网络安全要能看、能见
2015-10-27 IDCUN 编辑:IDCUN
最近又有新闻报道称有大规模的用户名密码泄露的事件发生,一时间炒的沸沸扬扬,真是应了一句话:这世上只有两种企业,一种是被黑的,一种是不知道自己被黑的。Gartner也有研究报告称大多数企业发生了安全事件而不自知,其中很多还是被外人叫醒的。导致如此现状的根本原因不是企业不在乎安全建设,很大程度上是因为现在的攻击手法愈发隐蔽。
那企业如何在极其隐蔽的攻击面前保全自己呢?答案便是看见二字。我们认为看见不是一个词,而应该将二字分开来解读。因为看和见是两种企业需要具备的安全能力。知己知彼才能百战不殆,如果敌人永远处于黑暗之中,那么我们就无法有效构筑防御工事。自然地,费心所做的安全防御就变成了样子工程,因为无法看到攻击是如何来,如何走,借助了什么途径,附着于什么载体等。因此,新时代的网络安全必须要具备看见的能力。
看,即观察。
企业需要在网络中的不同位置都能够有观察哨来监测网络中的一举一动。比如在Web服务器前端,数据库服务器前端,APP服务器前端,以及不同部门和安全域之间,都应该部署相应的安全设备作为观察哨进行流量监测。然而,看,并不一定就能见,因为攻击者会以很多种手段来规避安全设备的检测,比如混淆、加壳、加密、压缩、伪装等。传统的安全设备,只能看到普通的如海一般的网络流量,如果要做到行之有效的防御,还要看到海面下的暗潮和礁石,甚至是鱼雷。
见,在古文中也通现,即出现、显露之意。
这就如同,在玩网络游戏的时候都会遇到能够潜行、隐身的敌人,而惯用的解决方案就是插观察眼或者将防御塔升级为能够反潜的塔。回到安全领域就是把防火墙、IPS都升级为下一代防火墙和下一代IPS,提升网关类安全设备的反混淆、脱壳、深度识别的能力。但是这都还是基于传统签名的检测方式,面对无签名的样本,就显得力不从心了。而现今大多数的攻击之所以很隐蔽,正是使用了大量临时构造的攻击工具,轻松穿透了基于签名检测的安全设备,让这些设备只能看到流量,却不见其真容。因此,基于行为的流量检测就显得尤其重要了,基于行为的检测可以让观察哨把看不清的样本发送过来进行虚拟执行,观察行为,是否更改了注册表,访问了外部的恶意链接,下载了新的文件,还是在本地创建了文件诸如这样的行为。在此基础上进行全方位的评分,进而判断该样本是恶意的还是无害的。
作为全球领先的高性能网络安全解决方案提供商,以及全球第三大网络安全设备供应商,Fortinet始终以前瞻的行业洞察为用户解决切实的安全问题。在Fortinet的解决方案中,我们也希望将看见的能力赋予我们的用户,让用户不止能够看到网络流量,更能够看到流量下暗藏的威胁。
在接入层面,Fortinet的安接入解决方案能够让用户看到接入网络中的用户、设备,以及其产生的流量、应用、内容,更可以看到周边的SSID,以发现并抑制欺诈和钓鱼AP。
在企业网层面,Fortinet拥有以FortiSandbox沙盒产品为核心的基于行为的高级威胁防御解决方案,当Fortinet的安全客户端、下一代防火墙、反垃圾邮件和Web应用防火墙发现可疑文件时,会将其发送到FortiSandbox中进行行为检测,并能够执行实时阻断。不仅让用户拥有看见的能力,还为用户提升了安全响应的速度,有效应对如今的高级威胁攻击。
在数据中心层面,Fortinet以虚实结合的方式为数据中心解决东西向和南北向的流量安全问题,通过高精细的应用识别,能够发现数据中心中运行的虚拟机肉鸡,并阻断其连接,还可以执行下一代防火墙具备的安全功能,以及数据防泄漏等企业如今十分需要的安全功能。
为了让用户也能够进一步感验到这样“看与见的能力”,Fortinet推出了CTAP网络威胁评估服务,用户可以免费体验Fortinet解决方案在不同的应用场景下流量、应用、用户、设备这些元素在网络中使用情况,面临的安全威胁与怎样的威胁防御是有效且到位的。