今天，高級(jí)威脅和0day攻擊正變得肆無(wú)忌憚，因?yàn)樗麄兡芨叨纫?guī)避檢測(cè)，傳統(tǒng)的基于特征的防護(hù)漸漸力不從心，安全防護(hù)思路和架構(gòu)的轉(zhuǎn)變已是大勢(shì)所趨，從基于已知威脅的防御轉(zhuǎn)變?yōu)榛谖粗L(fēng)險(xiǎn)的預(yù)防，這一轉(zhuǎn)變需要更加智能的安全思路才能實(shí)現(xiàn)。安全智能在今年的RSA信息安全大會(huì)上也是炙手可熱的一個(gè)詞，不過(guò)，業(yè)界卻依然疑惑，“智能”雖好，實(shí)現(xiàn)卻難。

6月18日，山石網(wǎng)科發(fā)布下一代智能安全，將“智能”與“防火墻”相結(jié)合，向外界展現(xiàn)出其“智能安全”思路，并推出第一階段成果——下一代智能防火墻Intelligent Next-Generation Firewall(以下簡(jiǎn)稱iNGFW)。

[[75403]]

解讀一：為什么需要智能安全——APT、0day攻擊讓未知威脅檢測(cè)需求升溫 

在IT應(yīng)用迅速變革的今天，一分鐘之內(nèi)可以發(fā)生多少事情?在QQ空間上有14萬(wàn)圖片被下載，在新浪微博上有9.54萬(wàn)次微博被發(fā)出，在淘寶網(wǎng)上有8300次交易在進(jìn)行，在朋友網(wǎng)上有6000對(duì)朋友相識(shí)。令人擔(dān)憂的是，隨之而來(lái)的危機(jī)無(wú)處不在。今年5月，雅虎2200萬(wàn)用戶的信息被竊取，4月，有一個(gè)惡意病毒讓一家個(gè)石油公司的記錄全部消除，在花旗銀行已經(jīng)發(fā)生過(guò)36萬(wàn)帳戶被竊取。

[[75404]]

今天的種種攻擊事件，越來(lái)越多地與隱蔽的、持續(xù)的高級(jí)威脅(APT)相關(guān)，它們對(duì)攻擊目標(biāo)造成損失是令人難以承受的。而隨著這一類攻擊的擴(kuò)散，傳統(tǒng)的基于威脅的安全模式不再有效。在傳統(tǒng)的基于威脅的安全模式下，是先確定需要防范的威脅類型再有針對(duì)性地去防范：對(duì)病毒和木馬文件傳輸，有防病毒解決方案;對(duì)基于網(wǎng)絡(luò)的應(yīng)用層攻擊，有IDS/IPS解決方案方案;針對(duì)新的攻擊類型，則通過(guò)向檢測(cè)規(guī)則數(shù)據(jù)庫(kù)中添加IPS規(guī)則。

然而，面對(duì)由APT威脅和0day攻擊帶來(lái)的未知風(fēng)險(xiǎn)，你根本無(wú)從先行判斷攻擊是什么，就更別談對(duì)其進(jìn)行防御。這樣一來(lái)，從流量中查找行為特征來(lái)判斷攻擊發(fā)生與否的新技術(shù)漸行漸近，安全模式也開始從被動(dòng)的、基于威脅的模式(僅關(guān)注威脅，處理已知威脅)轉(zhuǎn)向主動(dòng)的、基于風(fēng)險(xiǎn)的模式(將資產(chǎn)、威脅及漏洞都納入考慮范圍，能處理未知威脅)。

在這種以風(fēng)險(xiǎn)管控為核心的安全模式中，實(shí)時(shí)監(jiān)控和早期檢測(cè)變得非常的重要，安全界需要更加智能的新技術(shù)，能夠在網(wǎng)絡(luò)正常進(jìn)行時(shí)也能實(shí)時(shí)檢測(cè)到變化，從這些變化中發(fā)現(xiàn)潛在威脅并在威脅真正發(fā)生之前阻止它。#p#

解讀二：下一代智能防火墻的設(shè)計(jì)思路——基于風(fēng)險(xiǎn)的主動(dòng)預(yù)防而非基于威脅的被動(dòng)防御

什么樣的安全產(chǎn)品才稱得上智能?在山石網(wǎng)科產(chǎn)品副總裁王鐘看來(lái)，智能安全產(chǎn)品的特性可以概括為：對(duì)于網(wǎng)絡(luò)狀態(tài)，要有學(xué)習(xí)能力;對(duì)于網(wǎng)絡(luò)產(chǎn)生的數(shù)據(jù)，要有挖掘能力;對(duì)于網(wǎng)絡(luò)的安全威脅，要能做到預(yù)警;對(duì)于安全事件，要能做到可視化管理。

[[75405]]

智能安全如何實(shí)現(xiàn)?山石網(wǎng)科的做法是將智能與防火墻相結(jié)合，實(shí)現(xiàn)產(chǎn)品化。山石網(wǎng)科市場(chǎng)副總裁張凌齡稱，智能防火墻不再只是“一堵墻”而是一個(gè)平臺(tái)，它在網(wǎng)絡(luò)的核心節(jié)點(diǎn)上監(jiān)控著網(wǎng)絡(luò)、用戶和應(yīng)用的健康狀況，而山石網(wǎng)科下一代智能防火墻就是在準(zhǔn)確、深度辨識(shí)用戶身份、服務(wù)器和應(yīng)用的基礎(chǔ)上，對(duì)其進(jìn)行長(zhǎng)期監(jiān)控。其設(shè)計(jì)思路是：分別以全網(wǎng)健康指數(shù)(NHI)對(duì)網(wǎng)絡(luò)健康狀態(tài)打分，以行為信譽(yù)指數(shù)(BRI) 對(duì)用戶及服務(wù)器狀態(tài)打分，然后對(duì)“高危”人員或者“高危”服務(wù)器實(shí)行相應(yīng)的預(yù)警或有效的控制。有了這樣的信譽(yù)評(píng)分制，管理員就可以根據(jù)用戶的信譽(yù)分?jǐn)?shù)來(lái)動(dòng)態(tài)調(diào)整策略，決定是否讓其進(jìn)入網(wǎng)絡(luò)。這個(gè)思路的重要意義在于：將“信譽(yù)”作為第八元組引入防火墻的控制，使防火墻在原有的防護(hù)基礎(chǔ)上增加了對(duì)于網(wǎng)絡(luò)風(fēng)險(xiǎn)的控制。

一直以來(lái)，所有安全設(shè)備所扮演的角色都是執(zhí)行者。那么，安全管理策略制定的依據(jù)又是什么呢?安全管理員需要相關(guān)的建議。未來(lái)，下一代智能防火墻將具備這樣的建議能力，把自己從一個(gè)單純的執(zhí)行者，變成一個(gè)建設(shè)性的執(zhí)行者。#p#

解讀三：下一代智能防火墻發(fā)展路線——全網(wǎng)健康指數(shù)、行為信譽(yù)指數(shù)、基于信譽(yù)的訪問(wèn)控制

下一代智能防火墻的長(zhǎng)遠(yuǎn)設(shè)計(jì)理念是：在網(wǎng)絡(luò)中建立起信譽(yù)體系，再通過(guò)這個(gè)信譽(yù)體系規(guī)范網(wǎng)絡(luò)行為。山石網(wǎng)科下一代智能防火墻的技術(shù)愿景是一個(gè)宏偉的藍(lán)圖，將分為三個(gè)階段完成，第一階段以實(shí)現(xiàn)全網(wǎng)的健康狀態(tài)的檢測(cè)和監(jiān)控為核心;第二階段可實(shí)現(xiàn)對(duì)用戶、服務(wù)器及服務(wù)的行為信譽(yù)監(jiān)控，并且通過(guò)關(guān)聯(lián)分析對(duì)僵尸網(wǎng)絡(luò)、異常行為及APT攻擊做預(yù)警和報(bào)告;第三階段將在監(jiān)控和報(bào)告的基礎(chǔ)上，實(shí)現(xiàn)動(dòng)態(tài)的策略調(diào)整和控制。

[[75406]]

具體而言，全網(wǎng)健康指數(shù)(NHI)的打分方法是：通過(guò)主動(dòng)檢測(cè)的技術(shù)，實(shí)時(shí)監(jiān)控網(wǎng)絡(luò)的連通性、設(shè)備資源的利用情況、CPU/內(nèi)存的使用情況、業(yè)務(wù)服務(wù)器響應(yīng)的延遲情況，通過(guò)一個(gè)專利算法，形成網(wǎng)絡(luò)整體健康指數(shù)，供管理員參考。

“行為信譽(yù)度”指數(shù) (BRI)可基于行為分析出內(nèi)網(wǎng)對(duì)象的風(fēng)險(xiǎn)級(jí)別。通過(guò)集中關(guān)注具有最高風(fēng)險(xiǎn)的目標(biāo)及相關(guān)行為，管理員可專心處理系統(tǒng)中最嚴(yán)重的問(wèn)題。對(duì)象信譽(yù)可能取決于多個(gè)因素，如：對(duì)象當(dāng)前行為、對(duì)象的歷史行為、與同類對(duì)象的行為對(duì)比、對(duì)象行為的歷史變化。

內(nèi)網(wǎng)對(duì)象和子網(wǎng)可以根據(jù)全網(wǎng)健康指數(shù)和行為信譽(yù)指數(shù)分為三種健康：健康、亞健康、危險(xiǎn)。在第三階段，企業(yè)可利用基于信譽(yù)的訪問(wèn)控制為處于不同健康狀態(tài)的用戶設(shè)計(jì)不同策略，如：對(duì)危險(xiǎn)狀態(tài)用戶進(jìn)行隔離等措施;對(duì)亞健康用戶，則可禁止其訪問(wèn)網(wǎng)絡(luò)中敏感的或高度保密的資源。

目前，下一代智能安全已經(jīng)實(shí)現(xiàn)了第一階段目標(biāo)，新推出的首款下一代智能防火墻產(chǎn)品Hillstone T5060即可對(duì)全網(wǎng)健康指數(shù)進(jìn)行打分。第二階段目標(biāo)預(yù)計(jì)將于明年實(shí)現(xiàn)。#p#

解讀四：“智能”為何要與防火墻結(jié)合——在防火墻中集成數(shù)據(jù)分析，可在一臺(tái)設(shè)備內(nèi)形成控制閉環(huán)

在今天的安全界，“智能”其實(shí)已經(jīng)不是什么新鮮的詞了。而談到智能安全，一個(gè)明顯的趨勢(shì)是：一些安全廠商都把大數(shù)據(jù)分析方法運(yùn)用到安全分析上來(lái)。張凌齡表示，山石網(wǎng)科智能安全道路的創(chuàng)新在于：將大數(shù)據(jù)分析用到了防火墻中，并和其他的安全控制實(shí)現(xiàn)了聯(lián)動(dòng)。將大數(shù)據(jù)關(guān)聯(lián)分析的手段用在防火墻平臺(tái)上，可以充分發(fā)揮防火墻兼具檢測(cè)、監(jiān)控和控制能力于一體的優(yōu)勢(shì)，更好地實(shí)現(xiàn)聯(lián)動(dòng)并實(shí)時(shí)控制風(fēng)險(xiǎn)，在一臺(tái)設(shè)備上就可實(shí)現(xiàn)有效的控制閉環(huán)，節(jié)省客戶投資。通過(guò)防火墻流量數(shù)據(jù)分析降低網(wǎng)絡(luò)安全風(fēng)險(xiǎn)既簡(jiǎn)單、經(jīng)濟(jì)，又十分有效。

[[75407]]

利用大數(shù)據(jù)分析技術(shù)分析大量不同類型的安全數(shù)據(jù)，可輕松識(shí)別流量中的異常行為模式，有助于對(duì)網(wǎng)絡(luò)用戶和系統(tǒng)的風(fēng)險(xiǎn)評(píng)估。因此，越來(lái)越多企業(yè)喜歡上安全信息和事件管理(SIEM)系統(tǒng)。SIEM可接受多個(gè)設(shè)備的數(shù)據(jù)并跨網(wǎng)絡(luò)關(guān)聯(lián)數(shù)據(jù)，但它只能在事后進(jìn)行分析，也不能對(duì)安全策略進(jìn)行反饋和調(diào)整。在山石網(wǎng)科 CTO劉向明看來(lái)，在防火墻中集成數(shù)據(jù)分析解決方案能提供最佳的響應(yīng)能力，如：可縮短0day攻擊從攻擊開始到被檢測(cè)出來(lái)的時(shí)間，它還使得大量數(shù)據(jù)可在本地進(jìn)行處理，無(wú)需在設(shè)備間進(jìn)行二次傳輸。#p#

解讀五：iNGFW與NGFW的顯著區(qū)別——NGFW無(wú)法根據(jù)行為調(diào)整安全策略，iNGFW可以

在2013年年初的媒體溝通會(huì)上，在被問(wèn)到何時(shí)出NGFW的問(wèn)題時(shí)，山石網(wǎng)科就透露出要在年內(nèi)推出類似beyond NGFW的產(chǎn)品。時(shí)隔幾個(gè)月，當(dāng)iNGFW終于問(wèn)世時(shí)，山石網(wǎng)科沒有將關(guān)注點(diǎn)放在NGFW，而是在“i”(Intelligent，智能)上。那么，對(duì)比NGFW，iNGFW有何不同，又有何特別之處?

[[75408]]

NGFW的基礎(chǔ)是應(yīng)用、用戶和內(nèi)容的識(shí)別，它根據(jù)識(shí)別結(jié)果實(shí)施安全控制。防火墻上配置的策略能確定是否允許特定用戶使用特定應(yīng)用。然而，其他因素也可能影響用戶的訪問(wèn)控制級(jí)別，其中一個(gè)因素就是用戶風(fēng)險(xiǎn)級(jí)別，即：“信譽(yù)”。用戶信譽(yù)會(huì)隨時(shí)間變化，在某個(gè)時(shí)間點(diǎn)使用應(yīng)用被接受，在另一個(gè)時(shí)間點(diǎn)可能就不能被接受，因此訪問(wèn)級(jí)別也應(yīng)隨之變化。

NGFW并不會(huì)從時(shí)間維度上分析收集到的信息，無(wú)法進(jìn)行動(dòng)態(tài)調(diào)整，但實(shí)際上，用戶可能需要根據(jù)感知到的風(fēng)險(xiǎn)動(dòng)態(tài)改變?cè)L問(wèn)策略。NGFW也不會(huì)關(guān)注流量中的異常，包括與其他類似用戶或系統(tǒng)所關(guān)聯(lián)出的異常或隨時(shí)間顯現(xiàn)出的異常。

與NGFW不同，iNGFW的增強(qiáng)型NGFW功能讓用戶可以全局總覽網(wǎng)絡(luò)、用戶和應(yīng)用，動(dòng)態(tài)控制策略。它使用數(shù)據(jù)分析技術(shù)和機(jī)器學(xué)習(xí)技術(shù)可查找出有問(wèn)題的行為和模式，如：網(wǎng)絡(luò)和系統(tǒng)使用情況是否符合公司的相關(guān)規(guī)定;與歷史數(shù)據(jù)比較得出的正常網(wǎng)絡(luò)和系統(tǒng)使用情況;與同類對(duì)象比較得出的異常網(wǎng)絡(luò)和系統(tǒng)使用情況;關(guān)聯(lián)事件日志和流量特征進(jìn)行僵尸網(wǎng)絡(luò)檢測(cè)。

iNGFW的自學(xué)習(xí)機(jī)制可以使分析更準(zhǔn)確，每一次分析都有一個(gè)基線，用以確定某個(gè)特定時(shí)間點(diǎn)上某個(gè)用戶某個(gè)應(yīng)用的正常模式。打個(gè)比方，從來(lái)沒有在非洲消費(fèi)記錄的信用卡，突然有一筆在非洲的消費(fèi)會(huì)被當(dāng)作異常行為，但同樣的金額，在常刷卡的歐洲刷出來(lái)可能就是正常行為。