隨著大數據時代的來臨,針對核心數據的網絡攻擊事件層出不窮,網絡安全火熱沸騰。國際方面,美國人事管理局2700萬政府雇員及申請人信息泄密;美國國稅局10萬名納稅人的財務信息泄露;美股券商Scottrade,460萬客戶敏感信息泄露;意大利間諜軟件公司HackingTeam被黑,包含多個零日漏洞、入侵工具和大量工作郵件及客戶名單的400G數據被傳到網上任意下載;國內方面,鐵道部官方網站13萬用戶信息泄露;大麥網600萬用戶賬號密碼泄露并在黑產論壇公開售賣;海康威視被黑客植入代碼導致被遠程監控;網易骨干網遭攻擊,百萬游戲用戶中斷;網絡攻擊日新月異,網絡安全事件層出不窮,全球網絡安全形勢十分嚴峻。
運營商網絡邊界是攻防戰必爭之地,根據安全域的劃分,日常維護區、第三方接入區、DMZ區、日常辦公區、開發測試區等多種安全區均會是網絡攻防的主攻方向。而傳統防火墻應對以APT為代表的各類高級威脅難以發揮作用,對復雜網絡攻擊手段的檢測能力、感知網絡異常行為、發現未知威脅方面均存在不足,要想取得網絡邊界攻防戰的勝利需要具有以大數據驅為基礎的安全管控能力,具有協同防御、智能封鎖的安全邊界設備以應對新的威脅新的挑戰。
運營商邊界安全的新一代威脅趨勢
網絡攻擊技術歷經長達20多年的發展,新一代網絡威脅攻擊者采取了現有檢測體系難以檢測的方式方法,如未知漏洞利用、已知漏洞變形、特種木馬,并組合各種技術,包含社會工程學、釣魚、供應鏈植入等,各種攻擊模式或組合能有效穿透大多數邊界防御體系,最終達到盜取內部敏感信息或破壞目標網絡的目的。新一代網絡威脅具有隱蔽性強、自動化高、速度快、破壞力大等特點,現有主要網絡攻擊技術類型如下:
高級隱遁技術(AET):即將已知的逃避技術進行新的各種組合,形成高級逃避能力,從而繞過網關設備檢測,形成網絡攻擊。
0DAY漏洞威脅:0DAY漏洞由于系統還未修補,而大多數用戶、廠商也不知道漏洞的存在,因此是攻擊者入侵系統的利器。
多態病毒木馬威脅:已有病毒木馬通過修改變形就可以形成一個新的未知的病毒和木馬,而惡意代碼開發者也還在不斷開發新的功能更強大的病毒和木馬,他們可以繞過現有基于簽名的檢測體系發起攻擊。
混合性威脅:攻擊者混合多種路徑、手段和目標來發起攻擊。
定向攻擊威脅:攻擊者發起針對具體目標的攻擊。
高級持續性威脅:APT是以上各種手段(甚至包括傳統間諜等非IT技術手段)的組合,是威脅中最可怕的威脅,是攻擊者精心策劃,為了達成即定的目標,長期持續的攻擊行為。
運營商邊界安全的新一代防御技術趨勢
運營商網絡邊界是攻防戰的第一主戰場,防火墻則是攻防戰爭中的“先鋒官”,在整個防御體系中地位舉足輕重。威脅多變,基于簽名的傳統邊界防火墻產品已經無法抵御新一代威脅,因此對新一代智慧防火墻提出全新防御技術挑戰,那么智慧防火墻應該具有哪些必要的防御技術能力呢?
對攻擊載體的多緯度檢測能力
智慧防火墻的檢測能力是安全防護能力的核心,根據新一代網絡威脅的特性,對每個攻擊載體點的檢測,需要采用多維度的深度檢測機制,確保攻擊者難以逃過檢測。智慧防火墻應具有傳統的基于簽名的檢測(已知攻擊)、基于深度內容的檢測(抗逃逸的未知威脅)、基于虛擬行為的檢測(抗逃逸的未知威脅)、基于事件關聯的檢測(抗逃逸的未知威脅)、基于全局數據分析的檢測(抗逃逸的未知威脅)等檢測手段,考慮智慧防火墻高性能要求,各種檢測技術必須存在,但未必均在智慧防火墻上實現,可以通過云端或本地第三方設備實現,并采用智能聯動實現威脅防御。
互聯網大數據驅動防火墻安全管控能力及威脅防御能力
云端互聯網數據具有協議復雜、業務多樣、威脅眾多等特點,是挖掘協議樣本和威脅樣本最好最實時的數據源泉。基于云端強大的分布式計算能力對互聯網大數據獲取、分析、挖掘并采用人工智能、機器學習的全自動協議特征提取技術,第一時間提取出新應用特征并動態實時同步至防火墻應用特征簽名庫中,做到新應用發布與應用特征發布“無延時”,實現防火墻產品應用緯度的及時精準管控;同時對互聯網大數據采用惡意行為檢測、虛擬沙箱執行等技術實現對IP、URL、文件等深度執行、分析及威脅挖掘,最終獲取IP、URL、文件信譽度及黑、白、灰名單庫等互聯網情報,并動態實時同步至防火墻威脅情報簽名庫中,能及時有效的抵御木馬、釣魚、蠕蟲、病毒、僵尸網絡等已知及未知威脅,有效防御逃逸威脅及APT攻擊;智慧防火墻需要具有互聯網大數據及數據挖掘技術作為管控及威脅防御能力的技術支撐。
協同防御、智能封鎖
防御體系是安全產品綜合解決方案,更需要安全產品間各種防御技術的智能聯動與協同,在此防御體系中,防火墻則是處理結果的動作有效執行者。傳統安全一般只實現了防火墻與IDS的聯動,新一代威脅的隱蔽性,決定了威脅的檢測與防御必須在云端、網絡、終端的各節點的安全設備進行多層檢測及防御,然而在整個防御體系統中,防火墻是受保護網絡的大門,進出的雙向流量必須通過這道門,因此無論節點的任何安全設備發現威脅,都需要與防火墻形成動態聯動策略,防火墻實現門禁的智能封鎖。例如:云端互聯網情報系統、鏡像檢測的內網大數據分析系統、終端安全管理系統、終端病毒檢測系統等各節點安全設備檢測出威脅或異常,均可以通知防火墻動態生成安全規則,實行威脅管制并告警。因此智慧防火墻必須具有協同防御、智能封鎖能力。
從“看得見”的新視角感知網絡異常行為,發現未知威脅
防火墻產品部署的位置及其數據處理技術,決定了其具有天然的網關數據獲取、分析、關聯及展示能力,通過對流經的網絡數據進行分類可視化展示及指標關聯分析展示(如終端數據展示、業務數據展示、網絡性能數據指標展示等),形成各種緯度的數據模型,并與正常網絡流量下的數據模型進行對比分析加之人為判斷,從而發現網絡中的異常行為,實現慢性DDOS攻擊及漏檢測的變種木馬、加殼病毒、僵尸網絡等威脅發現、自動化阻斷或告警;
面向內容的融合安全
傳統防火墻產品主要圍繞網絡安全防護,智慧防火墻在此基礎上更需強調面向應用、面向內容的融合安全。高性能基礎上,智慧防火墻必須具有應用層協議識別及解析能力(如Mail、HTTP、IM、FTP、P2P等等)和應用層協議承載的數據文件、可執行文件、URL、HTML(含多層壓縮)等進行內容還原并深度安全檢查,實現敏感信息過濾,在網關位置防止敏感信息泄露。
系統安全可靠,無堅不摧
智慧防火墻自身安全至關重要,同樣也是攻擊入侵的主要目標,因此自身系統需確保無漏洞、安全可靠。系統管理方面需關閉一切不必要的服務(SSH、HTTPS、TELNET等)、口令復雜程度高且定期更新、設備受限管理、安全策略配置嚴謹精細等等。
綜上所述,智慧防火墻核心威脅檢測思想是要具有智慧的能力,就是由深度檢測平面(多維度檢測能力)、云端數據平面(大數據威脅挖掘)、協同防御平面(聯動方案能力)、異常行為發現平面(看得見的安全)、內容可視平面(內容安全)、系統自身安全平面(系統健壯性)構成一個六維立體的防火墻網關威脅防御體系,有攻擊者可能會饒過一個點或一個面的檢測,想全面地逃避掉檢測,則非常困難。智慧防火墻只有實現了以上的六面立體的威脅防御能力,才能夠實現對下一代威脅(包括APT)的完美防御。
總結
面對運營商海量的數據及隱藏其中的各種高級威脅,部署在運營商各安全域邊界的防火墻不能再孤軍作戰,而是需要建立起協同防御的安全體系,并依托于持續更新的威脅情報和不斷加強的技術能力,持續提升自身提升發現和響應高級威脅的能力,從而在邊界更好的對抗各種安全威脅。因此智慧防火墻應運而生。