从被动转向主动防御下一代防火墙趋向智能化
2013-12-20黄海峰
本刊记者 | 黄海峰
从被动转向主动防御下一代防火墙趋向智能化
本刊记者 | 黄海峰
下一代智能防火墙是一个划时代的产品,它将改变用户对网络安全管理的认识,将以往被动的、机械式的防御改变为智能的风险预警和管控。
今天,高级威胁和0day攻击正变得肆无忌惮,因为他们能高度规避检测,传统的基于特征的防护渐渐力不从心,安全防护思路和架构的转变已是大势所趋,从基于已知威胁的防御转变为基于未知风险的预防,这一转变需要更加智能的安全思路才能实现。
国际权威分析机构Gartner 认为,今天的安全技术正在经历着一个根本的变革(paradigm shift),从被动的以威胁为核心的技术向主动的以风险为核心的方向转变 。安全管理也从一个花钱耗力的成本中心变成一个安全意识的教育中心。
传统基于威胁的安全模式失效
在IT应用迅速变革的今天,一分钟之内可以发生多少事情?在QQ空间上有14万图片被下载,在新浪微博上有9.54万次微博被发出,在淘宝网上有8300次交易在进行,在朋友网上有6000对朋友相识。
然而,令人担忧的是,随之而来的危机无处不在。今年5月,雅虎2200万用户的信息被窃取,4月,有一个恶意病毒让一家石油公司的记录全部消除,在花旗银行已经发生过36万帐户被窃取。
今天的种种攻击事件,越来越多地与隐蔽的、持续的高级威胁(APT)相关,它们对攻击目标造成损失是令人难以承受的。山石网科市场副总裁张凌龄表示,随着这一类攻击的扩散,传统的基于威胁的安全模式不再有效。
在传统的基于威胁的安全模式下,安全系统是先确定需要防范的威胁类型再有针对性地去防范:对病毒和木马文件传输,有防病毒解决方案;对基于网络的应用层攻击,有IDS/IPS解决方案方案;针对新的攻击类型,则通过向检测规则数据库中添加IPS规则。
“然而,面对由APT威胁和0day攻击带来的未知风险,你根本无从先行判断攻击是什么,就更别谈对其进行防御。”张凌龄表示,这样一来,从流量中查找行为特征来判断攻击发生与否的新技术渐行渐近,安全模式也开始从被动的、基于威胁的模式(仅关注威胁,处理已知威胁)转向主动的、基于风险的模式(将资产、威胁及漏洞都纳入考虑范围,能处理未知威胁)。
未知威胁检测需求逐渐升温
在这种以风险管控为核心的安全模式中,实时监控和早期检测变得非常的重要,安全界需要更加智能的新技术,能够在网络正常运行时也能实时检测到变化,从这些变化中发现潜在威胁并在威胁真正发生之前阻止它。
“这就需要一种技术,能够在正常的网络活动中发现‘变化’,找到攻击或者入侵的早期征兆,从而实现我们中国人所谓的‘防范于未然’。” 山石网科产品副总裁王钟表示。
这样的观点得到业界认可。Gartner研究总监张毅指出。传统基于威胁的防范技术正在向基于风险的防范技术转变,智能安全将成为未来网络安全领域的新主题:互联网是企业运营甚至国家运转的重要平台之一,企业的网络安全环境面临严重考验,层出不穷的各种威胁给网络使用者带来困扰,企业无法承受因安全问题带来的巨大损失。
“如何提前预知安全威胁存在,如何在损失发生之前控制安全威胁,是企业用户重点关注的问题,预计未来将有十分广阔的市场。”张毅表示。
防火墙产品通常是企业保证网络安全的措施之一,通过核心的过滤技术,对已知的危险进行防范。但依据上述分析,随着企业对网络安全要求的提高,提前防范风险已经成为一种趋势,也就是要求下一代防火墙在危险真正发生前就要有所预警,具备“智能”功能。
众所周知,防火墙产品从上世纪九十年代至今,历经系统架构和软件形态的多次革新,从最早的基于包过滤的防火墙到状态监测防火墙,到今天下一代防火墙(NGFW)的崛起。
那么,下一代防火墙该如何具备“智能”功能?
打造下一代“智能”防火墙
在王钟看来,下一代智能防火墙就是在准确、深度辨识用户身份、服务器和应用的基础上,对其进行长期监控;分别以全网健康指数对网络健康状态打分;以行为信誉指数对用户及服务器状态打分,然后对“高危”人员或者“高危”服务器实行相应的预警或者有效的控制。
以对用户行为信誉度打分为例,比如说发现某一用户有大量非法下载,使用网络扫描工具,并且多次重试服务器密码等行为,这些关联的事件会影响该用户在网络中的信誉分数。他的这些行为会引起管理员的警觉。
王钟认为,下一代智能防火墙是基于风险的安全解决方案,优于增强型下一代防火墙,通过持续监控、收集和分析流量及可用性数据,主动查找可能影响网络运行的异常行为和潜在的网络问题。基于信誉的访问控制将健康状态和风险级别与访问级别关联起来,通过感知到的风险动态调整访问级别,可以降低企业网络和服务的运营风险。
“我们以前瞻性的思维把握住了这个新主题。”张凌龄表示,山石网科结合国内企业级用户的安全需求,把智能安全与下一代防火墙完美结合,成功在今年6月份发布了下一代智能防火墙T5060,将“智能”与“防火墙”相结合。
据王钟介绍,下一代智能防火墙的技术愿景要真正实现需分为三个阶段完成:第一阶段以实现全网的健康状态的检测和监控为核心;第二阶段,实现对用户、服务器及服务的行为信誉监控,并且通过关联分析对僵尸网络、异常行为及APT攻击做预警和报告;第三阶段,将在监控和报告的基础上,实现动态的策略调整和控制。
“新推出的首款T5060令下一代智能防火墙第一阶段目标实现。第二阶段目标预计将于明年实现。” 王钟指出。
