趙明
企業(yè)的網(wǎng)絡(luò)安全防護(hù)工作通常就像滾雪球,越滾越大,不斷增加的各種軟硬件造成了運維成本和分析量的增加。在有效提高企業(yè)網(wǎng)絡(luò)安全防護(hù)水平同時又能夠降低成本正逐漸成為企業(yè)安全防護(hù)的首要任務(wù)。
雖然有智能分析系統(tǒng)和可視化軟件幫助,但面對各種來自網(wǎng)絡(luò)的威脅,企業(yè)仍然疲于應(yīng)對。持續(xù)的探測和自動攻擊淹沒了SIEM(安全信息和事件管理)和安全團(tuán)隊,企業(yè)始終無法高枕無憂。
近日,應(yīng)用性能和安全彈性解決方案供應(yīng)商Ixia推出了一款致力于幫助企業(yè)提升網(wǎng)絡(luò)安全防護(hù)效率的產(chǎn)品ThreatARMOR。該產(chǎn)品基于IP地址過濾,預(yù)先過濾掉不良和惡意IP地址發(fā)來的數(shù)據(jù)請求,降低企業(yè)網(wǎng)絡(luò)安全防護(hù)所需處理的信息量,提升企業(yè)網(wǎng)絡(luò)安全防護(hù)效率。
如何理解攻擊面
根據(jù)Ponemon Institute在2015年1月發(fā)布的報告,企業(yè)平均每年花費21,000個小時來處理誤報的網(wǎng)絡(luò)安全威脅報警。隨著互聯(lián)網(wǎng)邊界的不斷擴(kuò)大,安全邊界也在不斷擴(kuò)大。新型攻擊,包括APT等一些新型的持續(xù)攻擊技術(shù),正在逐步增多。我們的安全架構(gòu)也在不斷變大。
原先為了解決安全問題,企業(yè)通常是采用基于特征的防火墻做一些攔截,這樣的安全架構(gòu)已經(jīng)不足以應(yīng)對新安全形勢,像SIEM、防內(nèi)容泄漏、威脅分析、沙箱這樣的新機(jī)制正逐步被添加到龐大的安全架構(gòu)中。
在談到這一現(xiàn)狀時,Ixia應(yīng)用和安全業(yè)務(wù)發(fā)展總監(jiān)孫震提到了一個新概念“攻擊面”,他表示:“被攻擊者、攻擊目標(biāo)和所有受到攻擊的通路,我們統(tǒng)稱攻擊面‘。只要發(fā)生IP連接就會產(chǎn)生攻擊面。這個攻擊面很大,會從各個角落攻擊企業(yè)網(wǎng)絡(luò)。”
為了應(yīng)對日益增多的復(fù)雜攻擊,企業(yè)為此付出了非常多的財力、物力和人力,企業(yè)安全架構(gòu)也承受著難以想象的壓力。Ixia為此提出了減小攻擊面的新思路。減小攻擊面,就可以減少攻擊,從而減少SIEM報警,讓企業(yè)的高端安全架構(gòu)能夠承擔(dān)一些更高端的任務(wù),而非處理瑣碎事件。
新思路解決大麻煩
隨著互聯(lián)網(wǎng)威脅的復(fù)雜性和強(qiáng)度不斷提升,需要迅速增添多種安全技術(shù)來保護(hù)網(wǎng)絡(luò)。邊界已經(jīng)增加了新的層來處理新的威脅。通過威脅檢測、惡意軟件檢查、內(nèi)容安全、DLP、DDoS緩解等來增強(qiáng)現(xiàn)有防火墻和IPS/IDS系統(tǒng)。Ixia基于“攻擊面”的新思路可以預(yù)先阻止來自特定IP地址的訪問流量是其核心機(jī)制。ThreatARMOR正是基于這一思路設(shè)計的。
ThreatARMOR可以阻止來自已知不良IP地址的線速流量,并且無需把流量發(fā)送到專用網(wǎng)絡(luò)之外進(jìn)行檢查。此外,除自動添加惡意IP地址外,它還可以通過SIEM工具手動添加。
企業(yè)網(wǎng)絡(luò)安全架構(gòu)可以通過黑白名單這個方式來防御外部入侵和攻擊,但是如果企業(yè)內(nèi)網(wǎng)的一部分已經(jīng)成為僵尸網(wǎng)絡(luò),那么如何防范來自內(nèi)部的攻擊呢?對此,孫震表示:“ThreatARMOR可以識別并阻止受感染的內(nèi)部設(shè)備與已知的僵尸網(wǎng)絡(luò)C&C服務(wù)器進(jìn)行通信。阻攔是雙向的,這樣可以讓企業(yè)的安全架構(gòu)變得更有效率?!?/p>
ThreatARMOR可以在這些不必要的流量影響現(xiàn)有企業(yè)安全基礎(chǔ)架構(gòu)之前消除它們,使得客戶無需浪費時間和成本來審查龐大的安全系統(tǒng)所生成的大量“多余”通知,而這些通知可能會讓企業(yè)安全團(tuán)隊對報警產(chǎn)生疲勞感。ThreatARMOR確保IT安全人士和資源集中于解決關(guān)鍵業(yè)務(wù)問題,并降低錯過重要報警的風(fēng)險。
Ixia中國區(qū)總經(jīng)理張煒表示:“ThreatARMOR基于Ixia已有的智能網(wǎng)絡(luò)來幫助保障網(wǎng)絡(luò)安全,它是企業(yè)提升網(wǎng)絡(luò)安全設(shè)施效率的一個非常有效的機(jī)制。
ThreatARMOR在企業(yè)網(wǎng)絡(luò)中建立新的前沿防御陣地,通過在不正常流量抵達(dá)現(xiàn)有安全基礎(chǔ)架構(gòu)之前予以消除網(wǎng)絡(luò)威脅,提高安全投資的回報率。孫震表示:“ThreatARMOR不使用特征碼,并且不會出現(xiàn)誤報。對于任何被阻止的網(wǎng)站,都會留下惡意活動的證據(jù),例如對惡意軟件分發(fā)或釣魚攻擊,它可以確認(rèn)日期,對日志進(jìn)行截屏。Ixia的應(yīng)用與威脅情報(ATI)研究中心會持續(xù)更新該網(wǎng)站列表,分別驗證每個網(wǎng)站并每五分鐘通過云更新一次。企業(yè)使用ThreatARMOR直接過濾掉已知惡意IP地址,這樣就可以消除此前30%的報警,為企業(yè)節(jié)約6300小時,相當(dāng)于3個工程師的工作量,近30萬美元運營支出。除去設(shè)備的投入,ROI可以達(dá)到15倍?!?/p>
變革與發(fā)展
以上是ThreatARMOR在企業(yè)中的直觀價值體現(xiàn),而對于Ixia來說,這款產(chǎn)品的價值主要體現(xiàn)在它已經(jīng)成為了Ixia可視化產(chǎn)品的重要組成部分。Ixia有一個專業(yè)級的應(yīng)用ATI庫來支撐所有Ixia產(chǎn)品。ATI相當(dāng)于一個大腦在遠(yuǎn)端指揮Ixia的產(chǎn)品。
借助ATI應(yīng)用情報,ThreatARMOR解決了網(wǎng)絡(luò)管理員面臨的最大挑戰(zhàn)之一——延伸第四層信息的完整網(wǎng)絡(luò)可視性。ATI處理器擴(kuò)大了可視性,可以讓企業(yè)深入了解網(wǎng)絡(luò),包括應(yīng)用程序的帶寬和應(yīng)用流量的地理位置。ATI處理器可以動態(tài)檢測新的應(yīng)用程序,無需特征碼。此外,它還提供了移動設(shè)備編號和瀏覽器信息。
張瑋對此評述道:“在傳統(tǒng)的企業(yè)市場里我們更強(qiáng)調(diào)的是可視化產(chǎn)品系列,可視化產(chǎn)品系列是為了所有的安全設(shè)備提供流量,對其進(jìn)行分析,來優(yōu)化后面的監(jiān)控和安全設(shè)備的。這其中包含了包轉(zhuǎn)發(fā)器、分光器,Ixia將ThreatARMOR作為可視化產(chǎn)品里的一個新的組成部件來強(qiáng)化整個可視化平臺。ThreatARMOR是Ixia的一個新的利潤的增長點。”
如今,Ixia已經(jīng)不僅僅是為了運營商和設(shè)備供應(yīng)商提供服務(wù),它已經(jīng)開始直接面向企業(yè)客戶,為其提供服務(wù)。Ixia NVS 大中華區(qū)總經(jīng)理曹智鋒對于Ixia在轉(zhuǎn)型期間有哪些期望時表示:“Ixia前兩年也在做轉(zhuǎn)型,企業(yè)市場已經(jīng)做得相當(dāng)大了,為了豐富企業(yè)市場的一些產(chǎn)品,快速拓展企業(yè)市場。所以,我們不斷加入新產(chǎn)品。未來我們會把這款產(chǎn)品作為我們的一個支柱點來進(jìn)行拓展,特別是在一些重點的行業(yè),像金融、大的數(shù)據(jù)中心、高端制造業(yè)都是我們核心的重點的推廣行業(yè)。我相信在未來的1~2年內(nèi)它馬上會成為我們Ixia企業(yè)事業(yè)部的重要的收入來源?!?/p>
對于Ixia來說,轉(zhuǎn)型不是目的,只是手段。張瑋對Ixia的戰(zhàn)略概括為以下兩個方面,他表示:“公司整體上的戰(zhàn)略可以分為兩個部分。一部分是注重三個領(lǐng)域——測試、可視化和安全,另一部分是與從傳統(tǒng)制造商和運營商的合作延展到和企業(yè)合作。我們預(yù)期跟企業(yè)合作的業(yè)務(wù)百分比會明顯提高,而其他業(yè)務(wù)仍然會持續(xù)穩(wěn)定增長。這也是我們在全球部署企業(yè)團(tuán)隊,并且和我們的合作伙伴一起進(jìn)行拓展的重要原因?!?/p>
傳統(tǒng)市場里的安全設(shè)備廠商將會成為Ixia的合作伙伴,最終和Ixia一起使企業(yè)安全體系更有效。對企業(yè)和Ixia自身來說,這樣一款化繁為簡的產(chǎn)品的確起到非凡的作用,而對于Ixia來說,最直觀的作用可能會體現(xiàn)在Ixia的財報中。
ThreatARMOR主要面向企業(yè)市場,張瑋預(yù)測:“在財報上業(yè)績可能會持續(xù)增長,但很難說Q4會怎么樣,因為它畢竟是剛剛發(fā)布的一個產(chǎn)品。不過,自從發(fā)布兩周以來,市場反響非常好,這是跟華爾街做過很多的溝通得來的結(jié)果。為了這個產(chǎn)品的發(fā)布,我們CEO到納斯達(dá)克去敲鐘,一來是給投資者一個信息,二來也是給市場一個信息,Ixia正在進(jìn)入一個更關(guān)注企業(yè)、更關(guān)注產(chǎn)業(yè)的領(lǐng)域?!?