【IT168 评论】思科2017年度安全报告中指出, 黑客变得越来越“企业化”,攻击者的基础架构相当的零活而又具有弹性。企业必须不断寻求尽可能最好的威胁防护解决方案,但是使用越来越多孤立的安全产品在增加复杂性的同时并没有带来真正的安全有效性。与此同时,网络攻击者正在越来越频繁地发起能够逃避检测的攻击,很多企业其实都存在着被攻击的情况。而业界对已发生攻击的平均检测时间 (TTD)为 100-200 天,大大超出了可接受的范围。
▲思科大中华区副总裁,安全业务总经理庄敬贤
面对网络安全全新的挑战,迎合web2.0时代的到来,众多厂商纷纷发布下一代防火墙产品。在这一大背景下,IT168网络安全频道邀请到了思科大中华区副总裁,安全业务总经理庄敬贤先生,来和我们共同探究用户对下一代防火墙主要的需求点,探究下一代防火墙的发展规划。
NGFW四大特性解析
根据IDC行业白皮书显示,下一代防火墙主要特性主要分为四部分,分别为智能化、可视化、虚拟化以及协同。那思科的下一代防火墙在这四大特性上又有哪些表现呢?庄敬贤在采访中给出了明确的介绍:
●下一代防火墙要求实现简单,自动化和准确的防护,庄敬贤介绍称,在智能化方面思科通过准确实时的安全情报,实现了自动防御,通过与各种终端、服务器、应用的可见性信息的关联,为用户提供安全事件的影响分析,用户只需要关注那些影响严重的事件;通过多个安全事件的关联分析,为受攻击的主机提供IoC感染指数分析,快速找到网络中确定有问题的主机。所有的这些,都摆脱了原有的仅仅依靠特征检测的传统方式,智能化的引入,大大提升了NGFW安全的准确性和自动化。
●庄敬贤认为,对于防火墙来讲,思科可能最终呈现给用户的是“安全威胁的可视化”,而要真正实现“安全威胁的可视化”,实际上是需要更多情景感知的可视化内容,来做智能的关联,包括所有的用户、移动终端、客户端应用程序、操作系统、虚拟机通讯、漏洞信息、URL、DNS、用户行为、事件等信息,也包括这个安全威胁的危害程度、对用户的影响程度等等。只有掌握了全面的网络可见信息,辅以智能的关联,我们才可以真正实现“安全威胁的可视化”,方便用户快速准确地作出响应。
●云计算作为主要的发展趋势之一,近年来发展非常快,庄敬贤谈到,防火墙自身其实也算是一种网络设备,虚拟化技术也是其中一个重要的发展方向,思科的NGFW在虚拟化角度重点朝着几个方向发展:1.虚拟化平台的集成,思科的NGFW可以安装在Vmware/Ctrix/KVM/Microsoft 等多个虚拟化平台上,与主流的云平台,如AWS、Azure等,都可以深度整合;2.设备自身的虚拟化, 单台设备虚拟成多台,实现多租户的资源分享;多台设备虚拟成一台,提高整体性能,减少管理成本。
●近年来,小编不断被“协同”刷屏,而在下一代防火墙中,协同也不再仅仅是一个概念性话题。安全产品已经不再是孤立存在、单打独斗地与攻击抗衡,下一代防火墙通常会与IT系统中的其它安全防御系统构建协同的工作机制面对。正如庄敬贤所说的那样,没有一个安全平台有能力看到所有的信息,100%准确地作出判读和响应,因此各个平台之间的信息共享、协同联防对企业用户的整体安全架构是至关重要的。对思科来讲,思科的NGFW提供多种接口,实行协同联防,包括安全情报共享,帮助用户一起发现威胁,全球联防;安全事件共享,多个安全平台事件的关联分析,更准确地判断威胁;安全策略共享,实行策略联动,更快阻止威胁;情景感知信息共享,将防火墙的策略变得更加的精细化、动态化。
如何做到安全数据全覆盖?
威胁情报规模化管理是NGFW的主要功能之一,思科的安全情报主要是来自于思科的Talos团队,它由业界领先的网络安全专家组成,他们分析评估黑客活动、入侵企图、恶意软件以及漏洞的最新趋势。这个团队同时得到了Snort、ClamAV、Senderbase.org和Spamcop.net社区的庞大资源支持,使得它成为网络安全行业最大的安全研究团队。Talos团队每天分析全球最大的安全数据,包括数以千亿计的Web请求、DNS请求以及电子邮件,数以百万计的恶意软件样本,辅以基于智能关联、机器学习等技术,全面覆盖已知以及有可能发生的威胁。
快速检测 直面恶意软件
恶意软件防护是思科NGFW的重点功能, 思科的恶意软件防护功能除了可以实时通过防火墙的文件进行恶意软件扫描外,还可以通过与全面的可见信息(如目标系统的漏洞)、其他相关事件的关联等,判断用户受到该恶意软件的影响到底多大,庄敬贤如是说。对于暂时无法判断好坏的文件,可以自动上传到沙箱高级分析平台作进一步的分析,对于某些存在可疑的放行文件,也可以提供连续的跟踪,一旦发现异常,提供其传播轨迹,帮助用户快速找到已经进入网络的威胁。
此外他还提到,在NSS Labs最新发布的Breach Detection Report测试中思科的解决方案实现了100%的恶意软件检测防护,并且在所有待测产品中实现了最快的检测速度,3分钟内就可以检测出91%以上的威胁。
独特的设计理念
NGFW市场从不缺少厂商,目前在做下一代防火墙的厂商有几十甚至上百家,那思科的下一代防火墙产品又有怎样的优势呢?庄敬贤介绍称,思科的Firepower NGFW在设计的理念上与其他NGFW略有不同,思科专注于两个主要方面:第一是防火墙作为一个网络设备,需要与网络实现最优的结合,提供最优的性能,如Clustering技术、数据包offload技术、多服务一致性能表现等,都属于这个范畴。
第二是思科一直在关注威胁,思科的Firepower NGFW所有的可见性、自动化等设计,都是为了帮助用户更快、更准确地发现攻击,阻挡攻击。上面提到了NSS Labs第三方测评中思科的恶意软件防护能力,此外在Gartner最新的IPDS 魔力象限报告中思科一直处于领导者象限,也充分验证了思科在威胁检测防护方面的技术能力。
及时+准确 缺一不可!
采访到最后,庄敬贤也对NGFW以及整个网络安全的发展趋势进行了简单的预测,他认为,就目前来看安全防护的及时性和准确性依然是用户最为紧迫的需求,而防火墙作为边界防护的首选技术,也是用户关注的一大重点,安全情报需要准确、及时甚至做到预判。在智能分析方面,用户的行为分析、安全IoC关联也将会更受关注;此外,随着加密流量在互联网当中的比例激增,对加密流量的分析方法也将是各个安全厂商必须要面对的。他提到,未来的网络安全、有效性和整合性将是趋势,安全行业也必然会通过不断的并购、整合,从而提供给用户更加紧密集成的方案,从而提高防护的有效性。
为了帮助客户有效解决相关需求,思科在今年2月推出了思科Firepower 2100系列新一代防火墙(NGFW),帮助企业实现最长正常运行时间,并为关键业务功能和数据提供可靠保护,有力解决性能与防护难以兼得这一行业难题,并且凭借全新的可扩展架构、以及使吞吐量增长200%的性能提升,全面消除从互联网边界到数据中心的瓶颈。
