“智能”遇上“NGFW” 下一代智能防火墻詳解
原創今天,高級威脅和0day攻擊正變得肆無忌憚,因為他們能高度規避檢測,傳統的基于特征的防護漸漸力不從心,安全防護思路和架構的轉變已是大勢所趨,從基于已知威脅的防御轉變為基于未知風險的預防,這一轉變需要更加智能的安全思路才能實現。安全智能在今年的RSA信息安全大會上也是炙手可熱的一個詞,不過,業界卻依然疑惑,“智能”雖好,實現卻難。
6月18日,山石網科發布下一代智能安全,將“智能”與“防火墻”相結合,向外界展現出其“智能安全”思路,并推出第一階段成果——下一代智能防火墻Intelligent Next-Generation Firewall(以下簡稱iNGFW)。
解讀一:為什么需要智能安全——APT、0day攻擊讓未知威脅檢測需求升溫
在IT應用迅速變革的今天,一分鐘之內可以發生多少事情?在QQ空間上有14萬圖片被下載,在新浪微博上有9.54萬次微博被發出,在淘寶網上有8300次交易在進行,在朋友網上有6000對朋友相識。令人擔憂的是,隨之而來的危機無處不在。今年5月,雅虎2200萬用戶的信息被竊取,4月,有一個惡意病毒讓一家個石油公司的記錄全部消除,在花旗銀行已經發生過36萬帳戶被竊取。
今天的種種攻擊事件,越來越多地與隱蔽的、持續的高級威脅(APT)相關,它們對攻擊目標造成損失是令人難以承受的。而隨著這一類攻擊的擴散,傳統的基于威脅的安全模式不再有效。在傳統的基于威脅的安全模式下,是先確定需要防范的威脅類型再有針對性地去防范:對病毒和木馬文件傳輸,有防病毒解決方案;對基于網絡的應用層攻擊,有IDS/IPS解決方案方案;針對新的攻擊類型,則通過向檢測規則數據庫中添加IPS規則。
然而,面對由APT威脅和0day攻擊帶來的未知風險,你根本無從先行判斷攻擊是什么,就更別談對其進行防御。這樣一來,從流量中查找行為特征來判斷攻擊發生與否的新技術漸行漸近,安全模式也開始從被動的、基于威脅的模式(僅關注威脅,處理已知威脅)轉向主動的、基于風險的模式(將資產、威脅及漏洞都納入考慮范圍,能處理未知威脅)。
在這種以風險管控為核心的安全模式中,實時監控和早期檢測變得非常的重要,安全界需要更加智能的新技術,能夠在網絡正常進行時也能實時檢測到變化,從這些變化中發現潛在威脅并在威脅真正發生之前阻止它。#p#
解讀二:下一代智能防火墻的設計思路——基于風險的主動預防而非基于威脅的被動防御
什么樣的安全產品才稱得上智能?在山石網科產品副總裁王鐘看來,智能安全產品的特性可以概括為:對于網絡狀態,要有學習能力;對于網絡產生的數據,要有挖掘能力;對于網絡的安全威脅,要能做到預警;對于安全事件,要能做到可視化管理。
智能安全如何實現?山石網科的做法是將智能與防火墻相結合,實現產品化。山石網科市場副總裁張凌齡稱,智能防火墻不再只是“一堵墻”而是一個平臺,它在網絡的核心節點上監控著網絡、用戶和應用的健康狀況,而山石網科下一代智能防火墻就是在準確、深度辨識用戶身份、服務器和應用的基礎上,對其進行長期監控。其設計思路是:分別以全網健康指數(NHI)對網絡健康狀態打分,以行為信譽指數(BRI) 對用戶及服務器狀態打分,然后對“高危”人員或者“高危”服務器實行相應的預警或有效的控制。有了這樣的信譽評分制,管理員就可以根據用戶的信譽分數來動態調整策略,決定是否讓其進入網絡。這個思路的重要意義在于:將“信譽”作為第八元組引入防火墻的控制,使防火墻在原有的防護基礎上增加了對于網絡風險的控制。
一直以來,所有安全設備所扮演的角色都是執行者。那么,安全管理策略制定的依據又是什么呢?安全管理員需要相關的建議。未來,下一代智能防火墻將具備這樣的建議能力,把自己從一個單純的執行者,變成一個建設性的執行者。#p#
解讀三:下一代智能防火墻發展路線——全網健康指數、行為信譽指數、基于信譽的訪問控制
下一代智能防火墻的長遠設計理念是:在網絡中建立起信譽體系,再通過這個信譽體系規范網絡行為。山石網科下一代智能防火墻的技術愿景是一個宏偉的藍圖,將分為三個階段完成,第一階段以實現全網的健康狀態的檢測和監控為核心;第二階段可實現對用戶、服務器及服務的行為信譽監控,并且通過關聯分析對僵尸網絡、異常行為及APT攻擊做預警和報告;第三階段將在監控和報告的基礎上,實現動態的策略調整和控制。
具體而言,全網健康指數(NHI)的打分方法是:通過主動檢測的技術,實時監控網絡的連通性、設備資源的利用情況、CPU/內存的使用情況、業務服務器響應的延遲情況,通過一個專利算法,形成網絡整體健康指數,供管理員參考。
“行為信譽度”指數 (BRI)可基于行為分析出內網對象的風險級別。通過集中關注具有最高風險的目標及相關行為,管理員可專心處理系統中最嚴重的問題。對象信譽可能取決于多個因素,如:對象當前行為、對象的歷史行為、與同類對象的行為對比、對象行為的歷史變化。
內網對象和子網可以根據全網健康指數和行為信譽指數分為三種健康:健康、亞健康、危險。在第三階段,企業可利用基于信譽的訪問控制為處于不同健康狀態的用戶設計不同策略,如:對危險狀態用戶進行隔離等措施;對亞健康用戶,則可禁止其訪問網絡中敏感的或高度保密的資源。
目前,下一代智能安全已經實現了第一階段目標,新推出的首款下一代智能防火墻產品Hillstone T5060即可對全網健康指數進行打分。第二階段目標預計將于明年實現。#p#
解讀四:“智能”為何要與防火墻結合——在防火墻中集成數據分析,可在一臺設備內形成控制閉環
在今天的安全界,“智能”其實已經不是什么新鮮的詞了。而談到智能安全,一個明顯的趨勢是:一些安全廠商都把大數據分析方法運用到安全分析上來。張凌齡表示,山石網科智能安全道路的創新在于:將大數據分析用到了防火墻中,并和其他的安全控制實現了聯動。將大數據關聯分析的手段用在防火墻平臺上,可以充分發揮防火墻兼具檢測、監控和控制能力于一體的優勢,更好地實現聯動并實時控制風險,在一臺設備上就可實現有效的控制閉環,節省客戶投資。通過防火墻流量數據分析降低網絡安全風險既簡單、經濟,又十分有效。
利用大數據分析技術分析大量不同類型的安全數據,可輕松識別流量中的異常行為模式,有助于對網絡用戶和系統的風險評估。因此,越來越多企業喜歡上安全信息和事件管理(SIEM)系統。SIEM可接受多個設備的數據并跨網絡關聯數據,但它只能在事后進行分析,也不能對安全策略進行反饋和調整。在山石網科 CTO劉向明看來,在防火墻中集成數據分析解決方案能提供最佳的響應能力,如:可縮短0day攻擊從攻擊開始到被檢測出來的時間,它還使得大量數據可在本地進行處理,無需在設備間進行二次傳輸。#p#
解讀五:iNGFW與NGFW的顯著區別——NGFW無法根據行為調整安全策略,iNGFW可以
在2013年年初的媒體溝通會上,在被問到何時出NGFW的問題時,山石網科就透露出要在年內推出類似beyond NGFW的產品。時隔幾個月,當iNGFW終于問世時,山石網科沒有將關注點放在NGFW,而是在“i”(Intelligent,智能)上。那么,對比NGFW,iNGFW有何不同,又有何特別之處?
NGFW的基礎是應用、用戶和內容的識別,它根據識別結果實施安全控制。防火墻上配置的策略能確定是否允許特定用戶使用特定應用。然而,其他因素也可能影響用戶的訪問控制級別,其中一個因素就是用戶風險級別,即:“信譽”。用戶信譽會隨時間變化,在某個時間點使用應用被接受,在另一個時間點可能就不能被接受,因此訪問級別也應隨之變化。
NGFW并不會從時間維度上分析收集到的信息,無法進行動態調整,但實際上,用戶可能需要根據感知到的風險動態改變訪問策略。NGFW也不會關注流量中的異常,包括與其他類似用戶或系統所關聯出的異常或隨時間顯現出的異常。
與NGFW不同,iNGFW的增強型NGFW功能讓用戶可以全局總覽網絡、用戶和應用,動態控制策略。它使用數據分析技術和機器學習技術可查找出有問題的行為和模式,如:網絡和系統使用情況是否符合公司的相關規定;與歷史數據比較得出的正常網絡和系統使用情況;與同類對象比較得出的異常網絡和系統使用情況;關聯事件日志和流量特征進行僵尸網絡檢測。
iNGFW的自學習機制可以使分析更準確,每一次分析都有一個基線,用以確定某個特定時間點上某個用戶某個應用的正常模式。打個比方,從來沒有在非洲消費記錄的信用卡,突然有一筆在非洲的消費會被當作異常行為,但同樣的金額,在常刷卡的歐洲刷出來可能就是正常行為。
