360谈NGFW:从”被动防护”到”积极防御”

  【IT168 评论】防火墙是企业网络边界的第一道也是最后一道防线,而随着网络威胁环境的不断变化,防火墙产品本身也在不断的演进和升级。360企业安全集团高级产品经理熊瑛认为,当前,大部分企业用户的网络安全水平处于“被动防护”向“积极防御”过度的阶段,未来的安全将不会再以“防范”为中心,而会更加强调“检测与响应”,情报驱动、协同防御将会是未来防火墙发展的趋势。


▲360企业安全集团高级产品经理 熊瑛

  被动防守永远无法确保安全

  当前,随着网络威胁环境的不断变化,“被动防守永远无法确保安全”早已成为业界共识,而目前绝大多数的企业用户仍然在广泛的采用被动防护的思路和手段。

  “城墙越垒越高,但终究会被突破。“熊瑛认为,”我们一直忽视了一点,用户从始至终都缺乏对风险的认识和对威胁的感知能力,这个挑战在今天的威胁环境下则更加突出。“

  熊瑛提到,通过传统的手段也许可以拦截80%的普通威胁,但造成恶劣影响的往往是被“绕过”的剩下20%,由于这些威胁更加高级和隐蔽,无法被用户及时发现,往往是在重大损失发生后才有所感知。

  拥抱积极防御 NGFW演进的四大要点

  根据IDC行业白皮书显示,下一代防火墙主要特性分为四个部分,分别为智能化、可视化、虚拟化以及协同。那360的下一代防火墙在这几个方面有着怎样的实践呢?熊瑛向我们做了简单的介绍:

  ●智能化:“智能化”是360在持续提升的产品能力,也是360产品主打的用户价值。360新一代智慧防火墙的“智慧”主要体现在3个方面:

  ①智慧发现:通过与其他安全系统的协同联动,借助外部的威胁情报、大数据分析等能力,对本地网络流量所产生的数据进行深入的检测和分析,从而及时发现传统防护手段无法检测到的威胁;

  ②智慧调查:系统对运行过程中所产生的多维数据进行自动关联,并利用可视化和递进式数据钻取的设计,给用户提供了分析线索、发现异常、回溯事件等一系列分析面板,降低了用户对风险、威胁、异常进行分析的难度。

  ③智慧处置:基于“智慧调查”的分析回溯结果,对受害主机或可确定的攻击源执行一键式的处置,并对处置后的结果进行持续监控,完成威胁管理的闭环操作。

  ●可视化: 面对新的安全挑战,下一代防火墙中讲求“安全威胁是可视的”,熊瑛认为可视化技术在安全产品中发挥着举足轻重的作用,上面介绍的“智慧调查”就非常依赖于可视化的设计,谈到“可视化”,熊瑛称一般有两种理解,一种是“Visualization”,另一种是“Visibility”,而我们谈的“可视化”指的是后者,它不是简单的将数据图形化呈现,不是日志信息的简单分类和归集,而是深度挖掘这些原始数据素材之后的内在关联,它是一种帮助用户“看得见”的能力。“可视化”提供了发现问题、分析问题、回溯问题的可见性,是保障下一代防火墙安全有效性的基石。

  ●虚拟化:云计算作为主要的发展趋势之一,近年来发展非常快,而下一代防火墙是相对比较融合性的产品。根据熊瑛的介绍,360的虚拟化版本防火墙已经进驻了阿里云、青云,目前还在和国内其他大型的云服务商开展合作,未来会逐渐的与他们的平台进行融合。此外,360也提供了整体的云安全解决方案,虚拟化防火墙与360自有的“云安全管理平台”进行深度融合,对于保护私有云环境依然是有效地。

  ●协同:协同联动近年来不断被提及,而在下一代防火墙中,协同也不再仅仅是一个概念性话题。安全产品已经不再是孤立存在、单打独斗的与攻击抗衡,下一代防火墙通常会与IT系统中的其它安全防御系统构建协同的工作机制,360企业安全集团旗下目前有几十类产品,部署在终端、边界,各自保护着不同的对象,目前360已经打通了防火墙与终端安全管理系统、沙箱检测系统、威胁感知系统、云端威胁情报中心等的联动通道,通过多安全系统间的数据实时共享和策略协同响应,打破了传统安全架构中各种安全设备独立运作、单点防护的局限性,构建了动态、主动的边界安全防御体系。

  情报驱动+协同联动成防火墙演进趋势

  协同联动的价值在于帮助用户构建了动态的边界防御体系,而情报驱动无疑是创新技术在产品端的落地,利用威胁情报,不但可以实时防御,还可以快速发现内网已经存在的威胁,做到了防御、检测并重。

  谈到威胁情报,熊瑛介绍称,基于多手段的安全数据采集和深入分析,并得益于情报共享的生态体系,360具备全球领先的威胁情报生产能力。通过威胁情报订阅,360新一代智慧防火墙可在网络边界精准检测并快速发现高级威胁。相较传统基于静态特征的防护技术,情报驱动的边界防御体系在安全有效性和防御实时性方面实现了跨越性提升。

  最后,熊瑛提到,目前国家层面已经将保护关键信息基础设施、公民隐私提升到了战略高度,而防火墙产品恰恰在这些场景中都扮演着十分重要的角色,是第一道防线、也是最后一道防线,未来用户对于防火墙产品能力的关注点,将会从性能、稳定性、环境适应性向安全有效性、防御实时性方面转移。这并不是说性能、稳定性不重要了,而是随着威胁环境的变化,用户对防火墙产品的安全能力产生了更高的功能预期。

  在这样的背景下,防火墙将会持续不断得提升安全防护的能力,并持续的提升用户的参与程度,“盒子”本地的能力已经越来越有限,防火墙在未来的网络中扮演两个角色,一个是执行器、另一个则是传感器,总体而言,防火墙产品的功能、特性创新将会越来越体现在如威胁情报、协同联动等外延的能力上。