“外围”消亡 企业安全防护需要新形态

日期:2015-7-23作者:赵长林

【TechTarget中国原创】

过去的几十年,企业以部署网络安全、身份访问管理、终端保护为主,如今,应用程序及其处理的数据成为企业的最宝贵资产。对于保护应用程序,网络级的安全有不足之处,其中网络过滤器对应用程序的行为、数据流、组成等都知之甚少。

而且,基于网络的保护要求仅适应基于外围的技术,但近几年来所谓的“外围”已经消亡。公司防火墙也提供了保护,但在员工们使用移动设备时,就会发生动态改变。外围不复存在,所以我们如何期望防火墙保护员工呢?防火墙如何保护移动设备上的应用呢?因此,企业既要利用网络级的保护,更要重视利用应用级的保护。

企业需要双重保护

网络和应用级的安全都非常重要,因为其着重点不同。网络级的防御是根据源地址、目的地址、源端口以及目标端口来做出安全决策的。虽然这种安全机制运行很快,但它并不检查数据包的应用层,因而就有可能遗漏针对应用层的攻击。

应用层的防御工作要跨越OSI参考模型的全部七层。一般来说,应用层的防御在编制时是针对具体应用的,并且要掌控大量的应用信息。虽然应用层防御一般相对较慢,但它可以有效地过滤哪些命令与相关应用结合使用,并执行有效的应用分析。所以,如果一个应用程序表现出异常行为,安全管理者就有可能在第一时间防止其造成破坏。由于其速度和处理海量通信的能力,我们建议将网络防御放在企业的网关,然后在需要保护的服务之前部署应用层防御。

任何企业都有可能面临应用层和网络层的攻击。如今,企业越来越能够理解针对应用程序的威胁与基于网络的威胁一样可带来严重威胁,甚至其危害更大。而且,攻击者正在使用一种新型攻击:可在应用层和网络层之间切换的多阶攻击。

攻击者通过访问第三方承包商的访问入口,使用合法的凭据访问企业网络。企业使用应用程序控制检测可疑的登录,可以检测或防止此行为。由此,攻击会通过网络转而访问其它系统。在这里,入侵防御系统(IPS)或基于网络的威胁检测工具就有可以检测和阻止攻击。虽然有些企业并不知道自己如何成了靶子,但通过应用程序和网络的安全控制使防御者挫败攻击者。

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

评论
查看更多评论

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

作者>更多

赵长林
赵长林

TechTarget中国特邀作者

企业安全风险管理>更多

相关推荐

技术手册>更多

  • 一个新的安全计划

    个人智能手机和其他计算设备正不断涌入企业,迫使关于安全的思考发生转变。现在就更新你的安全策略,在你还没有败倒在个人智能手机的猛攻前。

  • 走进单点登录

    SSO,也就是单点登录(single sign-on),它是是一种认证方法,要求用户只登录一次,使用一个用户ID和密码,登录多个应用、系统或Web网站。企业的单点登录(SSO)为终端用户提供了改善用户经验,帮助IT员工减少管理大量应用上的密码的成本。在本技术专题指南中,将主要通过专家回答用户问题的方式,解密单点登录,带领大家走进单点登录。

  • 创建网络访问隔离控制

    NAQC(Network Access Quarantine Control,网络访问隔离控制)可以阻止从远程地址不受阻碍、自由地访问网络,直到目标计算机已经证明远程计算机的配置可以满足脚本中列出的特定要求和标准。

  • Microsoft SQL Server 2008安全

    虽然改进的过程很艰辛,但是Microsoft SQL Server 2008比2005和2000更安全了。保护业务的关键是数据库安全。组织、企业、互联网、以及应用程序对数据库的依赖程度从来没有如此之高。毕竟,现在有什么数据不是存储在你的后端数据库中呢!

TechTarget

最新资源
  • 存储
  • CIO
  • 数据库
  • 网络
  • 数据中心
  • 云计算
【TechTarget中国原创】

过去的几十年,企业以部署网络安全、身份访问管理、终端保护为主,如今,应用程序及其处理的数据成为企业的最宝贵资产。对于保护应用程序,网络级的安全有不足之处,其中网络过滤器对应用程序的行为、数据流、组成等都知之甚少。

而且,基于网络的保护要求仅适应基于外围的技术,但近几年来所谓的“外围”已经消亡。公司防火墙也提供了保护,但在员工们使用移动设备时,就会发生动态改变。外围不复存在,所以我们如何期望防火墙保护员工呢?防火墙如何保护移动设备上的应用呢?因此,企业既要利用网络级的保护,更要重视利用应用级的保护。

企业需要双重保护

网络和应用级的安全都非常重要,因为其着重点不同。网络级的防御是根据源地址、目的地址、源端口以及目标端口来做出安全决策的。虽然这种安全机制运行很快,但它并不检查数据包的应用层,因而就有可能遗漏针对应用层的攻击。

应用层的防御工作要跨越OSI参考模型的全部七层。一般来说,应用层的防御在编制时是针对具体应用的,并且要掌控大量的应用信息。虽然应用层防御一般相对较慢,但它可以有效地过滤哪些命令与相关应用结合使用,并执行有效的应用分析。所以,如果一个应用程序表现出异常行为,安全管理者就有可能在第一时间防止其造成破坏。由于其速度和处理海量通信的能力,我们建议将网络防御放在企业的网关,然后在需要保护的服务之前部署应用层防御。

任何企业都有可能面临应用层和网络层的攻击。如今,企业越来越能够理解针对应用程序的威胁与基于网络的威胁一样可带来严重威胁,甚至其危害更大。而且,攻击者正在使用一种新型攻击:可在应用层和网络层之间切换的多阶攻击。

攻击者通过访问第三方承包商的访问入口,使用合法的凭据访问企业网络。企业使用应用程序控制检测可疑的登录,可以检测或防止此行为。由此,攻击会通过网络转而访问其它系统。在这里,入侵防御系统(IPS)或基于网络的威胁检测工具就有可以检测和阻止攻击。虽然有些企业并不知道自己如何成了靶子,但通过应用程序和网络的安全控制使防御者挫败攻击者。

攻击方法

因为网络层防御并不了解应用层,所以它无法防护常见的应用层攻击,如缓冲区溢出、SQL注入、跨站脚本攻击等。网络层防御擅长的是入口过滤、阻止IT禁止的IP地址、出口过滤、防止通信离开网络,等等。由于应用层产品要执行更大数量级的负载检查,所以将其用作网关设备并且检查通过网关的每个数据包是很不现实的。

从网络方面看,防火墙仍是必须的,而且能够检查应用程序通信的下一代防火墙是非常关键的。从应用程序方面看,在外围和在一些高风险的应用服务器的前面部署WEB安全网关和应用防火墙都非常重要,特权账户的管理产品可以检测并限制或终止可疑的登录或对应用程序的访问。在终端和网络上的威胁检测产品会越来越重要,因为它擅长检测绕过外围的攻击。

下一阶段

应用程序的安全领域最先出现的是应用程序安全检测。其中有三种检测技术还是不错的,即静态应用安全测试(SAST)、动态应用安全测试(DAST)、交互式应用安全测试(IAST)。这些测试可以在企业部署应用程序之前就分析其代码和查找安全漏洞,并模仿黑客的攻击行为,查找在WEB应用程序中有漏洞的控制。

但是,我们还必须强调应用程序的自我保护技术。近年出现的就是运行时应用程序的自我保护(RASP)。在应用程序运行时,这种技术实际上可以检测并识别攻击,并在攻击者利用应用程序的漏洞之前就加以阻止。这种有重要价值的技术势必对技术和市场有所改变。