趙明

企業(yè)的網(wǎng)絡安全防護工作通常就像滾雪球，越滾越大，不斷增加的各種軟硬件造成了運維成本和分析量的增加。在有效提高企業(yè)網(wǎng)絡安全防護水平同時又能夠降低成本正逐漸成為企業(yè)安全防護的首要任務。

雖然有智能分析系統(tǒng)和可視化軟件幫助，但面對各種來自網(wǎng)絡的威脅，企業(yè)仍然疲于應對。持續(xù)的探測和自動攻擊淹沒了SIEM（安全信息和事件管理）和安全團隊，企業(yè)始終無法高枕無憂。

近日，應用性能和安全彈性解決方案供應商Ixia推出了一款致力于幫助企業(yè)提升網(wǎng)絡安全防護效率的產(chǎn)品ThreatARMOR。該產(chǎn)品基于IP地址過濾，預先過濾掉不良和惡意IP地址發(fā)來的數(shù)據(jù)請求，降低企業(yè)網(wǎng)絡安全防護所需處理的信息量，提升企業(yè)網(wǎng)絡安全防護效率。

如何理解攻擊面

根據(jù)Ponemon Institute在2015年1月發(fā)布的報告，企業(yè)平均每年花費21，000個小時來處理誤報的網(wǎng)絡安全威脅報警。隨著互聯(lián)網(wǎng)邊界的不斷擴大，安全邊界也在不斷擴大。新型攻擊，包括APT等一些新型的持續(xù)攻擊技術，正在逐步增多。我們的安全架構也在不斷變大。

原先為了解決安全問題，企業(yè)通常是采用基于特征的防火墻做一些攔截，這樣的安全架構已經(jīng)不足以應對新安全形勢，像SIEM、防內(nèi)容泄漏、威脅分析、沙箱這樣的新機制正逐步被添加到龐大的安全架構中。

在談到這一現(xiàn)狀時，Ixia應用和安全業(yè)務發(fā)展總監(jiān)孫震提到了一個新概念“攻擊面”，他表示：“被攻擊者、攻擊目標和所有受到攻擊的通路，我們統(tǒng)稱攻擊面‘。只要發(fā)生IP連接就會產(chǎn)生攻擊面。這個攻擊面很大，會從各個角落攻擊企業(yè)網(wǎng)絡。”

為了應對日益增多的復雜攻擊，企業(yè)為此付出了非常多的財力、物力和人力，企業(yè)安全架構也承受著難以想象的壓力。Ixia為此提出了減小攻擊面的新思路。減小攻擊面，就可以減少攻擊，從而減少SIEM報警，讓企業(yè)的高端安全架構能夠承擔一些更高端的任務，而非處理瑣碎事件。

新思路解決大麻煩

隨著互聯(lián)網(wǎng)威脅的復雜性和強度不斷提升，需要迅速增添多種安全技術來保護網(wǎng)絡。邊界已經(jīng)增加了新的層來處理新的威脅。通過威脅檢測、惡意軟件檢查、內(nèi)容安全、DLP、DDoS緩解等來增強現(xiàn)有防火墻和IPS/IDS系統(tǒng)。Ixia基于“攻擊面”的新思路可以預先阻止來自特定IP地址的訪問流量是其核心機制。ThreatARMOR正是基于這一思路設計的。

ThreatARMOR可以阻止來自已知不良IP地址的線速流量，并且無需把流量發(fā)送到專用網(wǎng)絡之外進行檢查。此外，除自動添加惡意IP地址外，它還可以通過SIEM工具手動添加。

企業(yè)網(wǎng)絡安全架構可以通過黑白名單這個方式來防御外部入侵和攻擊，但是如果企業(yè)內(nèi)網(wǎng)的一部分已經(jīng)成為僵尸網(wǎng)絡，那么如何防范來自內(nèi)部的攻擊呢？對此，孫震表示：“ThreatARMOR可以識別并阻止受感染的內(nèi)部設備與已知的僵尸網(wǎng)絡C&C服務器進行通信。阻攔是雙向的，這樣可以讓企業(yè)的安全架構變得更有效率?！?/p>

ThreatARMOR可以在這些不必要的流量影響現(xiàn)有企業(yè)安全基礎架構之前消除它們，使得客戶無需浪費時間和成本來審查龐大的安全系統(tǒng)所生成的大量“多余”通知，而這些通知可能會讓企業(yè)安全團隊對報警產(chǎn)生疲勞感。ThreatARMOR確保IT安全人士和資源集中于解決關鍵業(yè)務問題，并降低錯過重要報警的風險。

Ixia中國區(qū)總經(jīng)理張煒表示：“ThreatARMOR基于Ixia已有的智能網(wǎng)絡來幫助保障網(wǎng)絡安全，它是企業(yè)提升網(wǎng)絡安全設施效率的一個非常有效的機制。

ThreatARMOR在企業(yè)網(wǎng)絡中建立新的前沿防御陣地，通過在不正常流量抵達現(xiàn)有安全基礎架構之前予以消除網(wǎng)絡威脅，提高安全投資的回報率。孫震表示：“ThreatARMOR不使用特征碼，并且不會出現(xiàn)誤報。對于任何被阻止的網(wǎng)站，都會留下惡意活動的證據(jù)，例如對惡意軟件分發(fā)或釣魚攻擊，它可以確認日期，對日志進行截屏。Ixia的應用與威脅情報（ATI）研究中心會持續(xù)更新該網(wǎng)站列表，分別驗證每個網(wǎng)站并每五分鐘通過云更新一次。企業(yè)使用ThreatARMOR直接過濾掉已知惡意IP地址，這樣就可以消除此前30%的報警，為企業(yè)節(jié)約6300小時，相當于3個工程師的工作量，近30萬美元運營支出。除去設備的投入，ROI可以達到15倍?！?/p>

變革與發(fā)展

以上是ThreatARMOR在企業(yè)中的直觀價值體現(xiàn)，而對于Ixia來說，這款產(chǎn)品的價值主要體現(xiàn)在它已經(jīng)成為了Ixia可視化產(chǎn)品的重要組成部分。Ixia有一個專業(yè)級的應用ATI庫來支撐所有Ixia產(chǎn)品。ATI相當于一個大腦在遠端指揮Ixia的產(chǎn)品。

借助ATI應用情報，ThreatARMOR解決了網(wǎng)絡管理員面臨的最大挑戰(zhàn)之一——延伸第四層信息的完整網(wǎng)絡可視性。ATI處理器擴大了可視性，可以讓企業(yè)深入了解網(wǎng)絡，包括應用程序的帶寬和應用流量的地理位置。ATI處理器可以動態(tài)檢測新的應用程序，無需特征碼。此外，它還提供了移動設備編號和瀏覽器信息。

張瑋對此評述道：“在傳統(tǒng)的企業(yè)市場里我們更強調(diào)的是可視化產(chǎn)品系列，可視化產(chǎn)品系列是為了所有的安全設備提供流量，對其進行分析，來優(yōu)化后面的監(jiān)控和安全設備的。這其中包含了包轉(zhuǎn)發(fā)器、分光器，Ixia將ThreatARMOR作為可視化產(chǎn)品里的一個新的組成部件來強化整個可視化平臺。ThreatARMOR是Ixia的一個新的利潤的增長點?！?/p>

如今，Ixia已經(jīng)不僅僅是為了運營商和設備供應商提供服務，它已經(jīng)開始直接面向企業(yè)客戶，為其提供服務。Ixia NVS 大中華區(qū)總經(jīng)理曹智鋒對于Ixia在轉(zhuǎn)型期間有哪些期望時表示：“Ixia前兩年也在做轉(zhuǎn)型，企業(yè)市場已經(jīng)做得相當大了，為了豐富企業(yè)市場的一些產(chǎn)品，快速拓展企業(yè)市場。所以，我們不斷加入新產(chǎn)品。未來我們會把這款產(chǎn)品作為我們的一個支柱點來進行拓展，特別是在一些重點的行業(yè)，像金融、大的數(shù)據(jù)中心、高端制造業(yè)都是我們核心的重點的推廣行業(yè)。我相信在未來的1～2年內(nèi)它馬上會成為我們Ixia企業(yè)事業(yè)部的重要的收入來源。”

對于Ixia來說，轉(zhuǎn)型不是目的，只是手段。張瑋對Ixia的戰(zhàn)略概括為以下兩個方面，他表示：“公司整體上的戰(zhàn)略可以分為兩個部分。一部分是注重三個領域——測試、可視化和安全，另一部分是與從傳統(tǒng)制造商和運營商的合作延展到和企業(yè)合作。我們預期跟企業(yè)合作的業(yè)務百分比會明顯提高，而其他業(yè)務仍然會持續(xù)穩(wěn)定增長。這也是我們在全球部署企業(yè)團隊，并且和我們的合作伙伴一起進行拓展的重要原因?！?/p>

傳統(tǒng)市場里的安全設備廠商將會成為Ixia的合作伙伴，最終和Ixia一起使企業(yè)安全體系更有效。對企業(yè)和Ixia自身來說，這樣一款化繁為簡的產(chǎn)品的確起到非凡的作用，而對于Ixia來說，最直觀的作用可能會體現(xiàn)在Ixia的財報中。

ThreatARMOR主要面向企業(yè)市場，張瑋預測：“在財報上業(yè)績可能會持續(xù)增長，但很難說Q4會怎么樣，因為它畢竟是剛剛發(fā)布的一個產(chǎn)品。不過，自從發(fā)布兩周以來，市場反響非常好，這是跟華爾街做過很多的溝通得來的結果。為了這個產(chǎn)品的發(fā)布，我們CEO到納斯達克去敲鐘，一來是給投資者一個信息，二來也是給市場一個信息，Ixia正在進入一個更關注企業(yè)、更關注產(chǎn)業(yè)的領域?！?