應用“灰色地帶”如何談安全——看NGFW可視化
責編:mhshi |2016-08-05 10:26:54筆者在上篇文章《灰色區域不能成為安全的“法外之地”》一文中已經詳細闡述關于應用層灰色內容危害性,并從宏觀角度提供三點建議作為解決之道。本文,筆者將從可視化這個功能角度詳細講解其如何應對灰色地帶安全問題。
應用“灰色地帶”隨著各種互聯網的快速發展也呈幾何級增長,然而單純黑白名單控制策略已經力不從心。為解決這一難題, NGFW引入了風險的視角,以關聯分析等技術,通過可視化工具將灰色地帶中不確定風險告知用戶,讓用戶參與決策,減少潛在隱藏風險給用戶帶來的危害。
那么何為可視化,可視化本質是指通過人參與管理與和決策,處理風險減緩(預防發生)和風險應急(已經發生)的事情。這里風險減緩是指通過行動和付出成本主動減緩某個風險的出現,而風險應急是指通過行動和付出成本用于某個已出現的風險上。NGFW可視化是如何解決應用“灰色地帶”安全問題呢?
通過“精細化的應用識別和內容管控”縮小應用入口是可視化的前提保障
當下很多應用都是建立在HTTP等基礎協議之上,通過跳變端口,SLL加密等方式隱藏網絡流量中的內容。基于端口的協議識別時代已經過去。當管理者看到一堆基于地址、協議、端口的流量日志時,根本無法看清網絡中流量,更無法洞悉數據的內容,而安全事件往往就在這不經意間發生了。
筆者在《灰色區域不能成為安全的法外之地》一文中曾建議:禁止企業中不必要應用——從源頭縮減“灰色區域”。那么在這個應用爆炸式發展的大背景下,IP地址不等于用戶、協議端口也早已不是應用的代名詞,如何縮減應用入口呢?
NGFW引入了風險視角思維,對于無法做出確切判斷的“灰色內容”,對其做一個概率性質和威脅性質的判斷,并嘗試為其進行應用風險打分。這就需要NGFW能夠自動識別出應用和IP所對應用戶信息,而不僅僅是一堆IP地址和協議端口。這就是筆者所強調通過精細化應用識別能力,以可視化方式最大程度縮減入口,減少需要用戶參與決策數量以及決策難度。精細化應用識別是可視化前提保障,讓用戶能夠看得清應用中人、內容、應用、位置等基本要素,而不是輸出一堆單調、重復、難懂的日志報表,幫助用戶縮減應用入口。
關聯分析是可視化應對高危風險的關鍵能力
對于一些高危風險應用,采取重點檢測措施,進行細粒度分析處理。例如,應用層混合式攻擊成為當今攻擊的一個大趨勢,僅一次攻擊事件就可能會觸發AV、IPS等多個安全模塊的告警。攻擊可能會透過不同的媒介及管道,進行“陸海空”聯合多點大進擊,例如它可能一方面通過垃圾郵件傳播,一方面在網上掃描并寄生在有弱點的主機上,另一方面卻在網絡上偽裝成可供人們下載的軟件等,誘使大家中招。面對這樣混合式攻擊,僅僅通過某一個安全模塊日志、報警,往往很難確認是否要Deny這個應用。這就要求NGFW除了能夠看清人、內容、應用,還要能夠將分散在不同安全模塊上看似割裂的安全事件進行多維度的關聯分析,幫助管理者從單一的安全事件了解攻擊的完整過程。為此NGFW需要具備強大的模塊間安全協同能力和威脅情報聚合能力,讓用戶無需進行人工挖掘和分析即可全面掌握威脅全貌。目前主流NGFW廠商都是采取一體化引擎架構,數據包經過一次解碼,一次性匹配用戶ID、應用ID、內容ID,最終將匹配結果同步至安全策略引擎,決定放行或阻斷,這是深度集成各安全功能的體現,而關聯分析正是深度集成一體化威脅防護體系的基石。
外部智能是可視化終極大招
可視化設計初衷是為了應對應用中包含大量不確定灰色內容,旨在通過可視化形式,提供直觀明了的信息,讓用戶參與進來決策,為優化策略提供技術支撐。但是這與傳統網絡安全設備完全不同,傳統設備大多簡單以日志、報表,IP、連接、帶寬為維度,那樣縱使統計全面、數據充分,但仍然很難幫助網絡管理者了解網絡的變化趨勢。在網絡攻擊日趨頻繁的今天,這就要求NGFW可視化界面不但要直觀的呈現全面的統計信息,還要具備一定的智能分析能力,幫助網絡管理者清楚的了解網絡的變化,從而定位可疑行為以預知風險。NGFW通過與外部威脅情報庫聯動的能力,利用大數據分析技術,看清威脅特征庫中并未收錄的未知威脅。因此,NGFW的可視化能力應具備一定的智能分析能力,能夠幫助管理者定位可疑行為以預測風險。外部智能讓可視化效果最大化,某種程度上可以實現“預測未來”,做出判斷,不斷優化當前安全策略。
寫在最后:
由于應用環境并非一成不變,所以我們要求下一代防火墻要有極強可視化能力,要有風險視角,要有分析能力。目的就是為了在人工判斷的基礎上動態的調優策略。NGFW引入風險的視角,以關聯分析等技術,通過可視化這樣工具將灰色空間中的不確認的威脅告知用戶,讓用戶參與決策。總結起來一句話:可視化本質是指通過人參與管理與和決策,處理風險減緩(預防發生)和風險應急(已經發生)的事情。
?