本文讲的是 下一代防火墙 突破于威胁可视化,知名咨询机构IDC对下一代防火墙(NGFW)定义了五方面的核心安全能力:对应用、用户、内容的精细化识别与管控,一体化安全引擎,外部智能,全网可视化和高性能架构。其中可视化可能是最容易被厂商和用户误读的一项能力,因为从英文visibility翻译过来的这个词,很容易被“跑偏”的理解到同样被翻译为“可视化”的visualization这个词上。
从Visualization这个词谈起
从字面理解,visualization指的是将抽象的事物清晰的呈现出来。具体到NGFW上,将海量的日志等原始数据信息以易懂的图形化报表形式呈现出来确实是必备的基本能力之一。确切的说,仅仅简单的将事件日志等数据信息粗暴的呈现给用户的产品还不能称为商业化产品;但即使做到了日志数据的图形化呈现,与真正意义上的可视化仍相距甚远——几乎所有的技术人员在面对由传统安全设备输出的单调、重复、难懂的日志和报表时,都在为如何将它们与安全风险相挂钩而面露难色。
近年来一些厂商将越来越炫酷的UI界面或各类TOP 10排名灌之以深度可视化的名头,这是典型的将visualization理解成了visibility。可视化不是简单的将数据图形化呈现,不是日志信息的简单分类和归集,而是深度挖掘这些原始数据素材之后的内在关联,以全局视角帮助网络管理者看清各种威胁,看清攻击事件的全貌,帮助了解攻击者的真正意图和目标。从这个意义上讲,visibility的准确翻译应该是“看得见的能力”而非“可视化”。
可视化的三重境界
看得清是可视化的初级境界,也是对NGFW的最基本要求。
在网络应用高速发展的今天,超过90%的网络应用运行在HTTP 80和443端口上,大量应用可以进行端口复用和IP地址修改,导致IP地址不等于用户、端口号不等于应用。在这样的大背景下,如果还向管理者呈现一条条IP、端口等流量日志无助于看清网络中的应用,更不用说洞悉应用上所承载的内容。
下一代防火墙的可视化技术,可以根据应用的行为和特征实现对应用的识别。如果能够实现与多种认证系统(AD、LDAP等)无缝对接的话,还可以进一步自动识别出应用和IP地址所对应的用户信息,勾画出人-内容-应用的立体画像,满足新一代安全的网络管控要求。
看得全是可视化的第二重境界。NGFW区别于传统防火墙的最大特征是NGFW可以在应用层上构建安全,可以有效抵御应用层威胁。当今应用层攻击的一个大趋势,是从单一攻击手段向复合式攻击演进,一次攻击事件可能会触发AV、IPS等多个安全模块的告警。看的全不但要求NGFW能够看清人、内容、应用,更要能够将分散在不同安全模块上看似割裂的安全事件进行多维度的管理分析,彻底改变以UTM为代表的传统安全设备的信息孤岛诟病,帮助管理者从单一的安全事件了解攻击的完整过程。
这一点看似简单,实现起来并不容易。一体化引擎架构不仅通过“单次解码,并行检测”解决了多安全模块检测所带来的性能瓶颈,更是多安全模块智能数据联动的基础——各安全模块产生的信息可实现全维度关联,使NGFW具备强大的模块间安全协同能力和威胁情报聚合能力,用户无需进行人工挖掘和分析即可全面掌握威胁全貌。
看得透是可视化的更高一层境界。这里所说的“看得透”,指的是NGFW的可视化能力应具备一定的智能分析能力,帮助管理者定位可疑行为以预测风险。通俗一点讲,就是只有做到“见你所未见”,才能实现“知你所不知”。
过去,我们将太多的精力放在了基于安全策略的实时防御上面,但事实证明以策略为核心的防护体系无法完全挡住威胁。近年来占据了安全圈新闻头条的是越来越多的网络失陷事件。为此,业内有厂商提出了以预测为核心的新一代安全防护体系,即通过动态的检测网络异常对后续攻击进行预测,为调整防御策略提供依据。
要实现更准确的预测,除了企业自身的安全运营数据外,还应包括外部的威胁情报。随着云计算、大数据技术的不断成熟,将云端的海量威胁情报信息及大数据的高度智能用于判别日趋复杂的威胁,已成为业界公认的技术发展方向。NGFW应具有与外部威胁情报库联动的能力,并能够利用大数据分析技术,通过威胁情报预测攻击事件,看清威胁特征库中并未收录的未知威胁。
NGFW,如何突破于可视化?
NGFW应具有的可视化能力,言简意赅的讲,指的是通过图形化界面的呈现,从用户、应用、威胁等多个维度,体现流量的状况、变化趋势等。这项技术是从传统防火墙的日志、报表功能演变过来的,但与传统防火墙相比NGFW的可视化有几点明显的突破:
1)能够看到基于应用的流量而不是IP、端口;
2)能够提供关联的分析,而不是割裂的看到每一个功能模块的日志;
3)对于统计的数据,具备一定的分析能力,而不是简单的呈现。
当可视化这个传统安全能力具备了以上“下一代”基因后,就赋能以NGFW实现了安全能力上的突破:对于管理范围内任意一台主机,NGFW都可以精准定位并实时追踪其网络应用使用情况及与之相关的安全事件,方便管理者清晰的认知网络运行状态。
通过深入的数据挖掘能够形成安全趋势分析,以及各类图形化的统计分析报告,从应用和用户视角多层面的将网络应用的状态展现出来;通过引入外部威胁情报,实现安全态势感知和风险预测功能,解决单机设备与生俱来的短板。
看不见贼就抓不到贼。预测,是更高层面上的看见。
原文发布时间为:二月 17, 2016
本文作者:aqniu
本文来自云栖社区合作伙伴安全牛,了解相关信息可以关注安全牛。
原文链接:http://www.aqniu.com/tools-tech/13721.html
