隨著云計算、移動互聯網技術對企業IT架構的一步步“侵蝕”,企業的安全邊界被徹底打破。海量的數據以及越來越多的未知威脅使得企業的安全架構不得不發生著潛移默化的改變。另一方面,安全領域近幾年也出現了很多革命性的技術和產品,如下一代防火墻、沙箱技術以及大數據安全,但面對如今復雜的安全形勢,一個網關抵擋80%的安全威脅早已成為傳說,安全不再是一個產品或者幾個產品的組合,而是一整套的思路、方法論以及認知。
一、信息安全威脅趨勢變化
近兩年來,企業的安全架構發生了根本性的變化,企業越來越多的對云和移動互聯網的依賴讓安全邊界趨于消失,傳統安全網關、防火墻的部署逐漸無法發揮其應有的作用。另外一個層面,黑客也不在滿足于對技術的炫耀,更多的開始以經濟利益為目的,由此衍生出了越來越犀利的攻擊手法,越來越多的未知威脅、APT、大流量攻擊讓人眼花繚亂。知己知彼,才能百戰百勝,只有對這些威脅變化趨勢了然于胸,才能最終贏得這場“戰爭”。
1、針對云端企業和個人數據的攻擊越來越多
經過幾年來的沉淀,公有云逐漸得到了人們的認可,企業和個人越來越多的數據開始存儲于云端,然而針對云端的攻擊、以及個人終端的攻擊越來越多,黑客的攻擊手段無所不用其極,而且這種游離于企業內網安全之外的云和個人終端也更容易被黑客攻破。我們也很難預測黑客會使用什么樣的攻擊形式,因此,傳統被動的防御方案顯然是不行了。
2、移動設備將成為更具有吸引力的目標
移動設備的價值正在逐漸增高,其一是大部分企業對于BYOD辦公的認可,讓員工個人的移動設備存儲有大量的企業核心數據,這對于黑客來說顯然具有非常大的吸引力。其二我們個人的日常生活越來越離不開移動設備,社交網絡、移動支付,甚至于越來越多更貼近我們生活的應用如叫車、醫院掛號、網購、GPS定位等個人隱私同樣成為了黑客感興趣的信息。
3、針對未知威脅的防御成為企業安全的一個短板
記得業界一位安全專家總結企業目前面臨的安全形勢只有三種,一是企業受到攻擊但數據還未泄露,二是企業受到攻擊數據也大量外泄,三是企業受到攻擊但你卻不知道。顯然第三種才是最可怕的,目前地下黑產也正在進行著規模化、產業化的轉型,越來越多的攻擊手法和未知威脅讓企業防不勝防,針對未知威脅的防御不單單是安全產品和技術就可以解決的問題,這需要企業能從上至下建立一套完整、科學的安全防御策略,并且所有的員工都有有力的貫徹執行才能有效應對。
4、APT攻擊已經成為常態,企業是否已經做好了準備?
根據Ponemon研究所在2014上半年做的名為“高級持續性攻擊的現狀”報告顯示,在過去12個月中,企業平均遭遇了9起這種有針對性的攻擊。近一半的企業稱,攻擊者成功地從他們的內部網絡竊取了機密或者敏感信息。另據CN-CERT發布的《2012年我國互聯網網絡安全態勢綜述》顯示,2012年我國境內至少有4.1萬余臺主機感染了具有APT特征的木馬程序。
經過了過一年多的發展,APT攻擊已經成為困擾企業最主要的安全威脅,而隨著移動互聯網、云計算等技術的發展,新型攻擊技術也同時出現,針對社交網絡、移動終端、工控系統的攻擊無時無刻在進行,企業對于APT攻擊的檢測和防范變得越來越困難。
5、更大流量規模的DDoS攻擊,企業還扛的住嗎?
2013年3月,歐洲反垃圾郵件機構Spamhaus遭遇到了300G的DDoS攻擊流量。2014年2月份,美國一家提供云安全服務的公司Cloudflare受到了400G攻擊DDoS攻擊流量。同年12月,阿里云計算稱部署在阿里云上的一家知名游戲公司遭遇了全球互聯網史上最大的一次DDoS攻擊,攻擊時長14個小時,攻擊峰值流量達到每秒453.8G。越來越大的DDoS攻擊規模讓企業心有余悸,單靠企業自身或是一家安全廠商的產品和技術也已經不能防御住這樣的攻擊了。
二、企業安全架構選型專家建議
上面我們總結了企業目前面臨的安全威脅變化,可以看到安全架構的升級已經成為趨勢,正如我們在一開始談到的,安全不再是一個產品或者幾個產品的組合,而是一整套的思路、方法論以及認知。除了更加先進的產品和技術,企業自身的安全管理策略和流程的建設也是重中之重。
華為交換機與企業通信產品線首席安全架構師錢曉斌認為,企業面臨的安全風險與其業務數據特點及其IT安全治理能力強相關。一般來說,企業的關鍵信息資產關鍵設施與關鍵人員最容易出現安全問題,這些位置對于攻擊者來說具有更大的利益誘惑。因此,企業首先要轉變對威脅的認識,仔細梳理自身的IT架構、業務狀態與信息資產,形成系統的安全規劃。另外,一個完整的安全架構是由安全產品解決方案及企業自身的IT安全管理體系組成,要考慮兩者動態發展過程中的匹配度。有必要的話,可以請專業的安全咨詢團隊幫助制定安全體系。最終,企業還需持續評價自己的安全狀態并持續改進,保證整體體系處于較高的安全水平。
邁克菲北亞區技術總監鄭林表示,下一代安全架構的核心是需要靈活有效地對新出現的威脅進行快速響應和處理。我們認為下一代安全架構需要建立在一個統一的威脅信息交換層之上,構建能夠對新興威脅進行快速響應的統一安全架構。在這個統一框架之下,安全產品能夠共享信息、共同識別威脅,并構成統一威脅防御系統,從而提供安全恢復和威脅防御能力,從而將從遭遇攻擊到將其完全控制之間的時間由數天、數周和數月縮短至幾毫秒,從而優化威脅防御過程。
Fortinet產品市場經理岑義濤表示,目前的安全產品成熟度已經很高,只要合理并正確部署,已經能夠幫助用戶抵擋絕大多數攻擊,不幸被命中的“慘案”其實都與業務與安全設計耦合度、人員安全意識有直接的關系。因此,人在整個安全系統建設中永遠是最短的那一塊板子。
賽門鐵克華北/華西區安全解決方案技術支持部經理馬蔚彥談到,下一代的安全架構需要從兩個角度去考慮,首先下一代的安全架構的視角會更以信息和應用為核心,覆蓋信息和應用的端到端,安全的策略需要適應“軟件定義”特性的網絡環境及現代數據中心二是在下一代的安全架構中,企業需要的是高集成度的整合型技術,準確定位威脅的技術,快速確定威脅優先級并提供企業應對和彌補手段的技術。
山石網科資深技術市場經理賈彬談到,企業面臨的威脅有來外部的如針對web服務器的攻擊,也有來自內部的如移動設備、U盤帶入,因此下一代安全架構不僅需要提供邊界威脅防護,還需要對內部威脅進行安全防護。另外,下一代安全架構還需要能夠在特征檢測基礎上引入新的威脅檢測手段,能夠通過流量的行為進行數據分析,及時對新型的威脅進行有效檢測。三是下一代安全架構還需要能幫助企業實時掌握網絡中健康狀況,快速有效發現異常并解決。
三、企業安全架構選型產品推薦
1、華為下一代智能安全架構
華為下一代智能安全架構包括了華為NGFW、華為Anti-DDoS、華為APT檢測沙箱、華為終端安全套件、華為eSight安全管理產品、華為云端安全智能服務。可以為企業提供四個方面的安全能力:
(1) 企業級精細化應用管控能力:華為NGFW基于長期的積累,為用戶提供了業界一流的應用識別能力,使得用戶可以輕松地面向應用、面向用戶、面向位置等多種維度制定安全策略,實現卓越的精細化管制能力,達成高質量的IT治理水平。
(2) APT威脅檢測與數據安全能力:華為NGFW、APT檢測沙箱、云端安全智能中心形成增強型APT威脅檢測方案,并將進一步推出體貼企業用戶隱私保護的一站式企業信息安全高級解決方案,以切實保證企業的數據安全。這部分的安全能力得益于華為安全智能中心300余安全專家多年來在多個安全研究領域的持續積累成果。
(3) 基于安全智能的策略自動化與全網協同能力:安全策略的正確性、策略實施的自動化與策略的持續優化是防火墻管理的三個挑戰問題,華為NGFW的SmartPolicy特性創新性地提供了“基于策略模板快速部署”、“主動流量學習智能策略優化”、“定期策略分析與精簡建議”等解決方案,極大地提升了IT的管理效率。另外,安全設備之間的策略聯動及云端安全信譽可以為用戶構建全網安全協同能力。
(4) 適應下一代網絡架構的虛擬化安全與SDN安全能力:華為在業界首倡敏捷網絡的概念,而華為的安全業務也緊密地與敏捷網絡架構融合在一起,與客戶的網絡結構一起演進,面向虛擬化與SDN構建全新的安全防御體系。
▲華為下一代智能安全架構示意圖
2、McAfee Threat Intelligence Exchange
McAfee Threat Intelligence Exchange 提供了一個統一的框架,在這個框架中,安全產品共同識別威脅并構成統一威脅防御系統,從而提供安全恢復和感染防御能力。Threat Intelligence Exchange 通過將從遭遇攻擊到將其完全控制之間的時間由數天、數周和數月縮短至幾毫秒,從而顯著優化了威脅防御過程。
Threat Intelligence Exchange 使管理員能夠根據多個威脅信息數據源輕松定制全面的威脅信息感知。此定制功能使管理員能夠組合、覆蓋和優化威脅信息源,以便修改對環境和企業的保護功能。
Threat Intelligence Exchange 是第一款使用邁克菲數據交換層的解決方案。邁克菲數據交換層是一個雙向通信結構,通過簡化產品集成和上下文共享來實現威脅智能感知和適應性安全防護。數據交換層支持自動產品配置,從而減少錯誤,并輕松降低集成的實施和運營成本。
Threat Intelligence Exchange 通過使用 McAfee企業防病毒軟件( VirusScan Enterprise) 來制定準確的文件執行決策,從而提供突破性終端保護功能。它還將根據網關檢測到的惡意軟件來保護終端,同時網關還會根據在終端確認的威脅來阻止訪問。
▲安全架構示意圖
3、賽門鐵克基于Intelligence的集成化端到端安全架構
下一代安全架構應當覆蓋泛終端及現代數據中心,以及貫穿端到端的網絡關鍵節點——網關。信息和數據的保護是貫穿在端-網關-端的每個部分,是未來安全防護的核心。在泛終端側是更加整合的、自動化的管理和安全保護,是安全威脅和風險更加可視化。在數據中心側的安全體現在對Hadoop、Openstack等新型IT基礎設施的適應性,以及提供安全策略的動態化及自動化的安全交付。網關則對企業使用的云應用和企業傳統應用都能提供保護的,并且可以防御APT威脅的網關安全解決方案。三個方面,通過豐富和實時的安全智能情報的關聯、分析、虛擬執行,提供快速、準確的威脅定位,安全事件的優先級響應及處置措施建議。
▲安全架構示意圖
4、山石網科下一代智能防火墻
山石網科下一代智能安全架構采用多核安全處理器與Intel x86處理器并行處理,同時為數據轉發、安全防護、數據分析、設備管理及可視化提供強大的性能保證。同時,基于多核安全處理器實現對數據轉發的高性能加速,保證低延時;基于x86的智能安全引擎結合大數據分析,提供強大的智能安全分析能力,管理引擎負責設備管理和安全管理,通過全新的管理系統全面提升可視化展現,極大增強產品易用性。
山石網科下一代智能安全架構解決了數據轉發性能和數據分析的資源平衡,避免大數據分析資源占用影響了防火墻最基礎的數據包轉發,保障用戶既有很好的網絡處理能力,又享受了智能帶來的全新管理思路和深度的高級威脅防護。
▲安全架構示意圖
5、深信服面向應用化、移動化、無線化的新一代安全架構
深信服面向應用化、移動化、無線化的新一代安全架構包括了應用安全防護、有線無線一體化行為管理和統一移動安全接入平臺。
深信服下一代防火墻NGAF,通過多核并行處理技術、單次解析架構、跳躍式掃描技術等技術創新,讓NGAF在開啟所有應用層安全功能時,安全防護性能仍然可以達到最高40G的性能。同時,融合L2-7層完整的安全防護功能,通過各個模塊間的聯動,為APT攻擊防護提供從主機層(惡意代碼防護、僵尸網絡隔離)、網絡層(訪問控制、邊界隔離、入侵防護、漏洞掃描、內網嗅探)、應用層(惡意網址識別、OWASP TOP應用協議攻擊、管理認證登陸、DLP)的 L2-L7層一體化安全防護。
由于無線網絡和移動終端的普及,企業上網行為管理不但需要針對傳統PC在有線環境下進行封堵、流控、審計,還需要更多的考慮針對無線環境下的PC和移動終端進行管控,解決訪客便捷認證、移動APP管控、非法AP/隨身WiFi攔截、基于位置/終端類型的權限管控等問題。深信服上網行為管理AC提供了短信認證、微信認證、二維碼認證等多種方式,當來賓接入網絡后,系統會自動推送出專門針對來賓訪客認證界面。
深信服SSL VPN 致力于為用戶提供安全、快速、易用的遠程接入解決方案,可以面向Windows、iOS、安卓等不同終端類型,C/S、B/S、移動APP等應用類型,提供統一安全接入平。 深信服SSL VPN除了提供傳統面向PC的SSL VPN的功能外,針對各種移動終端的安全接入場景,提供整套包括EasyConnect應用虛擬化、L3 VPN、EasyAPP SDK包等全面的移動終端安全接入方式,從而能夠幫助用戶在任何時間、任何地點使用任何終端,更輕松的實現移動辦公、移動業務、云計算安全接入、分支互聯、第三方遠程接入、智能終端應用發布等需求。
▲安全架構示意圖
四、總結
安全邊界的消亡讓很多企業感到不適應,新的安全架構選型也讓企業一片茫然。下一代安全已經成為安全領域廠商的競爭熱點。NGFW、NGIPS已陸續面世,新一代的SOC、SIEM也正開始興起。究其原因,云計算、移動計算、SDN等網絡技術的演進,推動企業IT架構云化發展、企業BYOD辦公模式流行,與此同時,攻防對抗正在逐步升級,APT給各行各業組織結構帶來巨大的安全威脅,所有這些,都驅動著安全技術的變革。
總體來說,企業用戶對于安全的投資力度在加大,這反映了企業在當今安全威脅態勢日益復雜化的環境下不斷加強自我保護意識、提升防御與應急能力的需求。錢曉斌總結了下一代安全架構的幾個關鍵特征:企業級精細化應用管控能力、APT威脅檢測與數據安全能力、基于安全智能的策略自動化與全網協同能力、以及適應下一代網絡架構的虛擬化安全與SDN安全能力。
京公網安備 11010502049343號