中,TechTarget中国的安全专家将会与大家共享对未来的IT安全形势的看法。

  • IT安全最佳实践集(更新版)

    “最佳实践”来自英文Best Practice。维基百科对最佳实践的定义是一个管理学概念,认为存在某种技术、方法、过程、活动或机制可以使生产或者管理实践的结果达到最优,并减少出错的可能性。学习应用IT企业安全的最佳实践,其实就是借鉴别人成功的经验,让自己在保护企业安全方面少走弯路。在本手册中,将集合IT业内关于企业安全的最佳实践,并不断更新,以期在企业安全防护方面提供帮助。

  • 清除间谍软件

    本文将帮助理解间谍软件、它的来源、行为方式和引起的问题,并提供一些清除间谍软件的技术,以及如何防御将来的入侵。

  • 企业合并安全

    在本专题中,安全专家解释了管理两个公司完全不同的员工的最好方法、技术和策略。本文中介绍了在并购时的需要注意的问题,并为合并的每一步提供了参考的办法。

TechTarget

最新资源
  • 存储
  • CIO
  • 数据库
  • 网络
  • 数据中心
  • 云计算
【TechTarget中国原创】

过去的几十年,企业以部署网络安全、身份访问管理、终端保护为主,如今,应用程序及其处理的数据成为企业的最宝贵资产。对于保护应用程序,网络级的安全有不足之处,其中网络过滤器对应用程序的行为、数据流、组成等都知之甚少。

而且,基于网络的保护要求仅适应基于外围的技术,但近几年来所谓的“外围”已经消亡。公司防火墙也提供了保护,但在员工们使用移动设备时,就会发生动态改变。外围不复存在,所以我们如何期望防火墙保护员工呢?防火墙如何保护移动设备上的应用呢?因此,企业既要利用网络级的保护,更要重视利用应用级的保护。

企业需要双重保护

网络和应用级的安全都非常重要,因为其着重点不同。网络级的防御是根据源地址、目的地址、源端口以及目标端口来做出安全决策的。虽然这种安全机制运行很快,但它并不检查数据包的应用层,因而就有可能遗漏针对应用层的攻击。

应用层的防御工作要跨越OSI参考模型的全部七层。一般来说,应用层的防御在编制时是针对具体应用的,并且要掌控大量的应用信息。虽然应用层防御一般相对较慢,但它可以有效地过滤哪些命令与相关应用结合使用,并执行有效的应用分析。所以,如果一个应用程序表现出异常行为,安全管理者就有可能在第一时间防止其造成破坏。由于其速度和处理海量通信的能力,我们建议将网络防御放在企业的网关,然后在需要保护的服务之前部署应用层防御。

任何企业都有可能面临应用层和网络层的攻击。如今,企业越来越能够理解针对应用程序的威胁与基于网络的威胁一样可带来严重威胁,甚至其危害更大。而且,攻击者正在使用一种新型攻击:可在应用层和网络层之间切换的多阶攻击。

攻击者通过访问第三方承包商的访问入口,使用合法的凭据访问企业网络。企业使用应用程序控制检测可疑的登录,可以检测或防止此行为。由此,攻击会通过网络转而访问其它系统。在这里,入侵防御系统(IPS)或基于网络的威胁检测工具就有可以检测和阻止攻击。虽然有些企业并不知道自己如何成了靶子,但通过应用程序和网络的安全控制使防御者挫败攻击者。

攻击方法

因为网络层防御并不了解应用层,所以它无法防护常见的应用层攻击,如缓冲区溢出、SQL注入、跨站脚本攻击等。网络层防御擅长的是入口过滤、阻止IT禁止的IP地址、出口过滤、防止通信离开网络,等等。由于应用层产品要执行更大数量级的负载检查,所以将其用作网关设备并且检查通过网关的每个数据包是很不现实的。

从网络方面看,防火墙仍是必须的,而且能够检查应用程序通信的下一代防火墙是非常关键的。从应用程序方面看,在外围和在一些高风险的应用服务器的前面部署WEB安全网关和应用防火墙都非常重要,特权账户的管理产品可以检测并限制或终止可疑的登录或对应用程序的访问。在终端和网络上的威胁检测产品会越来越重要,因为它擅长检测绕过外围的攻击。

下一阶段

应用程序的安全领域最先出现的是应用程序安全检测。其中有三种检测技术还是不错的,即静态应用安全测试(SAST)、动态应用安全测试(DAST)、交互式应用安全测试(IAST)。这些测试可以在企业部署应用程序之前就分析其代码和查找安全漏洞,并模仿黑客的攻击行为,查找在WEB应用程序中有漏洞的控制。

但是,我们还必须强调应用程序的自我保护技术。近年出现的就是运行时应用程序的自我保护(RASP)。在应用程序运行时,这种技术实际上可以检测并识别攻击,并在攻击者利用应用程序的漏洞之前就加以阻止。这种有重要价值的技术势必对技术和市场有所改变。