【IT168 评论】二战时期,为防备德国人的突然入侵,法国人在德法边界上修筑了著名的马奇诺防线,整条防线工程庞大,全部由钢筋混凝土建造而成,十分坚固。而后却是由于德国人绕过了其正面,通过阿登山脉,从马奇诺防线左翼迂回,占领了法国北部,接着进抵马奇诺防线的后方,使防线丧失了作用。
数字世界里的“马奇诺”
如今,在数字世界里的边界防御与马奇诺防线有着惊人的相似,在传统安全防御体系中,边界防御同样占有着非常重要的地位,它能够看到一个企业网络进出双向的所有流量,还有条件执行全局的控制,当外部威胁进入企业的时候,边界防御是第一道防线,在发生数据泄漏时,也是最后一道防线。
然而黑客的攻击手法越来越隐蔽复杂,可以隐藏在业务必须的应用中,让应用成为攻击的载体,也可以通过复合多种手段来发动攻击,其复杂性和隐蔽性让人防不胜防。
另外,传统的边界防御由于各产品之间都是各自为战,形成了一个个的信息孤岛,在今天主要是以高级威胁、未知威胁为新安全挑战的网络环境中,“边界防御已死”成为了业界很多人的看法。
真正的马奇诺防线已经成为历史,而数字世界的“马奇诺”却有机会重构。360企业安全集团副总裁王伟认为,边界防御依然占据重要的地位。在当前的网络安全环境下,边界防御发展受限的根本原因是防御的思想出现了问题,如果我们能放弃传统边界防御的“银弹思维”,那么边界防御依然是有效的,它能够重新焕发青春,成为新时代网络安全体系中的新英雄。
新边界防御让数字世界“马奇诺”起死回生
重构数字世界的“马奇诺”需要新边界防御思想,王伟对新边界防御的定位提出了两个关键点,一是以消耗攻击者的资源,加大攻击的难度,抬高攻击者的成本为核心,甚至直接让一些小的攻击者退避三舍。二是融入到“积极防御体系”中去。
◆消耗攻击者的资源
王伟提到,“消耗攻击者的资源可以从两个方面来做,巩固城防、建立塔防。巩固城防就是增强边界防御产品本身自主的防御能力,建立塔防就是导向纵深防御的巷战。”
当传统防火墙升级为下一代防火墙之后,它开始焕发出新的能力,如应用识别、用户识别、内容识别、威胁识别、资产识别、位置识别等能力,这些手段都是提升防火墙内在的安全能力,可以看作加高城墙和巩固城防。除了城防能力的提升,我们还可以围绕城防体系再建立相应的塔防体系,也就是说我们可以围绕着下一代防火墙来构建一个新的消耗攻击者资源的巷战体系。
比如,与端点安全产品形成信息联动,可以提供恶意文件、未识别应用的行为分析,将可疑样本还原出来送到部署在本地的沙箱和云端的沙箱可以为我们提供检测的能力,接收安全云提供的威胁情报可以精准发现失陷资产,私有安全云可以提供本地数据的检测,为安全数据中心提供流量数据还可以进一步关联多维数据进行行为异常发现,这些都是一个个的巷战场景。通过城防与塔防的配合,可以帮助企业及早发现威胁,在损失发生前加以阻击,让攻击者乘兴而来,扫兴而去,这也是能够降低攻击成功概率的有效手段。
◆融入积极防御体系
融入积极防御体系也是新边界防御的重要一点。SANS学院提出了网络空间安全的滑动窗口模型,见下图。
传统的边界防御是以基础架构安全、被动防御为指导,而新边界防御则应该是在此基础上叠加演进,补充积极防御和情报驱动的思想来指导。
“我们可以通过下一代防火墙的数据透视能力做两件事,一是为积极防御提供数据支撑,二是为积极防御提供精细控制的能力。” 王伟提醒到,企业在选型边界防御产品的时候,一定要考虑到边界防御的产品和方案是否具备这样的能力,是否具备这样的指导思想。
360新一代智慧防火墙拥有增强的下一代防火墙复杂环境组网、深度应用识别、精细化访问控制以及高性能应用层威胁防御能力,并且新增了以NDR模型为基础的“智慧”特性,超越性地集成了互联网威胁情报、异常行为分析、安全可视化等新一代安全技术。通过与终端安全管理系统、云端威胁情报中心、沙箱检测系统实现智能化的协同联动,可以帮助企业用户在网络边界真正的重构数字世界的“马奇诺”,建立安全大数据驱动的动态自适应、积极的防御体系。
王伟最后表示,“新边界防御思想通过消耗攻击者的资源,融入积极防御体系进一步巩固了企业的安全对抗能力。在目前的安全威胁演进阶段,新边界防御应该能够很好地保护企业的网络边界,为企业新的网络安全防御体系做出积极贡献。”