守护遗留系统的安全挑战与应对策略
守护我们的遗留系统
大家好,我是iSEC Partners的Scott Stender。最近我有幸在布鲁塞尔的微软BlueHat活动上就"保护遗留系统安全"这一主题进行了演讲。
随着近期关于保护国家、企业和个人网络系统需求的广泛讨论,我认为BlueHat活动是时候将聚光灯转向那些支撑我们互联社会运转却鲜受关注的遗留系统了。这些系统正是我们构建当今丰富计算环境所依赖的基石。
我原本希望与参会者讨论并可能辩护以下几点:
- 遗留系统将始终伴随我们。毕竟,每个完成的软件项目都在创造新的遗留系统。
- 针对系统的攻击手段不断变化且日益复杂。防御方需要同样复杂且持续不断的应对措施。
- 软件工程师需要开发和改进保护现有系统的方法,就像我们为开发新系统所做的那样。
- 系统维护预算不仅要考虑构建安全系统所需的投入,还要规划系统整个生命周期内的安全保障成本。
然而,在这种场合常见的是,现场意见的多样性让我感到惊讶。
我原以为最具挑战性的观点并未引起与会者的争议。最值得注意的是,大多数人似乎已经接受我们需要逐步改进现有系统的安全性,而不是对大多数系统"从头开始"。推倒重来的弊端往往远超其收益。例如,系统中可能包含通过多年错误修复和实际运行积累的宝贵经验,重新开始可能导致这些知识的丢失。
相反,与会者向我提出了以下挑战性问题:
- 如何展示保护遗留系统的进展并证明资源投入的价值?毕竟,很难证明我们需要在多年前被认为"已完成"的事物上投入资金。
- 如何管理受严格监管的系统?认证机构限制了可做的变更,而攻击者的行动速度远超认证机构,这为攻击者打开了机会窗口。
恐怕这些问题没有简单的答案,即使有也难以普遍适用。这正是BlueHat这类平台的重要性所在——通过与行业同行的经验交流,我们更接近理解这些难题的潜在解决方案及其适用场景。
我希望我已经充分论证了从核心层面保护系统安全的必要性,并希望至少有一些与会者能认同这位软件工程师对快速变化的攻击形势的看法。离开BlueHat时,我对那些在不同行业工作、面临不同监管压力和安全支持水平的同行们有了更深的理解。通过持续改进软件和即时安全技术,我们或许能够应对保护遗留系统的挑战。
- Scott Stender, iSEC Partners
更多精彩内容 请关注我的个人公众号 公众号(办公AI智能小助手)
公众号二维码
![]( "办公AI智能小助手")
浙公网安备 33010602011771号