笔者在上篇文章《灰色区域不能成为安全的“法外之地”》一文中已经详细阐述关于应用层灰色内容危害性,并从宏观角度提供三点建议作为解决之道。本文,笔者将从可视化这个功能角度详细讲解其如何应对灰色地带安全问题。
应用“灰色地带”随着各种互联网的快速发展也呈几何级增长,然而单纯黑白名单控制策略已经力不从心。为解决这一难题, NGFW引入了风险的视角,以关联分析等技术,通过可视化工具将灰色地带中不确定风险告知用户,让用户参与决策,减少潜在隐藏风险给用户带来的危害。
那么何为可视化,可视化本质是指通过人参与管理与和决策,处理风险减缓(预防发生)和风险应急(已经发生)的事情。这里风险减缓是指通过行动和付出成本主动减缓某个风险的出现,而风险应急是指通过行动和付出成本用于某个已出现的风险上。NGFW可视化是如何解决应用“灰色地带”安全问题呢?
通过“精细化的应用识别和内容管控”缩小应用入口是可视化的前提保障
当下很多应用都是建立在HTTP等基础协议之上,通过跳变端口,SLL加密等方式隐藏网络流量中的内容。基于端口的协议识别时代已经过去。当管理者看到一堆基于地址、协议、端口的流量日志时,根本无法看清网络中流量,更无法洞悉数据的内容,而安全事件往往就在这不经意间发生了。
笔者在《灰色区域不能成为安全的法外之地》一文中曾建议:禁止企业中不必要应用——从源头缩减“灰色区域”。那么在这个应用爆炸式发展的大背景下,IP地址不等于用户、协议端口也早已不是应用的代名词,如何缩减应用入口呢?
NGFW引入了风险视角思维,对于无法做出确切判断的“灰色内容”,对其做一个概率性质和威胁性质的判断,并尝试为其进行应用风险打分。这就需要NGFW能够自动识别出应用和IP所对应用户信息,而不仅仅是一堆IP地址和协议端口。这就是笔者所强调通过精细化应用识别能力,以可视化方式最大程度缩减入口,减少需要用户参与决策数量以及决策难度。精细化应用识别是可视化前提保障,让用户能够看得清应用中人、内容、应用、位置等基本要素,而不是输出一堆单调、重复、难懂的日志报表,帮助用户缩减应用入口。
关联分析是可视化应对高危风险的关键能力
对于一些高危风险应用,采取重点检测措施,进行细粒度分析处理。例如,应用层混合式攻击成为当今攻击的一个大趋势,仅一次攻击事件就可能会触发AV、IPS等多个安全模块的告警。攻击可能会透过不同的媒介及管道,进行“陆海空”联合多点大进击,例如它可能一方面通过垃圾邮件传播,一方面在网上扫描并寄生在有弱点的主机上,另一方面却在网络上伪装成可供人们下载的软件等,诱使大家中招。面对这样混合式攻击,仅仅通过某一个安全模块日志、报警,往往很难确认是否要Deny这个应用。这就要求NGFW除了能够看清人、内容、应用,还要能够将分散在不同安全模块上看似割裂的安全事件进行多维度的关联分析,帮助管理者从单一的安全事件了解攻击的完整过程。为此NGFW需要具备强大的模块间安全协同能力和威胁情报聚合能力,让用户无需进行人工挖掘和分析即可全面掌握威胁全貌。目前主流NGFW厂商都是采取一体化引擎架构,数据包经过一次解码,一次性匹配用户ID、应用ID、内容ID,最终将匹配结果同步至安全策略引擎,决定放行或阻断,这是深度集成各安全功能的体现,而关联分析正是深度集成一体化威胁防护体系的基石。
外部智能是可视化终极大招
可视化设计初衷是为了应对应用中包含大量不确定灰色内容,旨在通过可视化形式,提供直观明了的信息,让用户参与进来决策,为优化策略提供技术支撑。但是这与传统网络安全设备完全不同,传统设备大多简单以日志、报表,IP、连接、带宽为维度,那样纵使统计全面、数据充分,但仍然很难帮助网络管理者了解网络的变化趋势。在网络攻击日趋频繁的今天,这就要求NGFW可视化界面不但要直观的呈现全面的统计信息,还要具备一定的智能分析能力,帮助网络管理者清楚的了解网络的变化,从而定位可疑行为以预知风险。NGFW通过与外部威胁情报库联动的能力,利用大数据分析技术,看清威胁特征库中并未收录的未知威胁。因此,NGFW的可视化能力应具备一定的智能分析能力,能够帮助管理者定位可疑行为以预测风险。外部智能让可视化效果最大化,某种程度上可以实现“预测未来”,做出判断,不断优化当前安全策略。
写在最后:
由于应用环境并非一成不变,所以我们要求下一代防火墙要有极强可视化能力,要有风险视角,要有分析能力。目的就是为了在人工判断的基础上动态的调优策略。NGFW引入风险的视角,以关联分析等技术,通过可视化这样工具将灰色空间中的不确认的威胁告知用户,让用户参与决策。总结起来一句话:可视化本质是指通过人参与管理与和决策,处理风险减缓(预防发生)和风险应急(已经发生)的事情。