技术债务:无法承受的数据中心安全风险

亿欧网  •  扫码分享
我是创始人李岩:很抱歉!给自己产品做个广告,点击进来看看。  
技术债务:无法承受的数据中心安全风险

编者按:在 大数据云计算 被广泛应用在各行各业的今天,数据中心的安全风险是企业不得不考虑的一个大问题,遗留的应用程序、老旧的操作系统等虽然短期内不能给企业带来直接的影响,但是长远来看,这将成为 数据安全 漏洞,成为一笔巨额的 技术债务 。

文章转载自企业网D1Net,经亿欧编辑发布,供业内人士参考。


企业内部部署数据中心遗留的应用程序可能会留下巨大的安全漏洞,因此必须及时进行处理。   

遗留的应用程序、老旧操作系统以及过期的技术将会给企业的内部部署数据中心带来巨大的风险,并且随着时间的推移,风险会越来越大。但是在这些遗留应用程序中,有许多程序对企业起着至关重要的作用。

很多企业由于不同的原因而延迟解决其技术债务,最常见的原因是这样做既费时又代价高昂,并且会占用其他优先级更高的项目中的支出。但这并不是数据中心团队能够忽略的问题。

遗留应用程序和它们所运行的原有操作系统通常都具有重大的安全漏洞。如果网络攻击者进入这些环境,企业的安全管理人员甚至可能都不察觉,因为原有系统的日志记录严重不足。

AttackIQ公司首席信息安全官、客户成功副总裁Chris Kennedy说,“这种技术债务将让企业面临双重威胁。网络攻击者可以利用应用程序中的缺陷,并且缺少日志记录使得很难了解攻击者是否进行攻击。”

Kennedy表示,一些企业通过在其不安全的遗留系统周围筑起防火墙来解决这个问题。但他们必须在防火墙提供通道,以便遗留应用程序继续工作,网络攻击者将会利用其漏洞进行攻击。

根据最近的一项调查,只有5%的安全运营中心能够了解他们需要看到的一切。那么最大的盲点是什么?没有产生可输入安全信息和事件管理系统的事件的遗留应用程序。在Exabeam公司的2019年安全监控中心(SOC)状态调查报告中,接受调查的45%的安全专业人士这样认为。

另一项由调研机构波洛蒙研究所在今年10月发布的安全调查显示,有56%的公司表示缺乏可见性是造成数据泄露的主要原因。

一些IT团队由于担心会破坏原有的但对业务至关重要的系统而不想使用它们,有些团队没有资源来解决这些项目,也无法说服企业高级管理层将其作为头等大事。还有一些人可能根本不知道其基础设施中的遗留系统以及相关的风险。

Kennedy说,“我不认为企业董事会或高级管理人员了解这些遗留应用程序老化所带来的风险。但是众所周知的EternalBlue和WannaCry等网络攻击事件大多数针对的是旧版Windows操作系统的漏洞进行的。”

现在应该修复未损坏的内容

在安全性成为当今企业关注的焦点之前,已经创建了一些软件,有些是针对未暴露于公共互联网的环境而设计的。

总部位于休斯顿的网络安全厂商Alert Logic公司威胁情报产品副总裁Rohit Dhamankar表示,要解决此问题,需要深入研究应用程序,并添加所需的日志记录基础设施。

他表示,对于一些较旧的系统,最初的开发人员可能已经离职,而对代码的处理可能会造成破坏。假设任务关键型应用程序由数据中心的一小部分人使用。如果最初的开发人员离职,可能没有人会想采用这个软件。忽略原有操作系统的背后机制是相似的。由于升级操作系统可能会破坏正在运行的至关重要的应用程序,因此没有人愿意处理。这就是为什么在数据中心中仍使用许多过时的操作系统的部分原因。

他说,“大多数公司仍在使用到2020年不再支持其环境中的操作系统。人们仍然在2008年配置的Windows服务器上运行程序。这是一个主要的问题,微软公司不会再提供补丁。用户没有任何东西可以保护正在构建的Microsoft应用程序堆栈。”而这里最典型的是金融应用程序,老旧工资系统以及遗留Web应用程序。

Dhamankar说:“在Linux操作系统方面我们也有相同的看法。有些应用程序是在Apache或Jboss上构建的,但运行的Linux版本确实已过时了,例如Linux2.6版已经停止支持三年了。与此同时,这些操作系统可能具有已知的易于利用的严重漏洞。这就是数据中心经理正在处理的事情。”

Dhamankar表示,“摆脱遗留应用程序就像开展一个工程项目一样繁琐。需要重新构建应用程序或创建新的应用程序,并确保新功能在离开遗留应用程序之前可以正常工作。但这可能很难。很多人并不想重建已经存在的东西,例如旧版应用程序。此外,很多企业正在寻求投资回报率,或者关注是什么能够吸引更多的客户。如果数据中心或安全人员的工作能力不强,并且只向企业管理人员简单介绍业务案例,那么这些遗留项目往往不会获得资金支持。”

如果无法解决,需要缓解

遗留应用程序最终将会退出,但在此之前,数据中心管理可以采取一些措施来将风险降到最低。例如,如果遗留应用程序只被内部用户使用,那么它所在的系统应该被隔离。

Dhamankar建议说,“确保特定系统无法从互联网或不需要访问该系统的公司部门访问,以及确定哪些人可以访问遗留应用程序,这是采取的一些有效的缓解措施。”

如果遗留应用程序需要互联网访问,则企业可以使用防火墙来阻止最常见的攻击类型,例如SQL注入或跨站点脚本,或者应用白名单规则,以便只有一小部分经过批准的程序可以通过。也可以在主机系统上设置白名单。或者可以采用本地代理的形式,该代理仅允许遗留应用程序在该环境中运行,只能执行某些命令,而不能执行其他操作。

Dhamankar说,“但这可能有风险。如果遗留应用程序比较脆弱的话,那么在其环境中添加新功能(如日志记录或白名单)就有可能造成破坏。”

AttackIQ公司的Kennedy表示,在某些情况下,其他步骤可能包括购买对已停止使用操作系统的第三方支持,例如微软公司的扩展安全补丁支持。

归根结底,遗留应用程序的安全性问题不应仅由安全团队承担。

Illumio公司的Glenn说:“企业给安全监控中心(SOC)施加了太多压力,而对拥有遗留应用程序服务的人员却没有给予足够的压力。很明显在出了问题之后,安全团队有责任介入取证,但负责应用程序运行的是应用程序的所有者。为了了解这些应用程序如何工作并获取安全性所需的日志,这两个团队应该一起工作。”

他指出,“这些团队应该紧密结合,这是因为许多遗留应用程序通常都是最关键的程序。”

本文已标注来源和出处,版权归原作者所有,如有侵权,请联系我们。

随意打赏

提交建议
微信扫一扫,分享给好友吧。