安全领域关注的内网资产,是指可被个人或团体通过技术手段远程侵入并控制,以破坏、窃取等为目的的所有企业内部网络资源,涵盖如个人电脑,企业服务器,移动接入终端等常见资源,意即常见攻击目标。
要保障内网资产不被攻击,就需要通过现网资产威胁先期识别、风险提前告警、安全策略加固、资产威胁管控等安全效果评估手段,帮助用户清晰了解内网资产健康状况及潜在安全风险,内网管理员可据此及时升级、加固内网安全,消灭不良隐患,并通过建议的边界安全防护策略,实时在线针对性拦截威胁攻击,从而为用户构造一个威胁可查、可知、可防的高效绿色网络环境。
涉及网络安全评估市场,业界常被提到的首先是传统漏洞扫描系统等,其原理是通过系统、协议栈指纹识别等技术主动探知内网资产设备的系统或应用版本,进而结合漏洞库分析漏洞情况。
此种方式虽可较全面的挖掘漏洞,但任务执行性能和服务收费却饱受诟病。对于大多数企业而言,并不需要太过深度全面的漏洞挖据,毕竟热门流行的攻击方式往往比较单一和一致,如网站挂马及跨站脚本等针对浏览器客户端的攻击和SQL注入及网页篡改等针对Web服务器的攻击。企业需要的是更实时快捷、高效准确、成本低廉的内网资产安全识别与评估方案,谁能做到这一点,谁更胜任此项任务。
无论从部署位置、技术可行性,还是职责定位来讲,作为内外网络通信的关键边界安全设备—-下一代防火墙,完全能够承担起此项任务。
下一代防火墙内网资产识别,保障企业内网安全
下一代防火墙之所以能够承担起内网资产安全识别的职责,主要有以下几点原因:
1.下一代防火墙部署于企业网络进出口边界,从技术可行性上讲,可以对所有内部资产辐射,提取安全特征,进而动态的对内网资产安全给出准确评价、预估或告警。从性能上讲,通过立于边界,在动态特征提取等技术的帮助下,性能较传统漏洞扫描技术有大幅度提升。
2.当下一代防火墙检测并识别出内网风险后,可以第一时间针对性的执行入侵拦截、访问限制和流量管制策略,关闭外网渗透攻击的大门,从而使企业有充足时间去升级补丁系统,提升内网安全。
3.下一代防火墙基于应用的识别、入侵防护、流量管理是传统防火墙所不具备的显著特性,而这些特性正是内网资产是否安全的重要评定标准之一,如正在使用大风险应用或检测到异常流量等,均预示着资产面临风险的提升。
在此基础上,下一代防火墙应该具备以下内网资产识别的主要功能,包括:
可根据用户指定的网络范围,识别出多种资产类型,如PC、移动设备、服务器等资源类型。评估资产安全因素,分析资产受攻击可能性、危害程度、攻击范围及防护难度。针对易受攻击的系统及应用进行打分告警、报表分析,让用户实时了解当前网络资产资源的脆弱度,勾勒脆弱度全景图,并可针对性的实施漏洞填补,升级补丁,防火墙策略访问控制及流量监控等安全措施,从而达到防范潜在入侵攻击的可能性。
针对识别出的资产风险,为用户提供一键安全策略生成的功能,从网络通信层面首先加强与脆弱资产通信数据的一体化安全扫描和防护,及时发现及时防护,弥补漏洞填补,软件更新升级延时长,反应慢等不足之处。并可实时告警和记录入侵安全事件,形成安全事件报表和趋势图,指导用户及时做出加固防护。
从资产风险识别,到相关加固方案实施后,系统会继续跟进风险防范验证效果,通过二次识别打分、相关日志报表、审查记录的跟踪查询等手段验证对比防范方案的实施效果。从而从发现到解决问题到验证形成闭环,极大体现产品客户价值。
综上所述,先知先觉优于后知后觉,防患于未然优于亡羊补牢。在攻击发生之前,第一时间帮助用户快捷、高效、实时、而又低成本的发现内网资产的受害威胁,进而及时修补升级,这是下一代防火墙理应承担和必须具备的关键特性之一。某种程度上,这些特性省去了用户在攻击防御中大量成本的投入,改变了用户对于安全防御的传统思路,以一种更加积极有效的方式为用户带来了极大的客户价值。