编者按:伴随威胁形式的不断变化,用户对于边界安全已经产生了更高的安全有效性预期,这不仅考验“盒子”本身的能力,也更加倚重其背后的攻防能力、数据能力、分析能力等。在本届RSAC2018大会上,360企业安全集团安全网关产品市场总监熊瑛分享了他眼中防火墙的从“老树新花”到“精进不休”的演进。
美国时间4月16日,一年一度的网络安全盛宴RSA Conference在旧金山如期举行,本届大会主题为“Now Matters”,反映出全球网络安全问题已成当务之急。作为最具规模的全球性行业会议,本届大会吸引了40000余人参会,并有超过500家安全厂商携最新的技术、方案和产品参展。
展会现场,参展厂商在展台设计上可谓煞费苦心,不少展台则打出了“语不惊人死不休”的Slogan,由于与360展台位置临近的关系,最先引起笔者关注的是一家叫做Cyxtera的公司,他们在现场打出了“VPN is Dead, long live SDP”的标语。据了解这家从事身份识别的公司提出了SDP(软件定义边界)的理念,并利用基于身份的访问控制,来应对边界模糊化带来的控制粒度粗、有效性差问题。
作为多年边界安全领域的从业人员,这句大有“新技术颠覆传统”之意的标语不禁令笔者“一哆嗦”,同为“老兵”的防火墙又在如何的拥抱变化?带着这样的疑问,笔者重点关注了本届大会参展的防火墙厂商,并以此文分享感观体会。
“可视化”仍是热词,内容与形式缺一不可
纵观展区,“可视化”一词出现的频率极高,事实上这一热词并非仅仅高频出现在了防火墙厂商的展台上,提供终端安全方案的Avast在展台上用四个投影仪将全球威胁地图投射在了一个旋转的球形体上,构成了颇为壮观的“立体球形地图炮”,引得参观者纷纷驻足。
大会展区立体全球威胁地图
老生常谈,“可视化”是NGFW概念提出时就被着重强调的一个基础特性,这与其“要想防住,先要看见”的概念模型有着密不可分的关系,并且已经得到了越来越广泛的认同。
而笔者认为,在NGFW刚刚推向市场的几年,教育用户接受这个理念的沟通成本是很高的,多数用户在起初总是认为“可视化”其实就是一个“花瓶”,通过绚丽的图形化呈现来博得用户的眼球。而一些专家则认为,真正的可视化是一种看见、看深的能力,“内容大于形式”的图形界面即便再五彩斑斓,也难以解决安全问题。
本届大会,几乎所有的防火墙厂商均在可视化展现方面下足了功夫。Sonicwall通过公有云服务GMS将全球超过100万台在线设备的攻击数据进行了统一展现;Fortinet则可在其防火墙的管理系统内自动化的生成网络拓扑;Palo Alto等厂商通过对网内流量的持续监测生成了网络流量图,用于呈现网内源、目的相互通信的关联关系。
不可否认,无论是在本地,还是利用外部系统,本届展会上众多防火墙展现出的“可视化”水平较之前已不可同日而语,这种与时俱进既体现于“呈现内容”的丰富和深入上,也反应在“呈现形式”的持续创新中。
在笔者看来,随着检测、响应的重要性被持续放大,今天再谈“可视化”,内容和形式已缺一不可。看深、看透能够使用户更具洞察力,通过构建检测能力使用户大踏步的迈向积极防御,而直观呈现、高效分析,则可确保用户及时、准确的采取响应和处置措施。归根结底,“人是安全的尺度”,而“可视化”则是人机交互最为重要的通道。
广泛协同,平台化方案逐渐落地
大会首日,RSA总裁Rohit Ghai先生在主旨演讲中再次指出“安全没有银弹”。与之对应,“协同”似乎成为本届众多防火墙参展厂商的另一个共同主题。
CheckPoint提出了“Step up to 5th Generation Cyber Security”,其认为第五代网络安全技术应是之前四代(依次为反病毒、防火墙、入侵防御、沙箱)的紧密结合和智能协同。
与之类似,Fortinet的主题则是“Security Fabric”,意指防火墙应当与终端安全系统、无线安全系统、邮件安全系统等共同编织出全面而完整的防线,并在威胁情报平台这把“大伞”下协同工作。
同样,Sophos提出了“Redefining the Next-Generation Security”,他们表示基于特征的检测技术几乎失效,防火墙应当充分运用终端安全系统贡献的数据和信息来深入鉴别恶意网络行为。
Palo Alto则在展区中着重呈现了其基于云服务的AutoFocus威胁情报平台,该平台通过与防火墙的协同,能够帮助用户快速发现高级威胁,并利用其提供的威胁情报数据进行深入的上下文分析,同时还可从云端快速下发处置策略。
笔者还观察到,一些新兴的产品和技术也正在与防火墙展开积极的协同,以迅速构建、提升其检测和响应能力。
Attivo采用Deception(欺骗)技术诱骗攻击者对其进行攻击,并通过对攻击者在诱饵和陷阱系统上的活动监控实现威胁发现,目前该平台已支持与部分品牌的防火墙联动,在一定程度上实现自动化的响应。
在Firemon展台,笔者看到其Security Manager管理平台可以对多种品牌的防火墙产品进行批量、统一的策略监控、管理和下发,将有助于规模化部署防火墙的用户大幅提升运维效率并缩短响应时间。
基于以上不难看出,尽管上述厂商均是依靠防火墙产品起家,但当下他们已普遍开始提供覆盖终端、云端、邮件、无线等多领域的平台化安全方案,同时基于自身的安全能力,利用配套的管理分析平台、威胁情报平台等持续为上述组件赋能。
令人欣慰的是,眼见为实,这些平台化的解决方案已经逐渐落地,相比早些时候“炒概念”的阶段则令人更加有底,也进一步坚定了360协同联动的技术方向和路线。
前路漫漫,从完整度构建到有效性提升
作为360新一代智慧防火墙产品团队中的一员,在观察了众多友商展出的产品和方案后,也不禁要与自己进行一番对标。
360企业安全以“新边界防御”为技术理念,其内涵是指既要持续拉长防线纵深,起到缩小受攻击面、迟滞攻击成功的作用,又要大踏步迈向积极防御,做到检测、防护并重,及时感知、快速处置。
过去的2017年,360新一代智慧防火墙历经两个版本的升级,应用识别、可视化、性能等基础能力得到进一步优化提升,并持续增强了与云端威胁情报、终端安全管理系统的协同特性。与此同时,360企业安全还分别推出了基于云服务的“网络威胁感知中心”和提供集中监控管理的“安全管理分析中心”等配套平台。此外,用于主流公有云平台和私有云环境的虚拟化防火墙产品也正式发布上市。
360新一代边界防御平台架构示意图
通过对比不难看出,360新一代边界防御平台的架构完整性构建已经完成,但笔者深知,伴随威胁形式变化,用户对于边界安全已经产生了更高的安全有效性预期,这不仅考验“盒子”本身的能力,也更加倚重其背后的攻防能力、数据能力、分析能力等等。
本届RSAC已经接近尾声,基于本届大会所体现出的务实态度,笔者认为,如果说一两年前防火墙开始和情报、大数据、协同等新技术建立联系是“老树新花”,那么当今天防火墙插上了一系列技术创新的翅膀后,新一轮的征程其实才刚刚开始,且长路漫漫……
再见RSAC 2018,我们必须精进不休!
声明:本文来自安全内参,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。