“外围”消亡 企业安全防护需要新形态

日期:2015-7-23作者:赵长林

【TechTarget中国原创】

过去的几十年,企业以部署网络安全、身份访问管理、终端保护为主,如今,应用程序及其处理的数据成为企业的最宝贵资产。对于保护应用程序,网络级的安全有不足之处,其中网络过滤器对应用程序的行为、数据流、组成等都知之甚少。

而且,基于网络的保护要求仅适应基于外围的技术,但近几年来所谓的“外围”已经消亡。公司防火墙也提供了保护,但在员工们使用移动设备时,就会发生动态改变。外围不复存在,所以我们如何期望防火墙保护员工呢?防火墙如何保护移动设备上的应用呢?因此,企业既要利用网络级的保护,更要重视利用应用级的保护。

企业需要双重保护

网络和应用级的安全都非常重要,因为其着重点不同。网络级的防御是根据源地址、目的地址、源端口以及目标端口来做出安全决策的。虽然这种安全机制运行很快,但它并不检查数据包的应用层,因而就有可能遗漏针对应用层的攻击。

应用层的防御工作要跨越OSI参考模型的全部七层。一般来说,应用层的防御在编制时是针对具体应用的,并且要掌控大量的应用信息。虽然应用层防御一般相对较慢,但它可以有效地过滤哪些命令与相关应用结合使用,并执行有效的应用分析。所以,如果一个应用程序表现出异常行为,安全管理者就有可能在第一时间防止其造成破坏。由于其速度和处理海量通信的能力,我们建议将网络防御放在企业的网关,然后在需要保护的服务之前部署应用层防御。

任何企业都有可能面临应用层和网络层的攻击。如今,企业越来越能够理解针对应用程序的威胁与基于网络的威胁一样可带来严重威胁,甚至其危害更大。而且,攻击者正在使用一种新型攻击:可在应用层和网络层之间切换的多阶攻击。

攻击者通过访问第三方承包商的访问入口,使用合法的凭据访问企业网络。企业使用应用程序控制检测可疑的登录,可以检测或防止此行为。由此,攻击会通过网络转而访问其它系统。在这里,入侵防御系统(IPS)或基于网络的威胁检测工具就有可以检测和阻止攻击。虽然有些企业并不知道自己如何成了靶子,但通过应用程序和网络的安全控制使防御者挫败攻击者。

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

评论
查看更多评论

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

作者>更多

赵长林
赵长林

TechTarget中国特邀作者

企业安全风险管理>更多

  • 企业如何构建用户行为分析功能?

    现在每个企业每天都会生成海量日志数据,涉及用户行为、服务器活动、应用和网络设备等。然而,企业却无法从这些日志数据中获得洞察力……

  • CJIS安全政策:企业如何确保FIPS合规性?

    我们被告知我们公司的WebOMNI系统需要符合FIPS 140-2标准,因为其中包含一些CJIS数据。如何确认哪些FIPS证书可覆盖我们的配置?如今已确定是证书1008(bcrypt.dll)或者1010(RSAENH),如何对其进行判断?

  • 企业该如何平衡隐私性和安全性?

    在企业中,隐私和安全往往会发生相互冲撞的现象,那么企业该如何更好地平衡二者呢?为了顺利协调二者,企业需要更好地理解隐私和安全各自的界定以及连接二者的有效方式……

  • 解决数据安全问题:企业需有针对性地进行防御

    据统计,黑客们利用仅仅是有限的少量应用程序漏洞,但针对这些程序的攻击却占据了绝大多数。如果企业重视监视和防御有限的这些易被攻击的应用程序,攻击者的日子就要难过得多……

相关推荐

技术手册>更多

  • 端点安全实用指南

    端点安全一直是令IT团队头痛的问题。如今,越来越多的员工使用自己的智能手机、平板电脑和笔记本进行工作,同时,这些设备中平台和服务数量日益增多,再加上云计算技术使用的增加,都让信息安全专业人士更加头痛。

  • 开源加密工具TrueCrypt(附软件下载)

    本专题将介绍一款免费的、开源的、可移动的适用于笔记本电脑的加密软件TrueCrypt。TrueCrypt适用于个人或者小型企业和团队,可以在任何系统上运行而不需要安装。TrueCrypt可以采用多种加密算法,有效地保护机密数据。

  • 终端安全基础指导手册

    为什么我们有了越来越多先进的安全技术,但遭受攻击的次数却有增无减呢?本技术手册将分几部分,为你提供保护常见终端安全的技巧和方法,降低你数据泄漏的风险。

  • IT安全最佳实践集(更新版)

    “最佳实践”来自英文Best Practice。维基百科对最佳实践的定义是一个管理学概念,认为存在某种技术、方法、过程、活动或机制可以使生产或者管理实践的结果达到最优,并减少出错的可能性。学习应用IT企业安全的最佳实践,其实就是借鉴别人成功的经验,让自己在保护企业安全方面少走弯路。在本手册中,将集合IT业内关于企业安全的最佳实践,并不断更新,以期在企业安全防护方面提供帮助。

TechTarget

最新资源
  • 存储
  • CIO
  • 数据库
  • 网络
  • 数据中心
  • 云计算
【TechTarget中国原创】

过去的几十年,企业以部署网络安全、身份访问管理、终端保护为主,如今,应用程序及其处理的数据成为企业的最宝贵资产。对于保护应用程序,网络级的安全有不足之处,其中网络过滤器对应用程序的行为、数据流、组成等都知之甚少。

而且,基于网络的保护要求仅适应基于外围的技术,但近几年来所谓的“外围”已经消亡。公司防火墙也提供了保护,但在员工们使用移动设备时,就会发生动态改变。外围不复存在,所以我们如何期望防火墙保护员工呢?防火墙如何保护移动设备上的应用呢?因此,企业既要利用网络级的保护,更要重视利用应用级的保护。

企业需要双重保护

网络和应用级的安全都非常重要,因为其着重点不同。网络级的防御是根据源地址、目的地址、源端口以及目标端口来做出安全决策的。虽然这种安全机制运行很快,但它并不检查数据包的应用层,因而就有可能遗漏针对应用层的攻击。

应用层的防御工作要跨越OSI参考模型的全部七层。一般来说,应用层的防御在编制时是针对具体应用的,并且要掌控大量的应用信息。虽然应用层防御一般相对较慢,但它可以有效地过滤哪些命令与相关应用结合使用,并执行有效的应用分析。所以,如果一个应用程序表现出异常行为,安全管理者就有可能在第一时间防止其造成破坏。由于其速度和处理海量通信的能力,我们建议将网络防御放在企业的网关,然后在需要保护的服务之前部署应用层防御。

任何企业都有可能面临应用层和网络层的攻击。如今,企业越来越能够理解针对应用程序的威胁与基于网络的威胁一样可带来严重威胁,甚至其危害更大。而且,攻击者正在使用一种新型攻击:可在应用层和网络层之间切换的多阶攻击。

攻击者通过访问第三方承包商的访问入口,使用合法的凭据访问企业网络。企业使用应用程序控制检测可疑的登录,可以检测或防止此行为。由此,攻击会通过网络转而访问其它系统。在这里,入侵防御系统(IPS)或基于网络的威胁检测工具就有可以检测和阻止攻击。虽然有些企业并不知道自己如何成了靶子,但通过应用程序和网络的安全控制使防御者挫败攻击者。

攻击方法

因为网络层防御并不了解应用层,所以它无法防护常见的应用层攻击,如缓冲区溢出、SQL注入、跨站脚本攻击等。网络层防御擅长的是入口过滤、阻止IT禁止的IP地址、出口过滤、防止通信离开网络,等等。由于应用层产品要执行更大数量级的负载检查,所以将其用作网关设备并且检查通过网关的每个数据包是很不现实的。

从网络方面看,防火墙仍是必须的,而且能够检查应用程序通信的下一代防火墙是非常关键的。从应用程序方面看,在外围和在一些高风险的应用服务器的前面部署WEB安全网关和应用防火墙都非常重要,特权账户的管理产品可以检测并限制或终止可疑的登录或对应用程序的访问。在终端和网络上的威胁检测产品会越来越重要,因为它擅长检测绕过外围的攻击。

下一阶段

应用程序的安全领域最先出现的是应用程序安全检测。其中有三种检测技术还是不错的,即静态应用安全测试(SAST)、动态应用安全测试(DAST)、交互式应用安全测试(IAST)。这些测试可以在企业部署应用程序之前就分析其代码和查找安全漏洞,并模仿黑客的攻击行为,查找在WEB应用程序中有漏洞的控制。

但是,我们还必须强调应用程序的自我保护技术。近年出现的就是运行时应用程序的自我保护(RASP)。在应用程序运行时,这种技术实际上可以检测并识别攻击,并在攻击者利用应用程序的漏洞之前就加以阻止。这种有重要价值的技术势必对技术和市场有所改变。