隨著大數(shù)據(jù)時(shí)代的來臨,,針對(duì)核心數(shù)據(jù)的網(wǎng)絡(luò)攻擊事件層出不窮,,網(wǎng)絡(luò)安全火熱沸騰,。國際方面,美國人事管理局2700萬政府雇員及申請(qǐng)人信息泄密,;美國國稅局10萬名納稅人的財(cái)務(wù)信息泄露,;美股券商Scottrade,460萬客戶敏感信息泄露,;意大利間諜軟件公司HackingTeam被黑,,包含多個(gè)零日漏洞,、入侵工具和大量工作郵件及客戶名單的400G數(shù)據(jù)被傳到網(wǎng)上任意下載,;國內(nèi)方面,,鐵道部官方網(wǎng)站13萬用戶信息泄露;大麥網(wǎng)600萬用戶賬號(hào)密碼泄露并在黑產(chǎn)論壇公開售賣,;??低暠缓诳椭踩氪a導(dǎo)致被遠(yuǎn)程監(jiān)控;網(wǎng)易骨干網(wǎng)遭攻擊,,百萬游戲用戶中斷,;網(wǎng)絡(luò)攻擊日新月異,網(wǎng)絡(luò)安全事件層出不窮,,全球網(wǎng)絡(luò)安全形勢(shì)十分嚴(yán)峻,。
運(yùn)營(yíng)商網(wǎng)絡(luò)邊界是攻防戰(zhàn)必爭(zhēng)之地,根據(jù)安全域的劃分,,日常維護(hù)區(qū),、第三方接入?yún)^(qū)、DMZ區(qū),、日常辦公區(qū),、開發(fā)測(cè)試區(qū)等多種安全區(qū)均會(huì)是網(wǎng)絡(luò)攻防的主攻方向。而傳統(tǒng)防火墻應(yīng)對(duì)以APT為代表的各類高級(jí)威脅難以發(fā)揮作用,,對(duì)復(fù)雜網(wǎng)絡(luò)攻擊手段的檢測(cè)能力,、感知網(wǎng)絡(luò)異常行為、發(fā)現(xiàn)未知威脅方面均存在不足,,要想取得網(wǎng)絡(luò)邊界攻防戰(zhàn)的勝利需要具有以大數(shù)據(jù)驅(qū)為基礎(chǔ)的安全管控能力,,具有協(xié)同防御、智能封鎖的安全邊界設(shè)備以應(yīng)對(duì)新的威脅新的挑戰(zhàn),。
運(yùn)營(yíng)商邊界安全的新一代威脅趨勢(shì)
網(wǎng)絡(luò)攻擊技術(shù)歷經(jīng)長(zhǎng)達(dá)20多年的發(fā)展,,新一代網(wǎng)絡(luò)威脅攻擊者采取了現(xiàn)有檢測(cè)體系難以檢測(cè)的方式方法,如未知漏洞利用,、已知漏洞變形,、特種木馬,并組合各種技術(shù),,包含社會(huì)工程學(xué),、釣魚、供應(yīng)鏈植入等,,各種攻擊模式或組合能有效穿透大多數(shù)邊界防御體系,,最終達(dá)到盜取內(nèi)部敏感信息或破壞目標(biāo)網(wǎng)絡(luò)的目的。新一代網(wǎng)絡(luò)威脅具有隱蔽性強(qiáng),、自動(dòng)化高,、速度快、破壞力大等特點(diǎn),現(xiàn)有主要網(wǎng)絡(luò)攻擊技術(shù)類型如下:
高級(jí)隱遁技術(shù)(AET):即將已知的逃避技術(shù)進(jìn)行新的各種組合,,形成高級(jí)逃避能力,,從而繞過網(wǎng)關(guān)設(shè)備檢測(cè),形成網(wǎng)絡(luò)攻擊,。
0DAY漏洞威脅:0DAY漏洞由于系統(tǒng)還未修補(bǔ),,而大多數(shù)用戶、廠商也不知道漏洞的存在,,因此是攻擊者入侵系統(tǒng)的利器,。
多態(tài)病毒木馬威脅:已有病毒木馬通過修改變形就可以形成一個(gè)新的未知的病毒和木馬,而惡意代碼開發(fā)者也還在不斷開發(fā)新的功能更強(qiáng)大的病毒和木馬,,他們可以繞過現(xiàn)有基于簽名的檢測(cè)體系發(fā)起攻擊,。
混合性威脅:攻擊者混合多種路徑、手段和目標(biāo)來發(fā)起攻擊,。
定向攻擊威脅:攻擊者發(fā)起針對(duì)具體目標(biāo)的攻擊,。
高級(jí)持續(xù)性威脅:APT是以上各種手段(甚至包括傳統(tǒng)間諜等非IT技術(shù)手段)的組合,是威脅中最可怕的威脅,,是攻擊者精心策劃,,為了達(dá)成即定的目標(biāo),長(zhǎng)期持續(xù)的攻擊行為,。
運(yùn)營(yíng)商邊界安全的新一代防御技術(shù)趨勢(shì)
運(yùn)營(yíng)商網(wǎng)絡(luò)邊界是攻防戰(zhàn)的第一主戰(zhàn)場(chǎng),,防火墻則是攻防戰(zhàn)爭(zhēng)中的“先鋒官”,在整個(gè)防御體系中地位舉足輕重,。威脅多變,,基于簽名的傳統(tǒng)邊界防火墻產(chǎn)品已經(jīng)無法抵御新一代威脅,因此對(duì)新一代智慧防火墻提出全新防御技術(shù)挑戰(zhàn),,那么智慧防火墻應(yīng)該具有哪些必要的防御技術(shù)能力呢,?
對(duì)攻擊載體的多緯度檢測(cè)能力
智慧防火墻的檢測(cè)能力是安全防護(hù)能力的核心,根據(jù)新一代網(wǎng)絡(luò)威脅的特性,,對(duì)每個(gè)攻擊載體點(diǎn)的檢測(cè),,需要采用多維度的深度檢測(cè)機(jī)制,確保攻擊者難以逃過檢測(cè),。智慧防火墻應(yīng)具有傳統(tǒng)的基于簽名的檢測(cè)(已知攻擊),、基于深度內(nèi)容的檢測(cè)(抗逃逸的未知威脅)、基于虛擬行為的檢測(cè)(抗逃逸的未知威脅),、基于事件關(guān)聯(lián)的檢測(cè)(抗逃逸的未知威脅),、基于全局?jǐn)?shù)據(jù)分析的檢測(cè)(抗逃逸的未知威脅)等檢測(cè)手段,考慮智慧防火墻高性能要求,,各種檢測(cè)技術(shù)必須存在,,但未必均在智慧防火墻上實(shí)現(xiàn),可以通過云端或本地第三方設(shè)備實(shí)現(xiàn),并采用智能聯(lián)動(dòng)實(shí)現(xiàn)威脅防御,。
互聯(lián)網(wǎng)大數(shù)據(jù)驅(qū)動(dòng)防火墻安全管控能力及威脅防御能力
云端互聯(lián)網(wǎng)數(shù)據(jù)具有協(xié)議復(fù)雜,、業(yè)務(wù)多樣、威脅眾多等特點(diǎn),,是挖掘協(xié)議樣本和威脅樣本最好最實(shí)時(shí)的數(shù)據(jù)源泉,?;谠贫藦?qiáng)大的分布式計(jì)算能力對(duì)互聯(lián)網(wǎng)大數(shù)據(jù)獲取,、分析、挖掘并采用人工智能,、機(jī)器學(xué)習(xí)的全自動(dòng)協(xié)議特征提取技術(shù),,第一時(shí)間提取出新應(yīng)用特征并動(dòng)態(tài)實(shí)時(shí)同步至防火墻應(yīng)用特征簽名庫中,做到新應(yīng)用發(fā)布與應(yīng)用特征發(fā)布“無延時(shí)”,,實(shí)現(xiàn)防火墻產(chǎn)品應(yīng)用緯度的及時(shí)精準(zhǔn)管控,;同時(shí)對(duì)互聯(lián)網(wǎng)大數(shù)據(jù)采用惡意行為檢測(cè)、虛擬沙箱執(zhí)行等技術(shù)實(shí)現(xiàn)對(duì)IP,、URL,、文件等深度執(zhí)行、分析及威脅挖掘,,最終獲取IP,、URL、文件信譽(yù)度及黑,、白,、灰名單庫等互聯(lián)網(wǎng)情報(bào),并動(dòng)態(tài)實(shí)時(shí)同步至防火墻威脅情報(bào)簽名庫中,,能及時(shí)有效的抵御木馬,、釣魚、蠕蟲,、病毒,、僵尸網(wǎng)絡(luò)等已知及未知威脅,有效防御逃逸威脅及APT攻擊,;智慧防火墻需要具有互聯(lián)網(wǎng)大數(shù)據(jù)及數(shù)據(jù)挖掘技術(shù)作為管控及威脅防御能力的技術(shù)支撐,。
協(xié)同防御、智能封鎖
防御體系是安全產(chǎn)品綜合解決方案,,更需要安全產(chǎn)品間各種防御技術(shù)的智能聯(lián)動(dòng)與協(xié)同,,在此防御體系中,防火墻則是處理結(jié)果的動(dòng)作有效執(zhí)行者,。傳統(tǒng)安全一般只實(shí)現(xiàn)了防火墻與IDS的聯(lián)動(dòng),,新一代威脅的隱蔽性,決定了威脅的檢測(cè)與防御必須在云端、網(wǎng)絡(luò),、終端的各節(jié)點(diǎn)的安全設(shè)備進(jìn)行多層檢測(cè)及防御,,然而在整個(gè)防御體系統(tǒng)中,防火墻是受保護(hù)網(wǎng)絡(luò)的大門,,進(jìn)出的雙向流量必須通過這道門,,因此無論節(jié)點(diǎn)的任何安全設(shè)備發(fā)現(xiàn)威脅,都需要與防火墻形成動(dòng)態(tài)聯(lián)動(dòng)策略,,防火墻實(shí)現(xiàn)門禁的智能封鎖,。例如:云端互聯(lián)網(wǎng)情報(bào)系統(tǒng)、鏡像檢測(cè)的內(nèi)網(wǎng)大數(shù)據(jù)分析系統(tǒng),、終端安全管理系統(tǒng),、終端病毒檢測(cè)系統(tǒng)等各節(jié)點(diǎn)安全設(shè)備檢測(cè)出威脅或異常,均可以通知防火墻動(dòng)態(tài)生成安全規(guī)則,,實(shí)行威脅管制并告警,。因此智慧防火墻必須具有協(xié)同防御、智能封鎖能力,。
從“看得見”的新視角感知網(wǎng)絡(luò)異常行為,,發(fā)現(xiàn)未知威脅
防火墻產(chǎn)品部署的位置及其數(shù)據(jù)處理技術(shù),決定了其具有天然的網(wǎng)關(guān)數(shù)據(jù)獲取,、分析,、關(guān)聯(lián)及展示能力,通過對(duì)流經(jīng)的網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行分類可視化展示及指標(biāo)關(guān)聯(lián)分析展示(如終端數(shù)據(jù)展示,、業(yè)務(wù)數(shù)據(jù)展示,、網(wǎng)絡(luò)性能數(shù)據(jù)指標(biāo)展示等),形成各種緯度的數(shù)據(jù)模型,,并與正常網(wǎng)絡(luò)流量下的數(shù)據(jù)模型進(jìn)行對(duì)比分析加之人為判斷,,從而發(fā)現(xiàn)網(wǎng)絡(luò)中的異常行為,實(shí)現(xiàn)慢性DDOS攻擊及漏檢測(cè)的變種木馬,、加殼病毒,、僵尸網(wǎng)絡(luò)等威脅發(fā)現(xiàn)、自動(dòng)化阻斷或告警,;
面向內(nèi)容的融合安全
傳統(tǒng)防火墻產(chǎn)品主要圍繞網(wǎng)絡(luò)安全防護(hù),,智慧防火墻在此基礎(chǔ)上更需強(qiáng)調(diào)面向應(yīng)用、面向內(nèi)容的融合安全,。高性能基礎(chǔ)上,,智慧防火墻必須具有應(yīng)用層協(xié)議識(shí)別及解析能力(如Mail、HTTP,、IM,、FTP,、P2P等等)和應(yīng)用層協(xié)議承載的數(shù)據(jù)文件、可執(zhí)行文件,、URL,、HTML(含多層壓縮)等進(jìn)行內(nèi)容還原并深度安全檢查,實(shí)現(xiàn)敏感信息過濾,,在網(wǎng)關(guān)位置防止敏感信息泄露,。
系統(tǒng)安全可靠,無堅(jiān)不摧
智慧防火墻自身安全至關(guān)重要,,同樣也是攻擊入侵的主要目標(biāo),,因此自身系統(tǒng)需確保無漏洞、安全可靠,。系統(tǒng)管理方面需關(guān)閉一切不必要的服務(wù)(SSH,、HTTPS,、TELNET等),、口令復(fù)雜程度高且定期更新、設(shè)備受限管理,、安全策略配置嚴(yán)謹(jǐn)精細(xì)等等,。
綜上所述,智慧防火墻核心威脅檢測(cè)思想是要具有智慧的能力,,就是由深度檢測(cè)平面(多維度檢測(cè)能力),、云端數(shù)據(jù)平面(大數(shù)據(jù)威脅挖掘)、協(xié)同防御平面(聯(lián)動(dòng)方案能力),、異常行為發(fā)現(xiàn)平面(看得見的安全),、內(nèi)容可視平面(內(nèi)容安全)、系統(tǒng)自身安全平面(系統(tǒng)健壯性)構(gòu)成一個(gè)六維立體的防火墻網(wǎng)關(guān)威脅防御體系,,有攻擊者可能會(huì)饒過一個(gè)點(diǎn)或一個(gè)面的檢測(cè),,想全面地逃避掉檢測(cè),則非常困難,。智慧防火墻只有實(shí)現(xiàn)了以上的六面立體的威脅防御能力,,才能夠?qū)崿F(xiàn)對(duì)下一代威脅(包括APT)的完美防御。
總結(jié)
面對(duì)運(yùn)營(yíng)商海量的數(shù)據(jù)及隱藏其中的各種高級(jí)威脅,,部署在運(yùn)營(yíng)商各安全域邊界的防火墻不能再孤軍作戰(zhàn),,而是需要建立起協(xié)同防御的安全體系,并依托于持續(xù)更新的威脅情報(bào)和不斷加強(qiáng)的技術(shù)能力,,持續(xù)提升自身提升發(fā)現(xiàn)和響應(yīng)高級(jí)威脅的能力,,從而在邊界更好的對(duì)抗各種安全威脅。因此智慧防火墻應(yīng)運(yùn)而生,。