企业承受的攻击面扩大，安全应该考虑网络层以外的东西

威胁企业安全的新技术频出，相关负责人应采用更全面的企业风险管理方法。

数十年以来，企业和组织都将其安全工作的重心放在网络边界防御，以及如何加强服务器、计算机和网络设备的安全性。随着软件定义网络的普及，攻击面不断扩大，企业需要跳出网络层，并考虑以下问题：边界被打破，攻击面扩大，现有的企业安全模式为什么会因此失效？企业应采取哪些措施，应对快速变化的安全威胁？

由于需要保护的攻击面急剧扩大，并将继续扩大，欲攻克网络安全问题，企业需要打一场硬仗。过去，企业做好网络层和端点保护就足够了。但现在，各种应用、云服务和移动设备越来越多，企业面对的攻击面也急剧扩大。

这一点在最近一份调查中得到了证实。《全球风险管理调查》（Global Risk Management Survey）发现，如今84%的网络攻击针对的是应用层，而非网络层。企业需要扩大保护面，将新的内容囊括进来。其中，有两个攻击点经常给业务造成重大威胁，也有越来越多的黑客开始利用其中的漏洞，但这两个点却常常被企业安全人员忽视：即物联网（IoT）和微服务/容器。

IoT

随着IoT（包括物理安全系统、灯泡、电器以及暖通系统）的普及，全球范围内的众多企业面对的安全威胁也明显增加。

据中情局前首席信息官Robert Bigman称，管理个人健康和安全系统的IoT设备，将会成为下一代勒索软件的重点攻击对象。随着企业员工自带设备（BYOD）现象的增长，企业需要调整其风险管理措施，并将风险评估的范围扩大至所有联网设备。比如说，如果员工的智能手表可以被利用来嗅探企业WiFi密码，那么该手表就落入了企业风险评估的范畴。在这种环境下，将IoT设备纳入风险评估后产生的大量数据，要如何储存、追踪、分析及理解，将成为企业必须面对的重大挑战之一。企业可利用新兴的网络风险管理技术帮助应对这一挑战。

在通用安全框架或标准建立之前，IoT设备的开发早已开始，这就使得问题更加复杂化。对于许多IoT产品而言，安全问题是后来才有的。唯一合理解决IoT设备安全问题的方法，是树立新的标准和准则，要求使用受信网络和操作系统。在相关标准和准则设立之前，企业应强制要求其使用的IoT设备遵守贴近标准的轴辐式网络协议（hub-and-spoke networking protocols），减少被攻击的可能性。此外，企业可能还要考虑对这些外来设备进行渗透测试。

微服务/容器

据451 Research最近发表的报告，近45%的企业已经实现或将在未来12个月中实现微服务架构或基于容器的应用程序。这一数字证实了最近的宣传报道，即简化应用开发过程和开发运维一体化操作的技术已经出现。微服务，其实就是将较大的应用拆分为较小的、特征明显的服务；在这种情况下，容器自然而然成为了微服务架构的计算平台。

一般每种服务通常会为实现某个特定目的，而提供一系列的功能。不同的服务进行交互，组成整个应用程序。中等大小的应用程序通常由15到25个服务组成。这些基于微服务的应用与拥有多层结构的传统应用存在显著差异。将传统应用拆分为大量的微服务实例，自然会扩大攻击面，因为应用不再集中分布于几个独立的服务器上。此外，容器可以在数秒之内启动或关闭，要人工追踪这些变化基本不可能。

引进基于微服务的应用，就要求企业相关人员重新思考安全假设与实践，而且需要特别监控服务间的通信、微切分及动静态数据的加密。

最后，现在出现了许多新兴技术，可提高企业效率，帮助企业获得成功，企业不应该也不能避开这些技术。但是，安全人员应该采用更全面的企业风险管理方法。这意味着他们不仅要采用更全面的供应商风险管理方法，更要从新的攻击面收集安全数据。因为大多数IoT设备和微服务都缺乏合适的安全框架或者工具，来监控或检测安全问题，企业必须重新考虑采用包括渗透测试在内的传统方法。