知名咨詢機構(gòu)IDC對下一代防火墻(NGFW)定義了五方面的核心安全能力:對應(yīng)用、用戶、內(nèi)容的精細化識別與管控,一體化安全引擎,外部智能,全網(wǎng)可視化和高性能架構(gòu)。其中可視化可能是最容易被廠商和用戶誤讀的一項能力,因為從英文visibility翻譯過來的這個詞,很容易被“跑偏”的理解到同樣被翻譯為“可視化”的visualization這個詞上。
從Visualization這個詞談起
從字面理解,visualization指的是將抽象的事物清晰的呈現(xiàn)出來。具體到NGFW上,將海量的日志等原始數(shù)據(jù)信息以易懂的圖形化報表形式呈現(xiàn)出來確實是必備的基本能力之一。確切的說,僅僅簡單的將事件日志等數(shù)據(jù)信息粗暴的呈現(xiàn)給用戶的產(chǎn)品還不能稱為商業(yè)化產(chǎn)品;但即使做到了日志數(shù)據(jù)的圖形化呈現(xiàn),與真正意義上的可視化仍相距甚遠——幾乎所有的技術(shù)人員在面對由傳統(tǒng)安全設(shè)備輸出的單調(diào)、重復(fù)、難懂的日志和報表時,都在為如何將它們與安全風(fēng)險相掛鉤而面露難色。
近年來一些廠商將越來越炫酷的UI界面或各類TOP 10排名灌之以深度可視化的名頭,這是典型的將visualization理解成了visibility??梢暬皇呛唵蔚膶?shù)據(jù)圖形化呈現(xiàn),不是日志信息的簡單分類和歸集,而是深度挖掘這些原始數(shù)據(jù)素材之后的內(nèi)在關(guān)聯(lián),以全局視角幫助網(wǎng)絡(luò)管理者看清各種威脅,看清攻擊事件的全貌,幫助了解攻擊者的真正意圖和目標。從這個意義上講,visibility的準確翻譯應(yīng)該是“看得見的能力”而非“可視化”。
可視化的三重境界
看得清是可視化的初級境界,也是對NGFW的最基本要求。
在網(wǎng)絡(luò)應(yīng)用高速發(fā)展的今天,超過90%的網(wǎng)絡(luò)應(yīng)用運行在HTTP 80和443端口上,大量應(yīng)用可以進行端口復(fù)用和IP地址修改,導(dǎo)致IP地址不等于用戶、端口號不等于應(yīng)用。在這樣的大背景下,如果還向管理者呈現(xiàn)一條條IP、端口等流量日志無助于看清網(wǎng)絡(luò)中的應(yīng)用,更不用說洞悉應(yīng)用上所承載的內(nèi)容。
下一代防火墻的可視化技術(shù),可以根據(jù)應(yīng)用的行為和特征實現(xiàn)對應(yīng)用的識別。如果能夠?qū)崿F(xiàn)與多種認證系統(tǒng)(AD、LDAP等)無縫對接的話,還可以進一步自動識別出應(yīng)用和IP地址所對應(yīng)的用戶信息,勾畫出人-內(nèi)容-應(yīng)用的立體畫像,滿足新一代安全的網(wǎng)絡(luò)管控要求。
看得全是可視化的第二重境界。NGFW區(qū)別于傳統(tǒng)防火墻的最大特征是NGFW可以在應(yīng)用層上構(gòu)建安全,可以有效抵御應(yīng)用層威脅。當今應(yīng)用層攻擊的一個大趨勢,是從單一攻擊手段向復(fù)合式攻擊演進,一次攻擊事件可能會觸發(fā)AV、IPS等多個安全模塊的告警。看的全不但要求NGFW能夠看清人、內(nèi)容、應(yīng)用,更要能夠?qū)⒎稚⒃诓煌踩K上看似割裂的安全事件進行多維度的管理分析,徹底改變以UTM為代表的傳統(tǒng)安全設(shè)備的信息孤島詬病,幫助管理者從單一的安全事件了解攻擊的完整過程。
這一點看似簡單,實現(xiàn)起來并不容易。一體化引擎架構(gòu)不僅通過“單次解碼,并行檢測”解決了多安全模塊檢測所帶來的性能瓶頸,更是多安全模塊智能數(shù)據(jù)聯(lián)動的基礎(chǔ)——各安全模塊產(chǎn)生的信息可實現(xiàn)全維度關(guān)聯(lián),使NGFW具備強大的模塊間安全協(xié)同能力和威脅情報聚合能力,用戶無需進行人工挖掘和分析即可全面掌握威脅全貌。
看得透是可視化的更高一層境界。這里所說的“看得透”,指的是NGFW的可視化能力應(yīng)具備一定的智能分析能力,幫助管理者定位可疑行為以預(yù)測風(fēng)險。通俗一點講,就是只有做到“見你所未見”,才能實現(xiàn)“知你所不知”。
過去,我們將太多的精力放在了基于安全策略的實時防御上面,但事實證明以策略為核心的防護體系無法完全擋住威脅。近年來占據(jù)了安全圈新聞頭條的是越來越多的網(wǎng)絡(luò)失陷事件。為此,業(yè)內(nèi)有廠商提出了以預(yù)測為核心的新一代安全防護體系,即通過動態(tài)的檢測網(wǎng)絡(luò)異常對后續(xù)攻擊進行預(yù)測,為調(diào)整防御策略提供依據(jù)。
要實現(xiàn)更準確的預(yù)測,除了企業(yè)自身的安全運營數(shù)據(jù)外,還應(yīng)包括外部的威脅情報。隨著云計算、大數(shù)據(jù)技術(shù)的不斷成熟,將云端的海量威脅情報信息及大數(shù)據(jù)的高度智能用于判別日趨復(fù)雜的威脅,已成為業(yè)界公認的技術(shù)發(fā)展方向。NGFW應(yīng)具有與外部威脅情報庫聯(lián)動的能力,并能夠利用大數(shù)據(jù)分析技術(shù),通過威脅情報預(yù)測攻擊事件,看清威脅特征庫中并未收錄的未知威脅。
NGFW,如何突破于可視化?
NGFW應(yīng)具有的可視化能力,言簡意賅的講,指的是通過圖形化界面的呈現(xiàn),從用戶、應(yīng)用、威脅等多個維度,體現(xiàn)流量的狀況、變化趨勢等。這項技術(shù)是從傳統(tǒng)防火墻的日志、報表功能演變過來的,但與傳統(tǒng)防火墻相比NGFW的可視化有幾點明顯的突破:
1)能夠看到基于應(yīng)用的流量而不是IP、端口;
2)能夠提供關(guān)聯(lián)的分析,而不是割裂的看到每一個功能模塊的日志;
3)對于統(tǒng)計的數(shù)據(jù),具備一定的分析能力,而不是簡單的呈現(xiàn)。
當可視化這個傳統(tǒng)安全能力具備了以上“下一代”基因后,就賦能以NGFW實現(xiàn)了安全能力上的突破:對于管理范圍內(nèi)任意一臺主機,NGFW都可以精準定位并實時追蹤其網(wǎng)絡(luò)應(yīng)用使用情況及與之相關(guān)的安全事件,方便管理者清晰的認知網(wǎng)絡(luò)運行狀態(tài)。
通過深入的數(shù)據(jù)挖掘能夠形成安全趨勢分析,以及各類圖形化的統(tǒng)計分析報告,從應(yīng)用和用戶視角多層面的將網(wǎng)絡(luò)應(yīng)用的狀態(tài)展現(xiàn)出來;通過引入外部威脅情報,實現(xiàn)安全態(tài)勢感知和風(fēng)險預(yù)測功能,解決單機設(shè)備與生俱來的短板。
看不見賊就抓不到賊。預(yù)測,是更高層面上的看見。