“360新一代智慧防火墙”边界塔防体系
前言
伴随全球数字化转型的风潮,网络安全风险愈演愈烈,新威胁局势下传统的网络安全观和方法论开始被重新审视。作为安全防护体系中的“咽喉要塞”,网络边界防护却在加剧的质疑声中逐渐失去以往的光芒,相比当前备受市场热捧的诸多新兴安全产品,作为“老三样”中的“老大哥”,防火墙似乎正被遗忘。
事实上,网络边界是企业安全体系的第一道和最后一道防线,其在纵深防御体系中的战略地位难以撼动。市场数据同样表明,边界安全在当前仍旧是用户投资的重点领域。
一方面是“不受待见”,另一方面又看似“不可或缺”,从背后反映出用户对网络边界的安全诉求是刚性的、切实存在的,但事实上并未被很好的满足。
在迈向新一代安全的道路上,边界安全再一次迎来了“复兴”的机遇,随着安全云服务、威胁情报、大数据分析等创新技术被持续的运用于传统的边界安全产品中,“新边界防御”被赋予了对抗威胁的防护力、感知威胁的洞察力和处置威胁的执行力。
本次系列解读拟结合当前主流产品的技术实践,与用户共同研讨“新边界防御”的三大安全能力构建,本节将主要探讨“防护力”。
威胁重重,防护的意义何在?
在网络安全域的边界识别并拦截威胁,是边界安全的“第一要务”,然而,也许是因为“防守”永远是“敌暗我明”,边界的防护力似乎总也跟不上攻击技术的变化,高级、复杂的威胁可以轻易绕过边界防线。
在0-Day漏洞、病毒变种肆虐的今天,“防护”对于安全体系的构建到底还能发挥多大的作用?
由SANS Institute提出的“网络安全滑动标尺”模型指出,安全体系的构建和能力提升始终遵循从“安全架构”、到“被动防御”、再到“积极防御”等阶段的叠加演进。
安全能力的叠加演进:网络安全滑动标尺
何为“叠加演进”,其绝不仅仅是指前一阶段向后一阶段的进化,事实上每一阶段的能力体现均强依赖于前一阶段的建设,而这一点却往往被忽略。举例而言,如果一所房子本身是不坚固的,即便装再多道铁门、部署再多摄像头都无济于事。
由此可见,防护尽管已不再可靠,但从攻防对抗的角度来讲,其依然具有重要的作用和战略意义,在失陷几乎成为必然的今天,防护应起到的作用是消耗攻击资源、迟滞攻击的成功,为其他安全措施“争取时间”。
用协同联动构建边界“塔防”
众所周之,边界安全防护以预设规则、静态匹配为主要手段来检测试图穿越边界的威胁,尽管已历经数代的技术演进,但这一根本技术原理并未变化。
举例来说,边界防护就像一名哨兵,掌握所有“坏人”的面部特征,有人要经过这所哨卡,哨兵就要对照此人的面部特征是否在“坏人”的照片库中。
在这样的技术背景下,哨兵能够识破更多的“坏人”,就意味着边界防护的安全有效性更高,因此哨兵应当掌握一个更大的“照片库”,但事实上这并不容易做到,在当前的威胁环境下,坏人总在持续增多,并且特征的变换正在加速。
如何为“哨兵”赋予更高的智慧,让他可以识破更多的“坏人”? 一个“人(哨兵)”的能力总是有限的,我们需要为哨兵找到更多的帮手,并且他们应该“各有所长”,用不同的方法识破更多威胁,以形成能力上的互补。
在边界防护的技术实践里,这就是所谓的“协同联动”,边界防护产品通过与部署在云端、网络、终端等位置的其他安全部件进行数据共享和策略协同,实现防护力的提升。
事实上,协同联动已经成为行业公认的技术趋势,纵观国内外主流的边界安全厂商,无论是以下一代防火墙起家的技术创新者,还是从传统防火墙起步的老牌玩家,其产品均在从单独的“盒子”向着平台化的方案转变,而这些转变的驱动力无疑是为了给“盒子”注入更多的智慧,以构筑对抗新威胁的“塔防”体系。
产品实践:终端协同,在边界做到“双保险”
目前,协同联动的技术理念已经开始快步落地于产品,以企业用户普遍部署的边界防火墙和终端杀毒软件为例,这两个再传统不过的安全部件通过协同联动能产生怎样的“化学反应”呢?
在过往,企业网内纵然有多道防线,但却是“铁路警察各管一段”,有问题的主机一旦绕过了终端安全软件的管控,部署在网络边界的防火墙即便是占据“有利地形”,也依然无法采取任何措施。
例如,尽管三令五申,但用户并不按照规章制度的要求安装杀毒软件、升级病毒库、及时打补丁,这样的终端犹如病毒肆虐时期的“易感染人群”,一旦接入鱼龙混杂的网络环境中,极易中招失陷。
又如,即便是安装、运行杀毒软件的终端,当杀毒软件对某一程序、文件做出告警时,相当一部分用户由于侥幸心理依然会主动、人为的忽略告警,从而造成恶意程序在终端系统上成功运行。
随着终端、边界协同联动的打通,这一情况得到了改善。以360的产品实践为例,边界上的智慧防火墙和终端上的“天擎”(由360设计研发的终端安全管理系统)则通过基于终端风险的访问控制和基于外联行为的协同防御,在网络边界给终端安全防护提供了“双保险”。
所谓“基于终端风险的访问控制”是指,“天擎”基于终端系统上的补丁更新、病毒库升级、进程运行、文件、安全配置等20余项检查点,对其进行健康指数评估。随后,所有终端的健康指数将被同步至边界的智慧防火墙,而在智慧防火墙上则可以针对不同风险等级的终端对象创建安全策略,从而实现对“易感染人群”的“特殊照顾”。
同时,“天擎”还会实时监控终端系统的所有外联行为,除了用于自身的安全检测外,这些产生外联行为的文件,其特征同样会共享至智慧防火墙。这样,智慧防火墙不仅可以像传统安全网关那样实时检测流经网络的文件,还可以借助天擎共享的数据对主机上已经存在的文件进行“二次查验”,因此,即便是在终端上被人为放过的恶意程序,依然可以在网络边界上被再次告警并阻断。
“360新一代智慧防火墙”基于终端风险的访问控制
从以上方案不难看出,协同联动为防火墙识别威胁注入了超越其自身能力的新智慧,使得它可以识破更多的“坏人”。当然,边界、终端安全系统的联动仅仅是协同的一个体现,可以预见,基于云端的安全服务、威胁情报、高级威胁检测系统、威胁感知系统、沙箱检测系统等均会与网络边界的防火墙实现更为深入的协同,用数据的力量驱动形成对抗新威胁所需要的防护力。