趙明

企業(yè)的網(wǎng)絡(luò)安全防護(hù)工作通常就像滾雪球，越滾越大，不斷增加的各種軟硬件造成了運維成本和分析量的增加。在有效提高企業(yè)網(wǎng)絡(luò)安全防護(hù)水平同時又能夠降低成本正逐漸成為企業(yè)安全防護(hù)的首要任務(wù)。

雖然有智能分析系統(tǒng)和可視化軟件幫助，但面對各種來自網(wǎng)絡(luò)的威脅，企業(yè)仍然疲于應(yīng)對。持續(xù)的探測和自動攻擊淹沒了SIEM（安全信息和事件管理）和安全團(tuán)隊，企業(yè)始終無法高枕無憂。

近日，應(yīng)用性能和安全彈性解決方案供應(yīng)商Ixia推出了一款致力于幫助企業(yè)提升網(wǎng)絡(luò)安全防護(hù)效率的產(chǎn)品ThreatARMOR。該產(chǎn)品基于IP地址過濾，預(yù)先過濾掉不良和惡意IP地址發(fā)來的數(shù)據(jù)請求，降低企業(yè)網(wǎng)絡(luò)安全防護(hù)所需處理的信息量，提升企業(yè)網(wǎng)絡(luò)安全防護(hù)效率。

如何理解攻擊面

根據(jù)Ponemon Institute在2015年1月發(fā)布的報告，企業(yè)平均每年花費21，000個小時來處理誤報的網(wǎng)絡(luò)安全威脅報警。隨著互聯(lián)網(wǎng)邊界的不斷擴(kuò)大，安全邊界也在不斷擴(kuò)大。新型攻擊，包括APT等一些新型的持續(xù)攻擊技術(shù)，正在逐步增多。我們的安全架構(gòu)也在不斷變大。

原先為了解決安全問題，企業(yè)通常是采用基于特征的防火墻做一些攔截，這樣的安全架構(gòu)已經(jīng)不足以應(yīng)對新安全形勢，像SIEM、防內(nèi)容泄漏、威脅分析、沙箱這樣的新機(jī)制正逐步被添加到龐大的安全架構(gòu)中。

在談到這一現(xiàn)狀時，Ixia應(yīng)用和安全業(yè)務(wù)發(fā)展總監(jiān)孫震提到了一個新概念“攻擊面”，他表示：“被攻擊者、攻擊目標(biāo)和所有受到攻擊的通路，我們統(tǒng)稱攻擊面‘。只要發(fā)生IP連接就會產(chǎn)生攻擊面。這個攻擊面很大，會從各個角落攻擊企業(yè)網(wǎng)絡(luò)。”

為了應(yīng)對日益增多的復(fù)雜攻擊，企業(yè)為此付出了非常多的財力、物力和人力，企業(yè)安全架構(gòu)也承受著難以想象的壓力。Ixia為此提出了減小攻擊面的新思路。減小攻擊面，就可以減少攻擊，從而減少SIEM報警，讓企業(yè)的高端安全架構(gòu)能夠承擔(dān)一些更高端的任務(wù)，而非處理瑣碎事件。

新思路解決大麻煩

隨著互聯(lián)網(wǎng)威脅的復(fù)雜性和強(qiáng)度不斷提升，需要迅速增添多種安全技術(shù)來保護(hù)網(wǎng)絡(luò)。邊界已經(jīng)增加了新的層來處理新的威脅。通過威脅檢測、惡意軟件檢查、內(nèi)容安全、DLP、DDoS緩解等來增強(qiáng)現(xiàn)有防火墻和IPS/IDS系統(tǒng)。Ixia基于“攻擊面”的新思路可以預(yù)先阻止來自特定IP地址的訪問流量是其核心機(jī)制。ThreatARMOR正是基于這一思路設(shè)計的。

ThreatARMOR可以阻止來自已知不良IP地址的線速流量，并且無需把流量發(fā)送到專用網(wǎng)絡(luò)之外進(jìn)行檢查。此外，除自動添加惡意IP地址外，它還可以通過SIEM工具手動添加。

企業(yè)網(wǎng)絡(luò)安全架構(gòu)可以通過黑白名單這個方式來防御外部入侵和攻擊，但是如果企業(yè)內(nèi)網(wǎng)的一部分已經(jīng)成為僵尸網(wǎng)絡(luò)，那么如何防范來自內(nèi)部的攻擊呢？對此，孫震表示：“ThreatARMOR可以識別并阻止受感染的內(nèi)部設(shè)備與已知的僵尸網(wǎng)絡(luò)C&C服務(wù)器進(jìn)行通信。阻攔是雙向的，這樣可以讓企業(yè)的安全架構(gòu)變得更有效率?！?/p>

ThreatARMOR可以在這些不必要的流量影響現(xiàn)有企業(yè)安全基礎(chǔ)架構(gòu)之前消除它們，使得客戶無需浪費時間和成本來審查龐大的安全系統(tǒng)所生成的大量“多余”通知，而這些通知可能會讓企業(yè)安全團(tuán)隊對報警產(chǎn)生疲勞感。ThreatARMOR確保IT安全人士和資源集中于解決關(guān)鍵業(yè)務(wù)問題，并降低錯過重要報警的風(fēng)險。

Ixia中國區(qū)總經(jīng)理張煒表示：“ThreatARMOR基于Ixia已有的智能網(wǎng)絡(luò)來幫助保障網(wǎng)絡(luò)安全，它是企業(yè)提升網(wǎng)絡(luò)安全設(shè)施效率的一個非常有效的機(jī)制。

ThreatARMOR在企業(yè)網(wǎng)絡(luò)中建立新的前沿防御陣地，通過在不正常流量抵達(dá)現(xiàn)有安全基礎(chǔ)架構(gòu)之前予以消除網(wǎng)絡(luò)威脅，提高安全投資的回報率。孫震表示：“ThreatARMOR不使用特征碼，并且不會出現(xiàn)誤報。對于任何被阻止的網(wǎng)站，都會留下惡意活動的證據(jù)，例如對惡意軟件分發(fā)或釣魚攻擊，它可以確認(rèn)日期，對日志進(jìn)行截屏。Ixia的應(yīng)用與威脅情報（ATI）研究中心會持續(xù)更新該網(wǎng)站列表，分別驗證每個網(wǎng)站并每五分鐘通過云更新一次。企業(yè)使用ThreatARMOR直接過濾掉已知惡意IP地址，這樣就可以消除此前30%的報警，為企業(yè)節(jié)約6300小時，相當(dāng)于3個工程師的工作量，近30萬美元運營支出。除去設(shè)備的投入，ROI可以達(dá)到15倍?！?/p>

變革與發(fā)展

以上是ThreatARMOR在企業(yè)中的直觀價值體現(xiàn)，而對于Ixia來說，這款產(chǎn)品的價值主要體現(xiàn)在它已經(jīng)成為了Ixia可視化產(chǎn)品的重要組成部分。Ixia有一個專業(yè)級的應(yīng)用ATI庫來支撐所有Ixia產(chǎn)品。ATI相當(dāng)于一個大腦在遠(yuǎn)端指揮Ixia的產(chǎn)品。

借助ATI應(yīng)用情報，ThreatARMOR解決了網(wǎng)絡(luò)管理員面臨的最大挑戰(zhàn)之一——延伸第四層信息的完整網(wǎng)絡(luò)可視性。ATI處理器擴(kuò)大了可視性，可以讓企業(yè)深入了解網(wǎng)絡(luò)，包括應(yīng)用程序的帶寬和應(yīng)用流量的地理位置。ATI處理器可以動態(tài)檢測新的應(yīng)用程序，無需特征碼。此外，它還提供了移動設(shè)備編號和瀏覽器信息。

張瑋對此評述道：“在傳統(tǒng)的企業(yè)市場里我們更強(qiáng)調(diào)的是可視化產(chǎn)品系列，可視化產(chǎn)品系列是為了所有的安全設(shè)備提供流量，對其進(jìn)行分析，來優(yōu)化后面的監(jiān)控和安全設(shè)備的。這其中包含了包轉(zhuǎn)發(fā)器、分光器，Ixia將ThreatARMOR作為可視化產(chǎn)品里的一個新的組成部件來強(qiáng)化整個可視化平臺。ThreatARMOR是Ixia的一個新的利潤的增長點。”

如今，Ixia已經(jīng)不僅僅是為了運營商和設(shè)備供應(yīng)商提供服務(wù)，它已經(jīng)開始直接面向企業(yè)客戶，為其提供服務(wù)。Ixia NVS 大中華區(qū)總經(jīng)理曹智鋒對于Ixia在轉(zhuǎn)型期間有哪些期望時表示：“Ixia前兩年也在做轉(zhuǎn)型，企業(yè)市場已經(jīng)做得相當(dāng)大了，為了豐富企業(yè)市場的一些產(chǎn)品，快速拓展企業(yè)市場。所以，我們不斷加入新產(chǎn)品。未來我們會把這款產(chǎn)品作為我們的一個支柱點來進(jìn)行拓展，特別是在一些重點的行業(yè)，像金融、大的數(shù)據(jù)中心、高端制造業(yè)都是我們核心的重點的推廣行業(yè)。我相信在未來的1～2年內(nèi)它馬上會成為我們Ixia企業(yè)事業(yè)部的重要的收入來源?！?/p>

對于Ixia來說，轉(zhuǎn)型不是目的，只是手段。張瑋對Ixia的戰(zhàn)略概括為以下兩個方面，他表示：“公司整體上的戰(zhàn)略可以分為兩個部分。一部分是注重三個領(lǐng)域——測試、可視化和安全，另一部分是與從傳統(tǒng)制造商和運營商的合作延展到和企業(yè)合作。我們預(yù)期跟企業(yè)合作的業(yè)務(wù)百分比會明顯提高，而其他業(yè)務(wù)仍然會持續(xù)穩(wěn)定增長。這也是我們在全球部署企業(yè)團(tuán)隊，并且和我們的合作伙伴一起進(jìn)行拓展的重要原因?！?/p>

傳統(tǒng)市場里的安全設(shè)備廠商將會成為Ixia的合作伙伴，最終和Ixia一起使企業(yè)安全體系更有效。對企業(yè)和Ixia自身來說，這樣一款化繁為簡的產(chǎn)品的確起到非凡的作用，而對于Ixia來說，最直觀的作用可能會體現(xiàn)在Ixia的財報中。

ThreatARMOR主要面向企業(yè)市場，張瑋預(yù)測：“在財報上業(yè)績可能會持續(xù)增長，但很難說Q4會怎么樣，因為它畢竟是剛剛發(fā)布的一個產(chǎn)品。不過，自從發(fā)布兩周以來，市場反響非常好，這是跟華爾街做過很多的溝通得來的結(jié)果。為了這個產(chǎn)品的發(fā)布，我們CEO到納斯達(dá)克去敲鐘，一來是給投資者一個信息，二來也是給市場一個信息，Ixia正在進(jìn)入一個更關(guān)注企業(yè)、更關(guān)注產(chǎn)業(yè)的領(lǐng)域?！?