2006年之前,我们面临的主要威胁是病毒;2006年之后的6、7年时间里,我们面临的主要威胁是木马;2013年之后及未来很长一段时间,我们面临的主要威胁除了木马之外,还包括定向攻击。大规模爆发的病毒逐渐在减少,但是我们并没有感受到越来越安全,相反,各种网络威胁变得越来越诡秘,它们的打击变得越来越定向,攻击目标也越来越多元,网络所面临的风险提升到了针对特定领域与特定机构的定向APT攻击。
安全网关作为传统的网络安全设备,通常以路由模式部署于用户环境中,集数据转发、安全防护等多方面功能于一体,具有高稳定性、低转发时延等特性。而面对每年数十亿级以上病毒及其他非安全软件的快速增长,安全网关的病毒特征容量有限、被动滞后和更新不及时、AV模块对于网关性能的消耗等问题越来越明显,对于文档溢出漏洞攻击、未知恶意代码攻击、0day/1day漏洞等攻击已经显得无能为力。
私有云方案助力网关防御APT攻击
作为安全网关的代表,防火墙经过几次的技术变迁,已经发展了多代产品。纵观防火墙的发展史,都是随着用户的安全需求不断变化而不断演变。虽然很多安全厂商推出了新一代防火墙产品,但大部分产品仅仅是堆叠了不同的模块,例如在防火墙基础上集成了入侵防御、防病毒、上网行为管理、WAF、内容过滤、行为管理或内容审计等功能,并不能算作真正意义的新一代防火墙。
启明星辰认为,新一代防火墙既要具有高性能,也要能动态分析和精确防御未知威胁。
1、私有云方案
云服务已经逐步应用在各个行业中,其中大规模多级部署、集中分析、全网资源信息同步等优点也得到了更多人的认可,与此同时,目前应用广泛的公有云所存在的问题也越来越多的被提及,如信息的同步必须要有Internet连接才能实现;公网链路传输的安全性、稳定性也得不到保障;用户信息在公有云上集中进行处理,存在信息泄露的安全风险,不适用于政府等机要单位。为此产生了私有云的概念,所谓“私有”是指信息只在可信的网络范围内实现共享,集合可信网络的全网资源,利用分散的运行能力集合成统一结果,任何一个节点发现的威胁均可以通过私有云同步给全网共享,实现单点诱发全网同步,同时也很好的避免了公有云信息共享所存在的安全性问题。
2010年,业界出现了主动云防御的概念,主动云防御实时收集各个安全设备的威胁信息,并将共享的信息动态同步给其他安全设备。但是主动云防御的云端服务器无法对未知威胁形成有效的维护,所以云端服务器本身的安全性受到挑战;受公有云同步机制的限制,处于局域网中的安全设备则无法参与主动云防御;若要实现大范围的覆盖,则会产生高昂的运行成本。诸多问题的存在导致主动云防御在实际环境中的运用效果并不理想。
私有云传承自主动云防御。私有云是通过一套应对已知/未知恶意代码攻击、0day/1day漏洞等攻击的鉴别系统与若干网关设备联动实现的,属于网关级的高级安全防御方案。私有云解决方案利用文件黑名单、恶意代码静态检测、虚拟加载执行、动态监测多种组合方式对一切可能用于攻击的文件进行深度安全分析,从而有效检测0day格式溢出来应对高级安全威胁,深度提取可执行样本,并对未知威胁进行判别,同时将分析结果同步至联动的安全网关,最终由安全网关策略实现访问控制并提供详细的行为报告,大幅度提升了安全网关的检测能力,同时也保障了安全网关的转发性能。