從被動轉(zhuǎn)向主動防御下一代防火墻趨向智能化

本刊記者 | 黃海峰

從被動轉(zhuǎn)向主動防御下一代防火墻趨向智能化

本刊記者 | 黃海峰

下一代智能防火墻是一個劃時代的產(chǎn)品，它將改變用戶對網(wǎng)絡(luò)安全管理的認識，將以往被動的、機械式的防御改變?yōu)橹悄艿娘L(fēng)險預(yù)警和管控。

今天，高級威脅和0day攻擊正變得肆無忌憚，因為他們能高度規(guī)避檢測，傳統(tǒng)的基于特征的防護漸漸力不從心，安全防護思路和架構(gòu)的轉(zhuǎn)變已是大勢所趨，從基于已知威脅的防御轉(zhuǎn)變?yōu)榛谖粗L(fēng)險的預(yù)防，這一轉(zhuǎn)變需要更加智能的安全思路才能實現(xiàn)。

國際權(quán)威分析機構(gòu)Gartner 認為，今天的安全技術(shù)正在經(jīng)歷著一個根本的變革(paradigm shift)，從被動的以威脅為核心的技術(shù)向主動的以風(fēng)險為核心的方向轉(zhuǎn)變 。安全管理也從一個花錢耗力的成本中心變成一個安全意識的教育中心。

傳統(tǒng)基于威脅的安全模式失效

在IT應(yīng)用迅速變革的今天，一分鐘之內(nèi)可以發(fā)生多少事情?在QQ空間上有14萬圖片被下載，在新浪微博上有9.54萬次微博被發(fā)出，在淘寶網(wǎng)上有8300次交易在進行，在朋友網(wǎng)上有6000對朋友相識。

然而，令人擔(dān)憂的是，隨之而來的危機無處不在。今年5月，雅虎2200萬用戶的信息被竊取，4月，有一個惡意病毒讓一家石油公司的記錄全部消除，在花旗銀行已經(jīng)發(fā)生過36萬帳戶被竊取。

今天的種種攻擊事件，越來越多地與隱蔽的、持續(xù)的高級威脅(APT)相關(guān)，它們對攻擊目標造成損失是令人難以承受的。山石網(wǎng)科市場副總裁張凌齡表示，隨著這一類攻擊的擴散，傳統(tǒng)的基于威脅的安全模式不再有效。

在傳統(tǒng)的基于威脅的安全模式下，安全系統(tǒng)是先確定需要防范的威脅類型再有針對性地去防范：對病毒和木馬文件傳輸，有防病毒解決方案；對基于網(wǎng)絡(luò)的應(yīng)用層攻擊，有IDS/IPS解決方案方案；針對新的攻擊類型，則通過向檢測規(guī)則數(shù)據(jù)庫中添加IPS規(guī)則。

“然而，面對由APT威脅和0day攻擊帶來的未知風(fēng)險，你根本無從先行判斷攻擊是什么，就更別談對其進行防御?！睆埩椠g表示，這樣一來，從流量中查找行為特征來判斷攻擊發(fā)生與否的新技術(shù)漸行漸近，安全模式也開始從被動的、基于威脅的模式(僅關(guān)注威脅，處理已知威脅)轉(zhuǎn)向主動的、基于風(fēng)險的模式(將資產(chǎn)、威脅及漏洞都納入考慮范圍，能處理未知威脅)。

未知威脅檢測需求逐漸升溫

在這種以風(fēng)險管控為核心的安全模式中，實時監(jiān)控和早期檢測變得非常的重要，安全界需要更加智能的新技術(shù)，能夠在網(wǎng)絡(luò)正常運行時也能實時檢測到變化，從這些變化中發(fā)現(xiàn)潛在威脅并在威脅真正發(fā)生之前阻止它。

“這就需要一種技術(shù)，能夠在正常的網(wǎng)絡(luò)活動中發(fā)現(xiàn)‘變化’，找到攻擊或者入侵的早期征兆，從而實現(xiàn)我們中國人所謂的‘防范于未然’?！?山石網(wǎng)科產(chǎn)品副總裁王鐘表示。

這樣的觀點得到業(yè)界認可。Gartner研究總監(jiān)張毅指出。傳統(tǒng)基于威脅的防范技術(shù)正在向基于風(fēng)險的防范技術(shù)轉(zhuǎn)變，智能安全將成為未來網(wǎng)絡(luò)安全領(lǐng)域的新主題：互聯(lián)網(wǎng)是企業(yè)運營甚至國家運轉(zhuǎn)的重要平臺之一，企業(yè)的網(wǎng)絡(luò)安全環(huán)境面臨嚴重考驗，層出不窮的各種威脅給網(wǎng)絡(luò)使用者帶來困擾，企業(yè)無法承受因安全問題帶來的巨大損失。

“如何提前預(yù)知安全威脅存在，如何在損失發(fā)生之前控制安全威脅，是企業(yè)用戶重點關(guān)注的問題，預(yù)計未來將有十分廣闊的市場。”張毅表示。

防火墻產(chǎn)品通常是企業(yè)保證網(wǎng)絡(luò)安全的措施之一，通過核心的過濾技術(shù)，對已知的危險進行防范。但依據(jù)上述分析，隨著企業(yè)對網(wǎng)絡(luò)安全要求的提高，提前防范風(fēng)險已經(jīng)成為一種趨勢，也就是要求下一代防火墻在危險真正發(fā)生前就要有所預(yù)警，具備“智能”功能。

眾所周知，防火墻產(chǎn)品從上世紀九十年代至今，歷經(jīng)系統(tǒng)架構(gòu)和軟件形態(tài)的多次革新，從最早的基于包過濾的防火墻到狀態(tài)監(jiān)測防火墻，到今天下一代防火墻(NGFW)的崛起。

那么，下一代防火墻該如何具備“智能”功能？

打造下一代“智能”防火墻

在王鐘看來，下一代智能防火墻就是在準確、深度辨識用戶身份、服務(wù)器和應(yīng)用的基礎(chǔ)上，對其進行長期監(jiān)控；分別以全網(wǎng)健康指數(shù)對網(wǎng)絡(luò)健康狀態(tài)打分；以行為信譽指數(shù)對用戶及服務(wù)器狀態(tài)打分，然后對“高危”人員或者“高?！狈?wù)器實行相應(yīng)的預(yù)警或者有效的控制。

以對用戶行為信譽度打分為例，比如說發(fā)現(xiàn)某一用戶有大量非法下載，使用網(wǎng)絡(luò)掃描工具，并且多次重試服務(wù)器密碼等行為，這些關(guān)聯(lián)的事件會影響該用戶在網(wǎng)絡(luò)中的信譽分數(shù)。他的這些行為會引起管理員的警覺。

王鐘認為，下一代智能防火墻是基于風(fēng)險的安全解決方案，優(yōu)于增強型下一代防火墻，通過持續(xù)監(jiān)控、收集和分析流量及可用性數(shù)據(jù)，主動查找可能影響網(wǎng)絡(luò)運行的異常行為和潛在的網(wǎng)絡(luò)問題?；谛抛u的訪問控制將健康狀態(tài)和風(fēng)險級別與訪問級別關(guān)聯(lián)起來，通過感知到的風(fēng)險動態(tài)調(diào)整訪問級別，可以降低企業(yè)網(wǎng)絡(luò)和服務(wù)的運營風(fēng)險。

“我們以前瞻性的思維把握住了這個新主題。”張凌齡表示，山石網(wǎng)科結(jié)合國內(nèi)企業(yè)級用戶的安全需求，把智能安全與下一代防火墻完美結(jié)合，成功在今年6月份發(fā)布了下一代智能防火墻T5060，將“智能”與“防火墻”相結(jié)合。

據(jù)王鐘介紹，下一代智能防火墻的技術(shù)愿景要真正實現(xiàn)需分為三個階段完成：第一階段以實現(xiàn)全網(wǎng)的健康狀態(tài)的檢測和監(jiān)控為核心；第二階段，實現(xiàn)對用戶、服務(wù)器及服務(wù)的行為信譽監(jiān)控，并且通過關(guān)聯(lián)分析對僵尸網(wǎng)絡(luò)、異常行為及APT攻擊做預(yù)警和報告；第三階段，將在監(jiān)控和報告的基礎(chǔ)上，實現(xiàn)動態(tài)的策略調(diào)整和控制。

“新推出的首款T5060令下一代智能防火墻第一階段目標實現(xiàn)。第二階段目標預(yù)計將于明年實現(xiàn)?！?王鐘指出。