前言

近些年来,基于应用的漏洞频繁曝光、勒索软件层出不穷,让广大用户和企业防不胜防、深受其害。更令人忧心的是近2年来,通过一些安全组织和网安强国泄漏的0Day和漏洞利用工具更是大大降低漏洞利用成本,这让当前安全防护工作雪上加霜。如2015年Hacking Team被黑,2016年美国国安局(NSA)外包商“方程式组织”被“影子经纪人组织”攻破,每次都导致众多武器级漏洞外泄,其中,席卷全球的“WannaCry”就是利用其中“永恒之蓝”漏洞广泛传播。

然而除了(Windows\Linux\Android)系统的漏洞、其他应用如(Struts\Office\Adobe\Flash\IE)等应用的广泛使用,也给各种漏洞传播提供更广的空间。但大量未知的漏洞仍未全部公开,每一个未被曝光的漏洞都如一颗定时炸弹,不知道何时、何处会被何人所引爆,这导致当前信息安全威胁态势日趋严重。业内人士一眼便知,以上种种无一不是基于应用层漏洞所引发的安全威胁。因此,十二年前硅谷业界先驱提出基于应用层安全防护的安全网关,时至今日也瓜熟蒂落成为一种可行的应用安全防护技术,被广泛接受。

应用安全网关(NGFW)的前世

安全网关也是伴随互联网发展应运而生,早的安全网关采用基于IP 五元组的控制,通过对源和目标地址和端口创建访问控制策略,称为包过滤防火墙,但是仅能基于数据包固定信息匹配规则,后续衍生出应用代理服务器(Proxy)作为中间人代理内外数据访问、以及状态检测技术开始有了对数据包的上下文检测,再到应用安全网关的雏形“统一威胁防护(UTM)”,可以说UTM终于完成作为一个安全网关的使命,即除了基于最初的访问控制,同时实现了对数据包上下文以及有效载荷部分的安全检查。但是在如今看来,UTM更像是一个各种安全功能堆砌而成的临时安全网关方案。但在当时,它满足了人们对边界处安全防护的种种期望,既要能访问控制,还能做安全防护。一时间各大安全厂商纷纷推出统一威胁安全防护网关,可是结果大家都知道UTM最终并未能如愿成为一种切实可行的落地方案。据我理解,统一威胁防护产品(UTM)内置的安全功能种类繁多,这在当时没有哪一家可以完全覆盖比如防病毒、入侵防御(IPS)、URL数据库以及恶意DNS签名、所以UTM厂商更多依靠寻找市面上单独的合作伙伴提供特征库和更新支持。这些来源于各不相同的供应商也导致UTM先天的硬伤,即提供各种签名的供应商,对安全威胁检测也没有一个统一的签名格式和检测机制,就好比犯罪分子欲行不轨前使用黑话高呼攻击口号,而负责安全的警察却是英语、法语、俄语、普通话都有却都不懂此人意欲何为,因此万国牌安全功能防护在兼容和协同方面会影响检测效率和防护能力必受影响,这应该是UTM今天走向没落的实锤之一。

图片来自网络

其次,更主要的问题来源于硬件性能的支持,由于多种安全功能全部开启,带来更多的硬件消耗,一些UTM厂商并没有很好的解决这些安全模块全部开启后设备在网络吞吐、并发和新建的瓶颈,结果开启安全功能后由于设备性能受到冲击,开始影响业务稳定、故障频发,运维人员疲于奔命来解决各种设备问题。此时,相比业务可用性而言,停用部分或全部安全功能也是退而求其次,不得已而为之。

应用安全网关(NGFW)的今生

虽然统一威胁防护网关(UTM)日渐式微,但它的诞生从此也将我们对安全防护的需求带到了一个新的层次,既除了策略的访问控制,我们的安全还需要做到更多,防病毒、入侵检测、数据过滤以及恶意网址和邮件拦截,这些都是边界安全防护的刚需。因为在出口进行统一管控,比在每个终端分别防护要容易,而且收益更高,从此安全网关进入一个全家桶的新时代,统一威胁防护网关(UTM)的出现对安全防护的历史功绩也不容磨灭,其先天存在的效率和性能缺陷终究让其带着历史功勋载入史册。直到十多年前,在网络安全行业的鬼才犹太人提出下一代应用安全网关(NGFW)的概念后终于破了这个梗,他提出实现对访问者身份、访问的应用以及应用包含的威胁进行检测技术。但真正实现基于应用的安全防护,应该有统一的签名和检测模式,以及高效的硬件平台是基础,不然那还是统一威胁防护网关(UTM)。所以,在为边界安全网关选型时,需要明确定位自身需求,是以应用安全防御为主,还是网络访问控制为主,抑或是其他需求如4层访问控制兼具VPN接入等。毋庸置疑,如今边界网关主的代表还是应用安全网关,那么在使用时就必须让其实至名归,把宣称的安全功能火力全开,能物尽其用实现安全防护效果最大化,这也是校验应用安全网关性能最好的试金石。

为什么应用安全网关(NGFW)横空出世

一方面归功于20多年安全网关发展历史积淀,技术的升级换代是顺势而为。另外一方面,道高一尺、魔高一丈,也是因为对手日益强大倒逼安全防护能力的进化。传统的安全网关在如今的安全威胁面前不堪一击,老练的入侵者总是会寻找猎物的弱点发起致命一击,但是摆在入侵者面前最多的猎物就是企业的业务应用、用户的各种应用,这些应用存在的各种缺陷漏洞,会被不怀好意的人分析、发掘致命漏洞后发起攻击,那些应用的漏洞就成了入侵者攻破大门的钥匙。因此,安全防护的重点也逐渐从传统的3层、4层网络访问控制防护,上升到7层应用安全防控,那么安全网关也必须具备针对应用安全威胁的尽可能多的覆盖,比如实现基于用户身份控制(RBAC)、7层应用识别、安全功能过滤(病毒检测、入侵防护、恶意网址邮件阻断)、未知威胁防御、威胁情报集成、安全生态协同阻断、以及SSL加密流量检测和安全态势可视化等功能。与此同时,更多安全功能势必会对硬件平台的性能提出更高的要求,业内各家都会针对自身硬件平台进行升级,从而达到支撑所有应用安全功能开启后所需要的性能。这些性能参数不应是停留在实验室、或者产品白皮书上的数字,而是依据现网环境的测试结果,由于现网业务不同,流量类型差异,如何衡量真实性能是否达标相信实践是检测性能的最好标准,所以好的应用安全网关(NGFW),应该是功能和性能完美匹配的产品。

应用层安全网关(NGFW)怎么防好

应用安全网关作为以应用安全防护为重点的工具,必然先了解网络攻击的完整攻杀链过程,通常入侵过程首先会侦查目标,然后通过业务应用的0Day、1Day等技术尝试漏洞利用,或者直接社工一步到位,得手后会建立一个长期的控制通道,使用免杀RAT间谍软件长期控制主机,建立C2通道后,仍然会不断自我更新和保护C2控制流量,最后以此为据点长期横向渗透内网,以便监控和获取敏感数据,这也是入侵者的套路,虽然看似衔接紧密、环环相扣,如果入侵的每个攻杀链条必不可少,那针对这些活动见招拆招,兵来将挡、水来土掩,破坏其攻杀链条连接的薄弱环节让入侵过程无法形成闭环,从而达到终结入侵活动的目的。因此,从应用层部署各种安全功能模块,集成各种检测技术,不仅是斩断攻杀链的利刃,也是形成证据链的良策。毕竟“凡走过,比留下痕迹“。就如下图所述入侵的每个阶段都匹配到相应的检测模块,做到首先可见、其次可控、最后可审计。

图片来自PaloAltoNetworks

当然,应用安全网关(NGFW)也是一个安全防御工具,它不能做到固若金汤、万无一失,但至少让在边界安全防护上会更大的提升边界防控的等级,对恶意侵入者的攻击活动制造更多的难度和成本。好的工具用好了能为我们增强安全防护等级、快速识别恶意威胁活动起到事半功倍的效果,所以不仅要了解安全设备的特性和配置,也要要熟悉攻防相关技术和知识,从而利用它做好安全防护和事件分析。

同时在有些场景中,应用安全网关(NGFW)也归类于网络设备属于网络部门运营,作为网络工具它也承载了边界路由的功能,而且其网络层的功能不逊于路由交换设备,甚至有公司使用安全网关当做核心网络设备部署“零信任”架构。但考虑应用安全网关(NGFW)怎么用时,必先考虑主次功能需求,如果以安全防御为主就减少比如VPN、流量控制甚至是抗Dos等工作,一方面是辅助功能增加设备性能开销,另一个就是运维负担。比如,VPN连接出现了问题,会有各种调试排错,会尝试各种配置修改或者Debug,如果设备调试出故障到底算安全故障还是网络故障?这是一个容易推诿、扯皮、谁背锅的问题。所以我们对应用安全网关(NGFW)的主要需求定位,对用好它非常关键,因为“复杂是安全的天敌”。

应用安全网关(NGFW)与安全生态的联动

前几节中描述了应用安全网关具备的安全功能,以及如何破解攻杀套路的防御对策,这些可以被认为是下一代应用安全网关的必备技能。但是当前的网络安全威胁可能不按套路出牌,所谓知己知彼、百战不殆,狡猾的入侵者总是想着如何更快的抓到猎物并一击必杀,因此单靠应用安全网关具备的三头六臂还不行,还必须具有千里眼、顺风耳的事态预先感知能力,以及与友军优良协同作战的能力。单打独斗肯定是玩不过躲在黑暗中的对手,所以联动、集成以及响应速度对处于边界的安全网关来说,变得很重要,毕竟“天下武功、唯快不破”。主流的应用安全网关玩家肯定会有自己的威胁情报来源,而且情报的来源具有范围广、噪声低、质量高的特点,既然是威胁情报,肯定是剔除噪声后的信息,如果每天1万条威胁情报源,边界安全网关是阻止还是不阻止呢?因此个人认为威胁情报的来源不在于多,而在于精,以此帮助应用安全网关防御做到即快、又准、还狠,给对手没有可乘之机。威胁情报信息除了来源精准,如果具备与友商互通有无,联手共享的可靠来源,那无异于如虎添翼。因此建立统一的威胁情报联盟是大势所趋,如2017年初网络威胁联盟

(Cyber Threat Alliance, CTA),便是为了应对日益严峻的网络安全威胁而组建,好的威胁情报来源,不仅能快速匹配和识别自身网络中是否存在威胁,还能通过威胁情报平台看到与此威胁相关联的其他安全网关防护的系统是否已被攻陷。因此能获取业内一流的情报信息,无疑对保护边界安全第一道防线来说十分必要。

图片来自网络

除了威胁情报的利用,与安全友商的协同防护也是应用安全网关的重要价值,虽然应用安全网关能防护自身安全功能检测到的威胁,以及阻断威胁情报提供的威胁信息,同时还需具备与其他安全友商集成的借口,对来自内网其他友商的阻断请求按需阻断。如下图所述,网络中任何组件,通过汇总事件信息到日志分析平台,根据事件威胁程度定义的策略为高风险的,可以直接通过应用安全网关阻断,这就是安全协同、联防联控,虽然不是什么新概念,但是能落地的方案应该不多。因为不仅涉及到各种系统、安全组件、还有大数据日志分析平台和应用安全网关,把一堆的模块集成进来做同一件事情也众口难调,所以还需要大家有开放的相互兼容的接口,因此API的开放程度对应用安全网关来说是安全协同的第一步,也决定了安全联动的效果。

应用安全网关通常部署于网络边界,或者是内网,在应对威胁时一部分通过特征签名防范已知威胁,同时集成云端或者本地沙盒来识别未知威胁,因此未知威胁能检测的操作系统类型,应用种类以及版本,以及支持的文件格式都将有效提升应用安全网关的防护能力,还有重要的一点就是未知威胁检测响应速度,由于沙盒本身通常只做检测,不做阻断,所以应用安全网关(NGFW)与沙盒联动,根据沙盒检测反馈结果作出操作。沙盒的检测速度与网关的响应速度对0Day的防护意义重大,因为凶猛的猎豹总想着吃掉跑的慢的羔羊。

应用安全可视化的必要性

过去我们部署安全网关后,也许就很少再登录上去瞧它一眼,对我而言其实不是不想看,而是没法看。一个是安全事件铺天盖地,海量的信息让人无处下手,再一个就是可视化太差,不忍直视惨淡的界面。不知道看什么和怎么看。这让我们在过去很长时间并不关注安全网关,除非是修改策略、取证安全事件才会有幸登陆一回。但是今天应用安全网关正在改变这一现状,因为主流玩家都意识到安全事件日志是宝贵的资源,从最原始的安全日志里能挖掘出有规律和有价值的信息。这就好比人物画像一样,通过检测到过去一月、或者更久的流量,将具有异常的网络访问行为定义为入侵事件,并且呈现出来。比如,应用识别模块发现3个月前入侵者正常访问过门户网站,同时IPS模块检测到针对门户网站的端口登陆尝试80,443,8080。然后1个月前,有精心构造的SQL查询,并且在1周前未知威胁防护发现在北美检测到的最新的漏洞利用技术,在此被利用发起1Day攻击,紧接着昨天互联网上曝光了公司上市计划和股权分配等敏感信息。如果单独从孤立的时间点肯定无法判断入侵者正在实施攻击,毕竟前后的事件记录还没关联起来。与此同时,狡猾的猎人总会想办法刷掉日志记录,比如通过DOS制造海量的噪声日志,将高危的漏洞利用掩盖在毫无价值的噪声流量里,从而隐藏自己的痕迹。而此时,管理员在疲于奔命处理异常流量时根本无暇顾及还有针对业务的高风险入侵,而且还是从海量的日志里大海捞针,想要第一时间定位入侵活动可谓鞭长莫及。因此如何快速定位,精准识别以及通过GUI友好的呈现,是将安全事件变成可视化的前提。以前经常困惑于我知道有问题,可不知道问题在哪里,现在总算是能拨开迷雾现云天。目前的安全可视化并非定位攻击的灵丹妙药,不应有过高期待,但比起密密麻麻的日志字符串看的头大要来的赏心悦目了,而且针对日志的汇总和深度挖掘也让我们能更快搜索到想要的信息。

对应用安全网关(NGFW)的辅助功能的看法

应用安全网关除了上述主要的安全功能,其实众所周知,它还具有传统的VPN功能,QoS流控功能,甚至是抗Dos功能,以及数据防泄密(DLP)和SSL解密功能。坦诚来讲,我更倾向把这些功能当作是辅助功能需求,更多原因是为了满足竞标需求,投标的业界规矩都懂,如果大家都有的功能,你要没有就容易被排他条款踢出去,这是个不好的现象。因为应用安全网关主要是从应用安全的角度做防护,如果需要做QoS流控、或者启用其抗D,这对设备的性能会带来很大挑战,有点舍本逐末。我相信这些功能选项并非应用安全网关强项。老话说“术业有专攻”,做流控或是做DLP的专业厂商有很多,他们做的比应用安全网关厂商也强很多。如有专门的需求,指望使用应用安全网关解决小部分需求也许可以,但是必须评估对现有平台的影响,切勿盲目开启影响主要安全功能。当然,这些辅助功能也并非完全摆设,如果我们对这些功能期待不多,只求基本能用且性能可控的前提下,辅助使用也是可以的。在众多辅助功能中,有一项值得注意的是, 在互联网上使用的流量中,目前已有将近50%的流量使用SSL加密传输,今后SSL加密传输将更广泛,所以应用安全网关对SSL流量的威胁检测需求将会日益增长,这个功能也将会对应用安全网关的性能提出新的挑战。

全文总结

前文繁冗篇幅介绍了应用安全网关(NGFW),各位读者坚持到此实属不易,对于您的关注在此我深表感谢。文中所写内容皆是自己这些年从业生涯所见、所学、所想而有感而发,发表一些初略见解以资抛砖引玉。鉴于时间仓促,文中存在的不足之处或谬误还请众看官海涵和指导。

回首十几年前首次接触安全网关,是当时风头正劲的以色列厂商,凭借当时状态检测技术一招鲜、吃遍天,时至今天整整辉煌了20多年仍余威不减当年,此后又在各大厂里有幸接触最新的安全网关技术,包括红极一时的UTM产品,到今天已成昨日黄花。作为当前仍然奋战在安全网关的一线技术人员,亲身经历了数次技术变革,领阅了城头变幻大王旗,深知这是技术发展的必然。大浪淘沙始得金,安全行业就是要求变,求快,在技术上不断自我突破才能紧跟主流,立于高处。这就是某位前辈所说“这是一个大鱼吃小鱼,快鱼吃慢鱼的时代。”以后技术发展还会出现新概念,新品牌,俱往矣,数风流“网关”,还看今朝—应用安全网关(NGFW)。

作者:ChrisChen世雄

声明:本文来自Sec-UN,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。