宋明成

隨著智能設備以指數方式增加攻擊向量，物聯網、工業(yè)物聯網和基于云計算的應用程序迅速增加了數據中心風險。在這個全球連接的時代，組織需要不斷測試其安全措施，以防范復雜的威脅，這些威脅包括Web應用程序和無文件攻擊、內存損壞、返回/跳轉導向編程（ROP/JOP）以及受損的硬件和軟件供應鏈攻擊等。

雖然數據中心傳統上依賴于檢測和采取周邊安全解決方案來降低風險，但新型網絡威脅的激增已經提高了對預防的需求。根據波洛蒙研究所的研究，估計數據中心停機的平均成本超過740 000美元（自2010年以來增長近40 %），負責數據中心網絡安全的工作人員必須尋求采用下一代預防策略來減少和關閉攻擊面，并提高現有基礎設施、流程和人員的效率。

幾十年來，外圍安全一直是保護數據中心的主要手段。然而，這種策略類似于一個中世紀城堡，其中保護的目標只限制在一個小區(qū)域內，并由具有嚴密防護入口點的堅固墻壁保護。數據中心在其周邊建立了安全層，這些安全層深入協作，其理念是如果一個安全層沒有抵御某些攻擊，那可以通過下一個安全層進行防護。

與城堡一樣，數據中心強調檢測進出組織的流量。傳統的流量檢測方法包括映射出網絡接入點以創(chuàng)建不斷測試和加固周邊設施。這對于檢測攻擊和生成警報非常有效，希望具有足夠的安全性來防止安全層的破壞，而這可能導致停機、經濟損失、聲譽受損甚至環(huán)境危害。

數據中心的安全不再只考慮內部的保護事物。城堡型解決方案在大型機和有線終端的時代運作良好，但它們對于當今的威脅并不那么有效。事實上，無線通信（OTA）、物聯網設備和云計算的出現使得數據中心的安全性降低。

目前，數據中心面臨的主要安全挑戰(zhàn)是，他們必須努力在內部部署數據中心、公共云、私有云和混合云中運行應用程序時保持其數據的私密性。雖然他們的許多客戶將業(yè)務進一步擴展到云中，但這也可能無意中增加了克隆配置擴展攻擊的風險。攻擊者可以定位路由器、交換機、存儲控制器、服務器以及傳感器和交換機等操作技術組件的所有內容。一旦黑客獲得對設備的控制權，他們就可以進行更多擴展，從而可能跨網絡攻擊所有相同的設備。

如今的攻擊來各種各樣的地方，因為網絡攻擊者現在擁有更多的工具來規(guī)避周邊安全檢測，并從數據中心內部攻擊目標。美國國防部信息網絡聯合部隊總部運營總監(jiān)Paul Craft上校在2018年5月舉行的AFCEA防御網絡運營研討會上表示：“安全不僅僅與基礎設施有關，這是我們的IT平臺，將記錄我們所有的數據，它也是我們的ICS和SCADA系統，也涉及我們所有跨域的網絡?！?/p>

根據波洛蒙研究所的調查，許多攻擊現在可以迅速從一個設備擴展到所有設備，這可以從黑客訪問使用相同代碼構建的200 000個網絡設備的缺陷中看出。例如內存損壞（緩沖區(qū)、棧和堆）和ROP/JOP執(zhí)行重新排序這樣的無文件攻擊，也成為了一種日益嚴重的威脅，其感染設備的可能性是傳統攻擊的10倍。

根據賽門鐵克公司的2018年互聯網安全威脅報告，過去一年中，對供應鏈攻擊增加了200 %。很多組織和供應商現在只能控制其源代碼的一小部分，因為現代軟件堆棧由來自全球供應鏈第三方的二進制文件組成，這些二進制文件來自包含隱藏漏洞的專有和開源代碼。此外，零日攻擊迅速增長，很多黑客正在利用軟件、硬件或固件中的未知漏洞攻擊系統。

數據中心必須從只關注檢測的安全性轉向強調預防的安全性。由于許多新的攻擊完全避開傳統的網絡和端點保護，最新一代的工具旨在抵御不斷增長的攻擊媒介類別。這不僅可以提高抵御最新威脅的安全性，還可以提高工具和流程在處理剩余內容方面的有效性。

如今，必須假設供應鏈中的硬件受到損害。這意味著企業(yè)需要在可能不受信任的硬件之上構建和運行受保護的軟件。數據中心需要這種新的防御策略，采用深入的方法識別潛在的漏洞，并直接加強二進制文件，以便攻擊無法實現或復制。

實現此目的的最佳方法之一是以某種方式轉換設備中的軟件二進制文件，從而使惡意軟件無法更改命令并在系統中傳播。這種方法稱為“網絡硬化”，可防止單個漏洞利用跨多個系統傳播。它縮小了攻擊面，并縮小了工業(yè)控制系統和嵌入式系統和設備中的漏洞，減少了物理損壞和人為破壞的機會。

最好的安全性總是假設黑客最終會入侵。而不是在漏洞利用后對受到攻擊的漏洞作出反應，網絡硬化可以防止惡意軟件針對數據中心的攻擊，而那些防御比較薄弱的組織最好不要取消這樣的基礎設施。