長久以來，企業(yè)都將其安全工作的重點放在網(wǎng)絡外圍防御以及如何保障服務器、工作站及網(wǎng)絡設備的安全上。但在一個互聯(lián)的世界中，“硬件定義的”方法已經(jīng)喪失了其意義。伴隨著企業(yè)轉換到“軟件定義網(wǎng)絡”， 企業(yè)需要跳出網(wǎng)絡層的需要來保護其不斷擴展的“攻擊面”，并且考慮：外圍缺失的攻擊面如何造成企業(yè)的安全模式無效？企業(yè)可以采取哪些措施來跟得上不斷演變的威脅？

在信息安全問題上，企業(yè)面臨著一場艱難的戰(zhàn)役，這是因為企業(yè)需要保護的攻擊面已經(jīng)有了巨大擴展，并且有望進一步膨脹。過去，重視網(wǎng)絡和端點保護就足夠了，但如今的應用、云服務、移動設備（例如，平板電腦、藍牙設備等）使得企業(yè)的防御面臨著一個極大擴增的攻擊面。

據(jù)GRMS（全球風險管理調(diào)查）的報告，當今，大約有84%的網(wǎng)絡攻擊針對的是應用層而不是網(wǎng)絡層。企業(yè)需要擴展其覆蓋范圍來包括這些新區(qū)域。然而，企業(yè)尤其需要關注如下兩個被安全專家忽視的攻擊區(qū)域（即使其給企業(yè)帶來巨大威脅并且被黑客越來越多地利用）：物聯(lián)網(wǎng)和微服務/軟件容器。

物聯(lián)網(wǎng)

雖然安全專家一直都在警告企業(yè)注意網(wǎng)絡攻擊的風險，但對物聯(lián)網(wǎng)的風險卻重視不夠。因而所有設備之間的全面連接必然帶來嚴重的安全問題。

物聯(lián)網(wǎng)（例如，其中的物理安全系統(tǒng)以及空調(diào)系統(tǒng)）將大大小小的公司暴露在更多的安全威脅面前。例如，管理個人健康和安全系統(tǒng)的物聯(lián)網(wǎng)設備將成為下一個被勒索的金礦。

正如企業(yè)對待BYOD一樣，企業(yè)也需要調(diào)整自己的風險管理方法，并且擴展風險評估的范圍，使其包含所有的連網(wǎng)設備。如果雇員的智能手表可能被利用窺探公司的無線網(wǎng)絡的口令，它就應屬于企業(yè)風險評估范圍的一部分。在此情況下，企業(yè)的首要挑戰(zhàn)之一是如何存儲、跟蹤、分析、理解由網(wǎng)絡風險評估過程中的物聯(lián)網(wǎng)所產(chǎn)生的海量數(shù)據(jù)。新出現(xiàn)的網(wǎng)絡風險管理技術可以起到幫助作用。

此外，物聯(lián)網(wǎng)產(chǎn)品的開發(fā)往往在普通安全框架或標準的創(chuàng)建之前，這使問題更復雜。對許多物聯(lián)網(wǎng)產(chǎn)品而言，安全是以后才考慮的問題。解決物聯(lián)網(wǎng)設備中缺乏安全性的唯一合理方案是，建立新的標準和政府規(guī)范，要求物聯(lián)網(wǎng)產(chǎn)品使用可信任的網(wǎng)絡和操作系統(tǒng)。企業(yè)應當要求，內(nèi)部部署的物聯(lián)網(wǎng)產(chǎn)品至少遵循友好且不易被攻擊的網(wǎng)絡協(xié)議。此外，企業(yè)可能希望考慮擴展其滲透測試的范圍，從而包括這些可能存在安全問題的設備。

微服務與軟件容器

據(jù)調(diào)查，有不少企業(yè)已經(jīng)實施或計劃將來實施微服務架構或基于軟件容器的應用程序。這些新出現(xiàn)的技術的目的是使應用程序開發(fā)者和DevOps團隊的工作更輕松。企業(yè)利用微服務從功能上將大型應用分解為更小巧的不同服務，而此處的軟件容器被看作是微服務架構的一種自然計算平臺。

典型情況下，每種服務都完成一種特定的目的來提供一套功能，而且不同的服務還相互作用從而構成整個應用。中等規(guī)模的應用由20個左右的服務組成。這些基于微服務的應用的物理特性不同于早期的多層應用。將傳統(tǒng)的應用分解為大量的微服務實例，自然就擴展了攻擊面，因為應用程序不再集中在幾個分離的服務器中。此外，軟件容器只需用幾秒的時間就可以啟動或關閉，從而使得以人工方式跟蹤這些變化幾乎是不可能的。

基于微服務的應用程序的采用要求重新思考安全設想和方法，尤其要重視監(jiān)視服務間的通信、微分段、靜態(tài)和動態(tài)的數(shù)據(jù)加密。

最終，企業(yè)不應當回避利用新出現(xiàn)的技術來提升業(yè)務效率和為企業(yè)的全面成功做出貢獻。但是，安全從業(yè)者們必須對企業(yè)的風險管理應用一種更為整體化的方法。這意味著不僅要對廠商的風險管理實施更多的方法，還要從這種新的攻擊面中收集安全數(shù)據(jù)。由于多數(shù)物聯(lián)網(wǎng)設備和微服務都缺乏充足的安全框架或工具來監(jiān)視和檢測安全問題，企業(yè)必須考慮滲透測試等傳統(tǒng)的方法，而不必過于關注成本問題。