千里之堤潰于蟻穴,企業(yè)內(nèi)網(wǎng)是網(wǎng)絡(luò)攻擊的最終目的和核心目標(biāo),再強(qiáng)大的邊界防護(hù)和保障手段,在日益繁雜龐大的企業(yè)內(nèi)網(wǎng)面前,均不能百分百的保證萬無一失。只要內(nèi)網(wǎng)存在安全隱患或漏洞,黑客或別有用心的組織團(tuán)體就可以輕易的繞過邊界直接攻陷內(nèi)部網(wǎng)絡(luò),侵害內(nèi)網(wǎng)安全,造成企業(yè)資產(chǎn)、信息、商業(yè)損失。用戶如何快捷、高效、實(shí)時(shí),而又成本低廉地知道當(dāng)前企業(yè)內(nèi)網(wǎng)資產(chǎn)是否安全,了解所處安全等級(jí)?如何第一時(shí)間發(fā)現(xiàn)威脅風(fēng)險(xiǎn)并馬上予以整治修補(bǔ),從而防患于未然?
您的內(nèi)網(wǎng)到底安全嗎?您需要一個(gè)踏實(shí)的答案。
內(nèi)網(wǎng)資產(chǎn)安全定義
安全領(lǐng)域關(guān)注的內(nèi)網(wǎng)資產(chǎn),是指可被個(gè)人或團(tuán)體通過技術(shù)手段遠(yuǎn)程侵入并控制,以破壞、竊取等為目的的所有企業(yè)內(nèi)部網(wǎng)絡(luò)資源,涵蓋如個(gè)人電腦,企業(yè)服務(wù)器,移動(dòng)接入終端等常見資源,意即常見攻擊目標(biāo)。
要保障內(nèi)網(wǎng)資產(chǎn)不被攻擊,就需要通過現(xiàn)網(wǎng)資產(chǎn)威脅先期識(shí)別、風(fēng)險(xiǎn)提前告警、安全策略加固、資產(chǎn)威脅管控等安全效果評(píng)估手段,幫助用戶清晰了解內(nèi)網(wǎng)資產(chǎn)健康狀況及潛在安全風(fēng)險(xiǎn),內(nèi)網(wǎng)管理員可據(jù)此及時(shí)升級(jí)、加固內(nèi)網(wǎng)安全,消滅不良隱患,并通過建議的邊界安全防護(hù)策略,實(shí)時(shí)在線針對性攔截威脅攻擊,從而為用戶構(gòu)造一個(gè)威脅可查、可知、可防的高效綠色網(wǎng)絡(luò)環(huán)境。
內(nèi)網(wǎng)資產(chǎn)安全,誰可勝任
涉及網(wǎng)絡(luò)安全評(píng)估市場,業(yè)界常被提到的首先是傳統(tǒng)漏洞掃描系統(tǒng)等,其原理是通過系統(tǒng)、協(xié)議棧指紋識(shí)別等技術(shù)主動(dòng)探知內(nèi)網(wǎng)資產(chǎn)設(shè)備的系統(tǒng)或應(yīng)用版本,進(jìn)而結(jié)合漏洞庫分析漏洞情況。
此種方式雖可較全面的挖掘漏洞,但任務(wù)執(zhí)行性能和服務(wù)收費(fèi)卻飽受詬病。對于大多數(shù)企業(yè)而言,并不需要太過深度全面的漏洞挖據(jù),畢竟熱門流行的攻擊方式往往比較單一和一致,如網(wǎng)站掛馬及跨站腳本等針對瀏覽器客戶端的攻擊和SQL注入及網(wǎng)頁篡改等針對Web服務(wù)器的攻擊。企業(yè)需要的是更實(shí)時(shí)快捷、高效準(zhǔn)確、成本低廉的內(nèi)網(wǎng)資產(chǎn)安全識(shí)別與評(píng)估方案,誰能做到這一點(diǎn),誰更勝任此項(xiàng)任務(wù)。
無論從部署位置、技術(shù)可行性,還是職責(zé)定位來講,作為內(nèi)外網(wǎng)絡(luò)通信的關(guān)鍵邊界安全設(shè)備----下一代防火墻,完全能夠承擔(dān)起此項(xiàng)任務(wù)。
下一代防火墻內(nèi)網(wǎng)資產(chǎn)識(shí)別,保障企業(yè)內(nèi)網(wǎng)安全
下一代防火墻之所以能夠承擔(dān)起內(nèi)網(wǎng)資產(chǎn)安全識(shí)別的職責(zé),主要有以下幾點(diǎn)原因:
1. 下一代防火墻部署于企業(yè)網(wǎng)絡(luò)進(jìn)出口邊界,從技術(shù)可行性上講,可以對所有內(nèi)部資產(chǎn)輻射,提取安全特征,進(jìn)而動(dòng)態(tài)的對內(nèi)網(wǎng)資產(chǎn)安全給出準(zhǔn)確評(píng)價(jià)、預(yù)估或告警。從性能上講,通過立于邊界,在動(dòng)態(tài)特征提取等技術(shù)的幫助下,性能較傳統(tǒng)漏洞掃描技術(shù)有大幅度提升。
2. 當(dāng)下一代防火墻檢測并識(shí)別出內(nèi)網(wǎng)風(fēng)險(xiǎn)后,可以第一時(shí)間針對性的執(zhí)行入侵?jǐn)r截、訪問限制和流量管制策略,關(guān)閉外網(wǎng)滲透攻擊的大門,從而使企業(yè)有充足時(shí)間去升級(jí)補(bǔ)丁系統(tǒng),提升內(nèi)網(wǎng)安全。
3. 下一代防火墻基于應(yīng)用的識(shí)別、入侵防護(hù)、流量管理是傳統(tǒng)防火墻所不具備的顯著 特性,而這些特性正是內(nèi)網(wǎng)資產(chǎn)是否安全的重要評(píng)定標(biāo)準(zhǔn)之一,如正在使用大風(fēng)險(xiǎn)應(yīng)用或檢測到異常流量等,均預(yù)示著資產(chǎn)面臨風(fēng)險(xiǎn)的提升。
在此基礎(chǔ)上,下一代防火墻應(yīng)該具備以下內(nèi)網(wǎng)資產(chǎn)識(shí)別的主要功能,包括:
1. 資產(chǎn)風(fēng)險(xiǎn)識(shí)別
可根據(jù)用戶指定的網(wǎng)絡(luò)范圍,識(shí)別出多種資產(chǎn)類型,如PC、移動(dòng)設(shè)備、服務(wù)器等資源類型。評(píng)估資產(chǎn)安全因素,分析資產(chǎn)受攻擊可能性、危害程度、攻擊范圍及防護(hù)難度。針對易受攻擊的系統(tǒng)及應(yīng)用進(jìn)行打分告警、報(bào)表分析,讓用戶實(shí)時(shí)了解當(dāng)前網(wǎng)絡(luò)資產(chǎn)資源的脆弱度,勾勒脆弱度全景圖,并可針對性的實(shí)施漏洞填補(bǔ),升級(jí)補(bǔ)丁,防火墻策略訪問控制及流量監(jiān)控等安全措施,從而達(dá)到防范潛在入侵攻擊的可能性。
2. 安全加固方案指導(dǎo)及實(shí)施
針對識(shí)別出的資產(chǎn)風(fēng)險(xiǎn),為用戶提供一鍵安全策略生成的功能,從網(wǎng)絡(luò)通信層面首先加強(qiáng)與脆弱資產(chǎn)通信數(shù)據(jù)的一體化安全掃描和防護(hù),及時(shí)發(fā)現(xiàn)及時(shí)防護(hù),彌補(bǔ)漏洞填補(bǔ),軟件更新升級(jí)延時(shí)長,反應(yīng)慢等不足之處。并可實(shí)時(shí)告警和記錄入侵安全事件,形成安全事件報(bào)表和趨勢圖,指導(dǎo)用戶及時(shí)做出加固防護(hù)。
3. 資產(chǎn)風(fēng)險(xiǎn)持續(xù)評(píng)估
從資產(chǎn)風(fēng)險(xiǎn)識(shí)別,到相關(guān)加固方案實(shí)施后,系統(tǒng)會(huì)繼續(xù)跟進(jìn)風(fēng)險(xiǎn)防范驗(yàn)證效果,通過二次識(shí)別打分、相關(guān)日志報(bào)表、審查記錄的跟蹤查詢等手段驗(yàn)證對比防范方案的實(shí)施效果。從而從發(fā)現(xiàn)到解決問題到驗(yàn)證形成閉環(huán),極大體現(xiàn)產(chǎn)品客戶價(jià)值。
內(nèi)網(wǎng)安全需要具備風(fēng)險(xiǎn)預(yù)警功能的防火墻
綜上所述,先知先覺優(yōu)于后知后覺,防患于未然優(yōu)于亡羊補(bǔ)牢。在攻擊發(fā)生之前,第一時(shí)間幫助用戶快捷、高效、實(shí)時(shí)、而又低成本的發(fā)現(xiàn)內(nèi)網(wǎng)資產(chǎn)的受害威脅,進(jìn)而及時(shí)修補(bǔ)升級(jí),這是下一代防火墻理應(yīng)承擔(dān)和必須具備的關(guān)鍵特性之一。某種程度上,這些特性省去了用戶在攻擊防御中大量成本的投入,改變了用戶對于安全防御的傳統(tǒng)思路,以一種更加積極有效的方式為用戶帶來了極大的客戶價(jià)值。