現(xiàn)在網(wǎng)絡(luò)安全受重視程度不言而喻,各個(gè)企事業(yè)單位甚至個(gè)人用戶(hù)都很注重網(wǎng)絡(luò)安全的防護(hù),以企業(yè)為例,企業(yè)最基本的網(wǎng)絡(luò)安全需求(三級(jí))就包括了結(jié)構(gòu)安全、訪問(wèn)控制、安全審計(jì)、邊界完整性檢查S3、入侵防范、惡意代碼防護(hù)以及網(wǎng)絡(luò)設(shè)備防護(hù)這些層面,所需要的網(wǎng)絡(luò)安全設(shè)備繁多,而且各自分工,各司其職,企業(yè)會(huì)在這些設(shè)備上花費(fèi)大量的精力和財(cái)力,因?yàn)樗麄兪蔷S護(hù)網(wǎng)絡(luò)安全的主力。那他們真的每時(shí)每刻都能高效運(yùn)轉(zhuǎn)么?
企業(yè)希望高價(jià)購(gòu)進(jìn)的網(wǎng)絡(luò)安全設(shè)備能夠發(fā)揮應(yīng)有的能效,“能”是指設(shè)備在運(yùn)轉(zhuǎn)中能夠發(fā)揮其應(yīng)有的安全防護(hù)能力,盡職分析,盡能保護(hù);“效”是指安全設(shè)備運(yùn)行的效率,能及時(shí)有效的完成分析或防護(hù)的任務(wù)??梢哉f(shuō),網(wǎng)絡(luò)安全設(shè)備能夠做到“物盡其用”也是節(jié)省時(shí)間和人力物力成本的重要方面。Ixia是應(yīng)用性能和安全彈性解決方案供應(yīng)商,其專(zhuān)為企業(yè)提供的ThreatARMOR可以幫助企業(yè)提高網(wǎng)絡(luò)安全架構(gòu)中核心設(shè)備的能效。ThreatARMOR如何做到的呢?
ThreatARMOR的“能”成就已有企業(yè)網(wǎng)絡(luò)安全架構(gòu)的能力
ThreatARMOR是Ixia可視性架構(gòu)中的創(chuàng)新新品,是提升企業(yè)網(wǎng)絡(luò)安全架構(gòu)效率的產(chǎn)品解決方案,是讓企業(yè)縮小其日益擴(kuò)大的網(wǎng)絡(luò)攻擊面的防御系統(tǒng)。其實(shí)可以這么說(shuō),ThreatARMOR是對(duì)企業(yè)現(xiàn)有安全基礎(chǔ)架構(gòu)的自然補(bǔ)充。ThreatARMOR在整個(gè)安全架構(gòu)的兩端部署,可以減少安全威脅報(bào)警的數(shù)量,以此釋放關(guān)鍵網(wǎng)絡(luò)安全設(shè)備資源來(lái)著重解決關(guān)鍵性的安全問(wèn)題。
ThreatARMOR的工作原理就是在網(wǎng)絡(luò)安全架構(gòu)外圍攔截下一目了然的惡意IP地址,更少的攻擊和更少的SIEM報(bào)警使得流入這些安全設(shè)施的流量更值得分析,讓企業(yè)已有的主體安全架構(gòu)更專(zhuān)注于高級(jí)網(wǎng)絡(luò)安全威脅。這里所說(shuō)的“外圍攔截”與防火墻作用下的攔截不同,主流防火墻依靠識(shí)別內(nèi)容引擎、病毒或者其他特征來(lái)攔截有威脅的流量,是將流量“掰開(kāi)揉碎”來(lái)分析的,而很多已知的惡意IP地址會(huì)明顯占用其能力,讓防火墻的過(guò)濾消耗很多資源,正如Ixia中國(guó)區(qū)總經(jīng)理張煒的理解一樣:“ThreatARMOR更像是一個(gè)干粗活的,把雜亂的工作給助理也就是ThreatARMOR來(lái)做,關(guān)鍵的員工如防火墻才能發(fā)揮應(yīng)有的價(jià)值。”
ThreatARMOR設(shè)備的部署
具體來(lái)說(shuō),ThreatARMOR安全設(shè)備部署在邊界內(nèi)部和網(wǎng)絡(luò),發(fā)現(xiàn)受感染的內(nèi)部系統(tǒng)并阻止與僵尸網(wǎng)絡(luò)控制器的通信,同時(shí)減少來(lái)自已知不正常網(wǎng)站和特定國(guó)家的入站防火墻和SIEM負(fù)載,來(lái)自這些網(wǎng)站的加密連接也可以自動(dòng)阻止。由于Ixia的應(yīng)用與威脅情報(bào)研究中心(ATI)的支持,ThreatARMOR不使用特征碼,不會(huì)出現(xiàn)誤報(bào)。對(duì)于任何被阻止的網(wǎng)站,都會(huì)可視化的像管理人員展現(xiàn)例如惡意軟件分發(fā)或釣魚(yú)攻擊這樣的惡意活動(dòng)的證據(jù),同時(shí)展示最近的確認(rèn)日期,甚至可以截屏分享。
ThreatARMOR的“效”讓企業(yè)已有的網(wǎng)絡(luò)安全架構(gòu)更有效率
現(xiàn)在的網(wǎng)絡(luò)安全問(wèn)題日益嚴(yán)重,攻擊形勢(shì)多種多樣且從不間斷,網(wǎng)絡(luò)攻擊面正在不斷擴(kuò)大,在此情況下,雖然我們?yōu)榱司S護(hù)網(wǎng)絡(luò)的安全進(jìn)行了很多努力,但隨著互聯(lián)網(wǎng)邊界越來(lái)越模糊,以及包括APT在內(nèi)的新型攻擊技術(shù)的出現(xiàn),我們的安全架構(gòu)雖然也在不斷變大,防護(hù)網(wǎng)絡(luò)安全的效率無(wú)從談起。
網(wǎng)絡(luò)流量的分析價(jià)值
Ixia的解決方式是讓企業(yè)的網(wǎng)絡(luò)攻擊面縮小,ThreatARMOR產(chǎn)品的推出正是基于這種想法,其最終的目標(biāo)是提高企業(yè)整個(gè)安全系統(tǒng)的使用效率。Ixia應(yīng)用和安全業(yè)務(wù)發(fā)展總監(jiān)孫震解釋說(shuō):“被攻擊者和攻擊目標(biāo),以及所有受到攻擊的通路我們叫做攻擊面。基于IP連接會(huì)產(chǎn)生攻擊面,從各個(gè)角落攻擊你的網(wǎng)絡(luò),只要你的通路可達(dá)原則上都可以攻擊你,所以這個(gè)攻擊面是很大的。”
正如前文所說(shuō),ThreatARMOR依托于Ixia的ATI,通過(guò)云+端的方式,分別驗(yàn)證每個(gè)網(wǎng)站并每五分鐘通過(guò)云更新一次,阻截已知的威脅流量,提升企業(yè)已有安全設(shè)備的處理效率。孫震解釋到:“ThreatARMOR通過(guò)把那些已知的惡意IP地址全部過(guò)濾掉,這樣可以消除30%的報(bào)警,為企業(yè)節(jié)約近6300小時(shí),這相當(dāng)于3個(gè)工程師的工作量。”
孫震總結(jié)說(shuō),ThreatARMOR給企業(yè)帶來(lái)的價(jià)值有三。第一,阻止企業(yè)網(wǎng)絡(luò)中不需要流量的流入和流出,不僅可以把外部的流量基于IP進(jìn)行攔截,內(nèi)部如果IP地址是被掛馬或者僵尸化,也可以進(jìn)行攔截,縮小企業(yè)的攻擊面。第二,提高企業(yè)原有安全設(shè)施的工作效率。第三,Ixia的ATI庫(kù)為T(mén)hreatARMOR提供云+端的支撐,以數(shù)據(jù)驅(qū)動(dòng)安全,使ThreatARMOR更加了解流量的來(lái)去,更準(zhǔn)確的實(shí)施攔截。
易于配置
據(jù)悉,ThreatARMOR為實(shí)現(xiàn)運(yùn)營(yíng)的彈性和故障防護(hù),采用雙冗余電源和內(nèi)置旁路模式的以太網(wǎng)接口等特性的設(shè)計(jì),在1GbE電口和10GbE光口上確保網(wǎng)絡(luò)可用性,并依托于Ixia的ATI庫(kù)持續(xù)獲得威脅情報(bào)和Rap Sheet更新。同時(shí),ThreatARMOR不關(guān)心原有設(shè)備的細(xì)節(jié),可以實(shí)現(xiàn)與這些設(shè)備的無(wú)縫融合,部署非常便捷,通過(guò)清晰地報(bào)告攔截行動(dòng)輕松地支持IT合規(guī)審計(jì)。如果未來(lái)ThreatARMOR以軟件形式或云的形式交付應(yīng)用的話,將會(huì)更受青睞。當(dāng)然,相信在不遠(yuǎn)的將來(lái)一定會(huì)實(shí)現(xiàn)的。