DevOps 文化在企业中的兴起加快了产品交付时间。自动化无疑有它自己的优势。然而,容器化和云软件开发的兴起正使组织面临新的攻击面。
如今,企业中机器身份的数量远远超过了人类身份。事实上,机器身份的兴起造成“网络安全债”不断累积,增加安全风险。
以下是机器身份造成的三个主要安全风险以及应对措施:
· 证书更新问题
机器身份的保护方式与人类不同。人类 的ID 可以使用登录名和密码进行验证,但机器 ID 需要使用证书和密钥,而这些凭证则存在一个有效期的问题。
证书的有效期一般为两年,但是技术的快速发展已将一些证书的有效期缩短至 13 个月。鉴于在给定的 DevOps 周期中通常存在数千个机器身份,所有这些证书的有效期都不同,因此进行手动更新和审计几乎不可能。
依赖手动流程来验证证书的团队可能会面临计划外的中断,这是 DevOps 运维无法承受的。具有面向公众服务的公司可能会因此类中断而遭受负面的品牌影响。2021 年2月发生了一次与证书相关的宕机事件,过期的TLS证书使Google Voice崩溃,导致其24小时不可用。
自动化证书管理是解决此问题的最佳方案。例如Akeyless 这类的解决方案可以自动审核和更新过期证书。除了适合更广泛的 DevOps 自动化外,Akeyless 等工具还简化了机密管理。例如,该工具允许企业通过在机器访问敏感信息时创建一次性、短期证书来实现即时访问。这些证书消除了对静态密钥和证书的需求,从而减少了公司内部的潜在攻击面。
机器 ID 验证也依赖于私钥。随着企业中工具使用量的增加,影子 IT 已经成为一个主要问题。即使员工仅试用 SaaS 软件的试用版然后停止使用这些产品,该软件的安全证书通常仍然会保留在网络上,从而成为攻击者可以利用的漏洞。
秘密信息管理工具集成您网络的各个方面,并监控影子证书和密钥。因此,删除多余密钥并保护有效密钥变得简单。
· 事件响应滞后
安全团队面临的问题之一是因机器身份受损或过期而导致的级联问题。例如,如果单个机器 ID 被泄露,安全团队必须迅速更换其密钥和证书。如果不这样做,像Jenkins这样的自动化 CI/CD 工具将出现影响发布进度的错误。
像 Jenkins 这样的工具连接了 DevOps 运维的每个部分,也会产生下游问题。然后是第三方工具集成的问题。如果云容器因为检测到单个 ID 存在漏洞而决定撤销您的所有机器 ID,该怎么办?
所有这些问题都会即刻影响到您的安全团队,从而导致大量问题,使得将所有问题归咎于一个根本原因极具挑战性。好消息是自动化和电子密钥管理简化了这个过程。这些工具将使您的安全团队全面了解数字密钥和证书的位置,以及更新或颁发新证书所需的步骤。
令人惊讶的是,由于 DevOps 中的容器化方法,大多数组织缺乏对关键位置的可见性。大多数产品团队都是各自为营,并在生产之前聚集在一起集成不同的代码。其结果则是缺乏对不同移动部分的安全透明度。
在机器 ID 主导的世界中,安全性不能保持静态或集中。您必须创建敏捷的安全态势以匹配敏捷的开发环境。这种态势将帮助您快速应对级联问题并确定根本原因。
· 缺乏审计洞察力
机器 ID 的兴起并没有被忽视。政府越来越多地强制要求加密密钥,以监控数字身份,尤其是在监管敏感业务部门时。再加上企业必须遵守的数据隐私法律,对于任何手动机器ID管理程序来说都是极大的困扰。
如今,失败的安全审计会导致可怕的后果。除了失去公众信任之外,组织还为黑客设定了一个目标,这通常会增加安全漏洞的几率。一般的企业在其权限下可能有数十万个机器身份,每个身份都有不同的配置和有效期。
人类团队无法跟上这些身份的步调。然而有许多组织仍以这种方式为其安全团队分配任务,使他们面临重大的安全风险。即使手动过程处理密钥更新,人为错误也会产生问题。此外,期望少数管理员了解每个证书的信任要求是不现实的。
像 Hashicorp 这样的自动化解决方案可以无缝地解决这些问题,因为它提供了安全团队可以使用的简单审计和合规性数据。
自动化是关键
DevOps 优先考虑整个运维的自动化。要包括安全性,您必须在整个组织中自动化和集成这些应用程序,以创建灵活的安全态势。如果不这样做,机器身份数量的增加将使您的安全团队负担过重,无法应对威胁。
原标题:How to Combat the Biggest Security Risks Posed by Machine Identities
链接:
如何预防计算机病毒?
由于计算机病毒的传播方式多种多样,又通常具有一定的隐蔽性,因此,首先应提高全民对计算机病毒的防范意识,在计算机的使用过程中应注意下几点: (1)尽量不使用盗版或来历不明的软件。 (2)备份硬盘引区和主引导扇区数据,经常对重要的数据进行备份。 (3)养成经常用杀毒软件检查硬盘和每一张外来盘的良好习惯。 (4)杀毒软件应定期升级,一般间隔时间最好不超过一个月。 (5)安装了实时监控防病毒软件,当然这也不是一劳永逸的方法,防病毒软件不一定对所有的病毒都有效,而且病毒的更新速度也很快。 (6)随时注意计算机的各种异常现象,一旦发现,应立即用杀毒软件仔细检查。 杀毒软件是预防病毒感染的有效工具,应尽量配备多套杀毒软件,因为每个杀毒软件都有各自的特点。 (7)有些病毒的传播途径主要是通过电子邮件,被称为“邮件病毒”。 它们一般是通过邮件中“附件”夹带的方法进行扩散,你运行了该附件中的病毒程序,就使你的计算机染毒。 所以,不要轻易打开陌生人来信中的附件文件。 防病毒的八点常识及十大守则 一、防病毒八点常识 1、备好启动软盘,并贴上写保护。 检查电脑的任何问题,或者是解毒,最好在没有病毒干扰的环境下进行,才能完整测出真正的原因,或是彻底解决病毒的侵入。 因此,在安装系统之后,应该及时做一张启动盘,以备不时之需。 2、重要资料,必须备份。 资料是最重要的,程序损坏了可重新COPY,甚至再买一份,但是自己键入的资料,可能是三年的会计资料,可能是画了三个月的图片,结果某一天,硬盘坏了或者因为病毒而损坏了资料,会让人欲哭无泪,所以对于重要资料经常备份是绝对必要的。 3、尽量避免在无防毒软件的机器上使用软盘/zip盘/mo等可移动储存介质。 一般人都以为不要使用别人的磁盘,即可防毒,但是不要随便用别人的电脑也是非常重要的,否则有可能带一大堆病毒回家。 4、使用新软件时,先用扫毒程序检查,可减少中毒机会。 主动检查,可以过滤大部份的病毒。 5、准备一份具有查毒、防毒、解毒及重要功能的软件,将有助于杜绝病毒。 6、若硬盘资料已遭到破坏,不必急着FORMAT,因病毒不可能在短时间内,将全部硬盘资料破坏,故可利用灾后重建的解毒程序,加以分析,重建受损状态。 重建硬盘是有可能的,救回的机率相当高。 7、不要在互联网上随意下载软件。 病毒的一大传播途径,就是Internet。 潜伏在网络上的各种可下载程序中,如果你随意下载、随意打开,对于制造病毒者来说,可真是再好不过了。 因此,不要贪图免费软件,如果实在需要,请在下载后执行杀毒、查毒软件彻底检查。 8、不要轻易打开电子邮件的附件。 近年来造成大规模破坏的许多病毒,都是通过电子邮件传播的。 不要以为只打开熟人发送的附件就一定保险,有的病毒会自动检查受害人电脑上的通讯录并向其中的所有地址自动发送带毒文件。 最妥当的做法,是先将附件保存下来,不要打开,先用查毒软件彻底检查。 二、防病毒的十大守则 1.平常准备可正常开机之软式磁片, 并贴上防写贴纸. 检查电脑的任何问题, 或者是解毒, 最好在没有病毒干扰的环境下进行, 才能完整测出真正的原因, 或是彻底解决病毒的侵入. 2.重要资料, 必须备份. 资料是最重要的, 程式损坏了可重新COPY, 甚至再买一份, 但是自己键入的资料, 可能是三年的会计资料,可能是画了三个月的图形, 结果某一天, 硬碟坏了或者病毒的因素, 会让人欲哭无泪, 所以一般性的备份是绝对必要的. 3.记住 之长度, 若有异常, 即有中毒的可能. 中毒的程式, 绝大部份会改变长度, 所以记住一个常见程式的长度, 有助於判定是否有中病毒, 尤其是 档, 这部份如果被病毒感染,则你的电脑将体无完肤. 4.经常利用DOS指令MEM或CHKDSK, 检验记忆体之使用情形, 若BASERAM异常, 少於640KB, 则有中毒的可能. 利用CHKDSK检查MEMORY之大小一般为 total bytes memory, 若中病毒, 此数字将减少. 5.尽量避免在无防毒软体的机器上, 使用电脑磁片. 一般人都以为不要使用别人的磁片, 即可防毒, 但是不要随便用别人的电脑也是非常重要的, 否则有可能带一大堆毒回家. 6.使用新进软体时,先用扫毒程式检查, 可减少中毒机会. 主动检查, 可以过滤大部份的病毒. 7.准备一份具有侦毒. 防毒. 解毒及重建功能之软体, 将有助於杜绝病毒. 8.遇到电脑有不明音乐传出或当机时, 而硬碟的灯持续亮著, 应即刻关机. 发现电脑HDISK 的灯持续闪烁, 可能是病毒正在FORMAT硬碟. 9.若硬碟资料已遭到破坏, 不必急著FORMAT, 因病毒不可能在短时间内, 将全部硬碟资料破坏, 故可利用灾後重建的解毒程式,加以分析, 重建受损状态. 重建硬碟是有可能的, 救回的机率相当高. 10.请尊重原产品之智慧财产权, 并支持国人自制的优良软体.
安全防御未来发展趋势是什么样的?
网络安全市场的发展和ICT市场的发展是紧密相连的,网络安全的成熟度也随着ICT市场发展逐渐成熟。 全球权威咨询机构IDC在2007年提出以云计算、大数据、社交和移动四大支柱技术为依托的“第三平台” 概念,以第三平台为基础,将全球ICT市场发展分为三个阶段:试点创新、倍增创新、智能创新。
今天,第三平台技术已经进入到倍增创新的阶段,成为企业IT系统的基础。 人工智能技术开始被行业所关注,并且越来越广泛的被应用于各行各业。 未来,进入“智能创新”阶段,在超复杂性规模化环境中,人工智能的成熟度将呈现指数级增长,人工智能在网络安全的领域也将会产生更多的创新。
在过去的两年里,伴随着ICT的高速发展,全球的恶意移动软件攻击的数量增加了将近一倍;在我国,漏洞的数量也逐年递增。 究其原因,其主要在于数字化转型带来了IT资产价值的大幅提升,导致黑产为获利而加大各种网络攻击行为。 根据IDC在亚太地区的一项调研,当网络攻击发生时,只有17%企业可以使用自动化工具,实时的进行威胁处理,而其他的绝大多数的企业难以高效处理网络攻击事件。 因此,未来企业需要的是自动化的处理、快速的检测、快速的响应,人工智能技术和机器学习技术将会在此间发挥巨大的作用。
新技术推动数字化转型的同时,也会为黑产所利用。 近些年来,随着云计算、物联网、人工智能的快速发展,使得这些技术和基础设施可以作为企业业务系统的资源,极大的提高企业的生产效率。 但是,它们也为黑产进行网络攻击提供了技术支撑,例如,云计算的大量运算能力可能会被用来发起DDoS攻击;会有一定比例的海量物联网终端可能被黑客控制做为“肉鸡”;人工智能技术也可能被用于自动化攻击工具的开发,形成AI黑客机器人。 在这种情况下,依赖人工去处理大量的攻击事件是不现实的。 因此,未来网络安全技术与人工智能技术结合,制造AI防御机器人对抗AI黑客机器人进行防御将是一种必然的趋势。
20年前,由于IT架构极简,企业进行网络安全建设往往是简单选择一些合规产品,如防火墙、入侵检测、日志分析等。 今天,企业的IT系统已经广泛的部署在云计算环境中,基础设施环境越发复杂,仅仅依靠这些产品已经不足以识别、发现、处置复杂的安全风险。 根据IDC研究,未来,企业所选择的网络安全技术将向大数据分析、AI、认知方向发展,具体包括:自动响应、开发安全计划、调查、探索、威胁诱捕等等新的安全技术。
根据IDC的调研,全球网络安全市场需求仍然不断快速增长。 IDC预测,到2022年,60%的安全运营中心的初级分析师,将利用人工智能和机器学习持续提高其工作效率,并提升其运营的安全水平。 未来将会有更多的安全技术与人工智能技术紧密结合,互相处促进,逐渐成熟。 人工智能也将成为网络安全产业未来发展必备的关键技术。
啤酒盖为什么是固定齿数的?
到了夏季,很多人都喜欢喝啤酒,能起到消暑降温的作用,大家也都知道,啤酒瓶盖有锯齿,但很少有人注意到,它是有21个,那为什么是21个呢?早在19世纪末,威廉·佩特就发明了24齿瓶盖,并申请了专利。 内部还垫有纸片以阻止饮料与金属接触,其主要依据是佩特发现该齿数最适合酒瓶密闭。 作为行业标准,24齿瓶盖一直沿用到20世纪30年代左右。 随着工业化的进程,原来手工加盖的方式变成了工业加盖,24齿盖最早是用一台脚踩的压机,一个一个套到瓶子上的。 自动机器出现后,瓶盖被装进一个软管自动地安装,但在使用过程中发现,24齿瓶盖很容易堵住自动装填机的软管,改成23齿这种情况就不会出现,最后又逐步规范到今天的21齿。 现在啤酒瓶盖的21齿是根据国际通行的德国标准DIN6099制造的。 这个标准不仅明确了瓶颈的直径,还有瓶盖的边缘形状以及制造材料。 对于瓶盖的要求有两条最主要的依据:其一是密封性,其二是咬合度,也就是通常说的瓶盖要牢固。 这就意味着每个瓶盖褶的数量和瓶口的接触面积成一定比例,瓶盖外部的波浪形封口既可以增加摩擦力,又方便开瓶。 21齿就是这两个要求的最佳折中。 事实上,啤酒瓶盖设计成锯齿状是为了密闭性好。 啤酒是一种特殊的酒类饮品,里面含有很多二氧化碳,所以对啤酒的包装有一定要求,需要密闭性好、不容易跑气的包装设计,经过不断变革,于是就出现锯齿状的瓶盖包装。 而锯齿的数量为什么是21个,其实就和扳手有关。 开啤酒瓶其实也是一门学问,要讲求安全性和方便性,啤酒里面因为含有大量气体,所以开启时要特别当心,如果里面气压不均匀就容易伤到手,特别是剧烈摇晃过的啤酒,开瓶时特别容易爆。 所以怎样安全方便地开啤酒瓶在设计时就需要考虑。 当时的设计者为了能找到最适宜很快打开瓶盖的方法,于是就通过对锯齿不停地修改,最后确定21个锯齿时打开是最容易和安全的。 所以就形成今天21个锯齿的瓶文章来源酒水招商网盖。 而这种设计因为得到公认,所以很快在其他一些饮料包装中也应用起来,比如以前玻璃瓶装的可乐和雪碧瓶盖,也都应用了这一标准。
发表评论