下一代防火墙：灵魂是主动防御.doc

下一代防火墙：灵魂是主动防御
高春燕影片《007大破天幕危机》可以说是一场网络攻防大战的经典演绎,通过入侵具有极高权限的M夫人的电脑,黑客向英国军情六处的控制中枢展开渗透攻击,在获得控制系统的管理权限之后做出破坏指令,军情六处随之在爆下一代防火墙：灵魂是主动防御
高春燕影片《007大破天幕危机》可以说是一场网络攻防大战的经典演绎,通过入侵具有极高权限的M夫人的电脑,黑客向英国军情六处的控制中枢展开渗透攻击,在获得控制系统的管理权限之后做出破坏指令,军情六处随之在爆炸中灰飞烟灭。在这场信息安全的较量中,传统防火墙一败涂地。网康科技高级市场经理严雷认为,影片透露出一个趋势:传统的基于代码特征的防火墙已经过时,基于行为特征的下一代防火墙时代已经到来。
特征码策略已过时
传统防火墙设备的防护思路是基于恶意代码特征库的更新。当新的木马、病毒或漏洞出现时,各种恶意代码报告涌现,安全厂商通过捕捉样本,分析病毒、木马和漏洞的特征,找到能唯一识别这些木马、病毒的特征,进而更新其特征库,以识别出企业网络中的安全威胁。在泛在攻击时代,安全厂商及时捕捉攻击特征并快速做出反应。但在针对性攻击逐渐占主流的今天,传统防火墙就无能为力了。正如严雷所言:“攻击策略只针对特定的一两个对象起效,并不具有普遍性,因此恶意代码报告就不存在了。”
应对针对性攻击的另一个难题在于样本难以捕捉和分析。这是因为恶意程序往往具有自我销毁功能,在执行完攻击和破坏任务之后立刻“自杀”。严雷介绍称:“火焰病毒共有20多种变种,目前大约只有6种被捕捉到。即使捕捉到了恶意病毒,对它的分析也需要耗费大量时间并且非常艰难。”
变被动为主动
针对性攻击方兴未艾,传统防火墙黔驴技穷,安全厂商该如何转换安全防护思路?在严雷看来,主动防御是下一代防火墙的灵魂。怎样实现主动防御?网康科技给出的思路是:改分析恶意代码特征为分析用户的行为,将整个流量和日志全部展现出来并进行关联分析,判断用户行为的安全性。
针对性攻击比较复杂,黑客往往会使用一系列的攻击手段。在此过程中,恶意软件需要与远程控制中心进行多次通信。因此严雷认为黑客的攻击行为并非无迹可寻:“通常企业都有一定的行为模式,一旦出现很大的异常行为,就意味着安全风险的存在。比如企业内部的QQ、apk文件下载等应用的流量在短期内突然增加,企业网络突然出现与国外网络通信的异常链接等。下一代防火墙通过联合监控和行为对比,对不同应用的异常流量进行追踪,就能发现攻击的特征。”
下一代防火墙之所以能够实现联合监控和追踪的功能,主要得益于它的深度整合引擎。“基于深度整合引擎,在考察基于网易邮箱下载附件的动作时,我们不仅能搜索到流量监控的日志,还能搜索到网址过滤、防病毒等多种类型的日志。”严雷表示,“深度整合是指将网络监控的所有数据整合在一起,互相之间能相互索引。企业可根据源、目的、行为、动作等指标进行联合考察,让企业IT人员更清晰、全面地了解当前的网络状况。这样做的好处是,企业不仅可以发现黑客的攻击行为,还能进一步确定黑客都干了什么,还有哪些其他攻击行为。
建立多重防线
在主动防御理念的指导下,网康科技在去年10月发布的下一代防火墙基础上进行升级,(网康NGFW