你好,游客 登录
背景:
阅读新闻

技术债务:无法承受的数据中心安全风险

[日期:2019-11-25] 来源:企业网D1Net  作者: [字体: ]

  企业内部部署数据中心遗留的应用程序可能会留下很大的安全漏洞,因此须及时进行处理。

  遗留的应用程序、老旧操作系统以及过期的技术将会给企业的内部部署数据中心带来很大的风险,并且随着时间的推移,风险会越来越大。但是在这些遗留应用程序中,有许多程序对企业起着重要的作用。

  很多企业由于不同的原因而延迟解决其技术债务,常见的原因是这样做既费时又代价高昂,并且会占用其他优先级更高的项目中的支出。但这并不是数据中心团队能够忽略的问题。

  遗留应用程序和它们所运行的原有操作系统通常都具有重大的安全漏洞。如果网络攻击者进入这些环境,企业的安全管理人员甚至可能都不察觉,因为原有系统的日志记录严重不足。

  AttackIQ公司信息安全官、客户成功副总裁Chris Kennedy说,“这种技术债务将让企业面临双重威胁。网络攻击者可以利用应用程序中的缺陷,并且缺少日志记录使得很难了解攻击者是否进行攻击。”

  Kennedy表示,一些企业通过在其不安全的遗留系统周围筑起防火墙来解决这个问题。但他们须在防火墙提供通道,以便遗留应用程序继续工作,网络攻击者将会利用其漏洞进行攻击。

  根据最近的一项调查,只有5%的安全运营中心能够了解他们需要看到的一切。那么大的盲点是什么?没有产生可输入安全信息和事件管理系统的事件的遗留应用程序。在Exabeam公司的2019年安全监控中心(SOC)状态调查报告中,接受调查的45%的安全专业人士这样认为。

  另一项由调研机构波洛蒙研究所在今年10月发布的安全调查显示,有56%的公司表示缺乏可见性是造成数据泄露的主要原因。

  一些IT团队由于担心会破坏原有的但对业务重要的系统而不想使用它们,有些团队没有资源来解决这些项目,也无法说服企业管理层将其作为头等大事。还有一些人可能根本不知道其基础设施中的遗留系统以及相关的风险。

  Kennedy说,“我不认为企业董事会或高级管理人员了解这些遗留应用程序老化所带来的风险。但是众所周知的EternalBlue和WannaCry等网络攻击事件大多数针对的是旧版Windows操作系统的漏洞进行的。”

  现在应该修复未损坏的内容

  在安全性成为当今企业关注的焦点之前,已经创建了一些软件,有些是针对未暴露于公共互联网的环境而设计的。

  总部位于休斯顿的网络安全厂商Alert Logic公司威胁情报产品副总裁Rohit Dhamankar表示,要解决此问题,需要深入研究应用程序,并添加所需的日志记录基础设施。

  他表示,对于一些较旧的系统,当初的开发人员可能已经离职,而对代码的处理可能会造成破坏。假设任务关键型应用程序由数据中心的一小部分人使用。如果当初的开发人员离职,可能没有人会想采用这个软件。忽略原有操作系统的背后机制是相似的。由于升级操作系统可能会破坏正在运行的重要的应用程序,因此没有人愿意处理。这就是为什么在数据中心中仍使用许多过时的操作系统的部分原因。

  他说,“大多数公司仍在使用到2020年不再支持其环境中的操作系统。人们仍然在2008年配置的Windows服务器上运行程序。这是一个主要的问题,微软公司不会再提供补丁。用户没有东西可以保护正在构建的Microsoft应用程序堆栈。”而这里典型的是金融应用程序,老旧工资系统以及遗留Web应用程序。

  Dhamankar说:“在Linux操作系统方面我们也有相同的看法。有些应用程序是在Apache或Jboss上构建的,但运行的Linux版本确实已过时了,例如Linux2.6版已经停止支持三年了。与此同时,这些操作系统可能具有已知的易于利用的严重漏洞。这就是数据中心经理正在处理的事情。”

  Dhamankar表示,“摆脱遗留应用程序就像开展一个工程项目一样繁琐。需要重新构建应用程序或创建新的应用程序,并保障新功能在离开遗留应用程序之前可以正常工作。但这可能很难。很多人并不想重建已经存在的东西,例如旧版应用程序。此外,很多企业正在寻求投资回报率,或者关注是什么能够吸引更多的客户。如果数据中心或安全人员的工作能力不强,并且只向企业管理人员简单介绍业务案例,那么这些遗留项目往往不会获得资金支持。”

  如果无法解决,需要缓解

  遗留应用程序最终将会退出,但在此之前,数据中心管理可以采取一些措施来将风险降到低。例如,如果遗留应用程序只被内部用户使用,那么它所在的系统应该被隔离。

  Dhamankar建议说,“保障特定系统无法从互联网或不需要访问该系统的公司部门访问,以及确定哪些人可以访问遗留应用程序,这是采取的一些有效的缓解措施。”

  如果遗留应用程序需要互联网访问,则企业可以使用防火墙来阻止常见的攻击类型,例如SQL注入或跨站点脚本,或者应用白名单规则,以便只有一小部分经过批准的程序可以通过。也可以在主机系统上设置白名单。或者可以采用本地代理的形式,该代理仅允许遗留应用程序在该环境中运行,只能执行某些命令,而不能执行其他操作。

  Dhamankar说,“但这可能有风险。如果遗留应用程序比较脆弱的话,那么在其环境中添加新功能(如日志记录或白名单)就有可能造成破坏。”

  AttackIQ公司的Kennedy表示,在某些情况下,其他步骤可能包括购买对已停止使用操作系统的第三方支持,例如微软公司的扩展安全补丁支持。

  归根结底,遗留应用程序的安全性问题不应仅由安全团队承担。

  Illumio公司的Glenn说:“企业给安全监控中心(SOC)施加了太多压力,而对拥有遗留应用程序服务的人员却没有给予足够的压力。很明显在出了问题之后,安全团队有责任介入取证,但负责应用程序运行的是应用程序的所有者。为了了解这些应用程序如何工作并获取安全性所需的日志,这两个团队应该一起工作。”

 

  他指出,“这些团队应该紧密结合,这是因为许多遗留应用程序通常都是关键的程序。”





收藏 推荐 打印 | 录入:admin | 阅读:
本文评论   查看全部评论 (0)
表情: 表情 姓名: 字数
点评:
       
评论声明
  • 尊重网上道德,遵守中华人民共和国的各项有关法律法规
  • 承担一切因您的行为而直接或间接导致的民事或刑事法律责任
  • 本站管理人员有权保留或删除其管辖留言中的任意内容
  • 本站有权在网站内转载或引用您的评论
  • 参与本评论即表明您已经阅读并接受上述条款