有客戶抱怨,給下一代防火墻修改一條規(guī)則,跟遭一場天災似的。企業(yè)內(nèi)部設置的規(guī)程,讓防火墻規(guī)則的修改相當不易。如今,企業(yè)紛紛在內(nèi)網(wǎng)部署下一代防火墻進行訪問控制和數(shù)據(jù)泄露預防。但這一解決方案,最好的情況下,作用也是有限的。這些防火墻檢測不出數(shù)據(jù)泄露,也阻止不了內(nèi)部威脅。
主要原因有三:
策略是靜態(tài)的,適應不了動態(tài)威脅
無法學習和特征化用戶行為
威脅響應能力缺乏粒度
首先,下一代防火墻在區(qū)分好壞上是非常確定的。我們知道,內(nèi)部威脅和安全違規(guī)的特點是,惡意攻擊者模擬合法用戶的行為——通常通過盜取憑證來實現(xiàn)。因此,盡管用戶可能是合法的,使用這些合法憑證的人的行為卻可能非法。內(nèi)部人士想要濫用自身憑證的情況與之區(qū)別不大。下一代防火墻會確保用戶是合法的,只要憑證合法,訪問便會被放行。
其次,雖然獲取用戶資料和創(chuàng)建詳細的防火墻規(guī)則是可能的,但卻很不實際。用戶角色會變,他們的項目會變,他們所在的組也在變。想讓防火墻管理員跟上這些變化以確保安全,即便不是不可能,也是極其不切實際的。深入理解并特征化網(wǎng)絡中的每個用戶和實體,是防止繼續(xù)遭受侵害的要求,而下一代防火墻并沒有能力處理如此頻繁的變化。
再次,當威脅被檢測到的時候,如果唯一能用的響應僅僅是“允許”或“阻止”,那么,任何誤報或用戶行為的合法改變,都將導致用戶無法進行他/她的工作。因此,下一代防火墻的入侵檢測和預防模塊中極少看到“阻止”規(guī)則。安全管理員可不想因為一個誤報封鎖了CEO的網(wǎng)絡流量就被炒了。未確認嚴重性和置信度的威脅,需要更細粒度的響應。
因此,如果你想要檢測并封鎖此類內(nèi)部威脅和安全違規(guī),你需要的是行為防火墻。行為防火墻有3項能力可以克服下一代防火墻的局限:
能夠?qū)W習用戶行為
能動態(tài)演進策略以匹配用戶行為
細粒度的響應可使業(yè)務流程不受影響
行為防火墻可提供危險用戶、終端、被黑賬戶和特權(quán)用戶行為的可見性。通過監(jiān)視和學習網(wǎng)絡中每個用戶、組、設備的行為,監(jiān)測他們的登錄時間/地點、他們的角色、系統(tǒng)權(quán)限、口令強度等等,行為防火墻能夠特征化用戶和終端的預期正常行為。
一旦這樣的基線建立起來,便可自動或手動產(chǎn)生防火墻策略以確定怎樣響應不同的威脅。舉個例子,如果一個用戶突然遠程訪問一組網(wǎng)絡服務器,此前他從未進行過此類行為,且遠程訪問超出了該公司常規(guī),那么,系統(tǒng)便會要求進行雙因子身份驗證以確認身份?;蛘?,安全管理員可以創(chuàng)建一條規(guī)則,不允許遠程訪問之前沒有訪問過的服務器。建立這樣的策略,當類似威脅被發(fā)現(xiàn)時,系統(tǒng)就能夠檢測并響應之,安全管理員也可以放下心來了。
最后,響應威脅,尤其是嚴重性未經(jīng)確認的威脅,是一場賭博。要求的,是在下一代防火墻的“允許”/“阻止”之類常規(guī)響應之外,再加上細粒度自動化響應機制,雙因子身份驗證、通知、重復驗證等等。這樣的粒度能確保維系安全的同時合法用戶不會被妨礙到工作。
下一代防火墻已經(jīng)風光了近10年,在網(wǎng)絡邊界防護上依然很不錯。但涉及到企業(yè)邊界內(nèi)部的防護,它們的能力缺口就太大了,而它們能被如何重新設計以克服這些局限,目前還是未知數(shù)。