簡介:安博通詳解流量安全產(chǎn)品的熱點和趨勢。
安博通多年來專注于網(wǎng)絡(luò)安全通信操作系統(tǒng)套件的研發(fā)工作,對Network Security領(lǐng)域產(chǎn)品的發(fā)展保持長期關(guān)注。此次參加2019 RSAC,我們試圖站在系統(tǒng)平臺的角度追蹤流量安全產(chǎn)品的熱點和趨勢,旨在為安全圈的小伙伴分享規(guī)劃調(diào)研所需的一手信息。
當(dāng)我們談?wù)摿髁堪踩a(chǎn)品時,它可能包含了防火墻、IPS、WAF甚至NPBs等基于網(wǎng)絡(luò)流量實現(xiàn)安全功能的產(chǎn)品,這些都?xì)w類在Network Security范疇。從方案的分層來看,流量安全產(chǎn)品位于底層,除了直接處置安全問題外,還負(fù)責(zé)為SIEM、UEBA等高層安全方案提供原始信息,筆者對2019 RSAC上的多品類流量安全產(chǎn)品進(jìn)行了綜合視角觀察。
新介質(zhì)仍未進(jìn)入主戰(zhàn)場
新通信介質(zhì)的出現(xiàn),常常被期待成為安全革命的推手。自云安全大火后,眾多廠商紛紛后悔沒有趕上第一批紅利,所以對新介質(zhì)上的新安全方案格外敏感,力圖提前布局上車。今年的RSAC上,A10 Networks等公司著重宣傳了5G & IoT 安全方案,Palo alto也在今年2月發(fā)布5G ready的K2系列下一代防火墻。
圖1:A10 Networks提出的5G/IoT安全方案
在展臺溝通中,廠商工作人員表示目前在美國市場,IoT、工控、5G等介質(zhì)安全盡管概念炒得很熱,但產(chǎn)業(yè)鏈不夠成熟,距離大規(guī)模落地應(yīng)用仍有距離,這與國內(nèi)的現(xiàn)狀基本類似。云安全已經(jīng)火熱了多年,在今天仍然不能完全兌現(xiàn)其商業(yè)價值,而其它新介質(zhì)上的安全方案也還未進(jìn)入主戰(zhàn)場。
為經(jīng)典架構(gòu)的脆弱性持續(xù)買單
談到流量威脅,眾多安全問題的源頭還要追溯到經(jīng)典互聯(lián)網(wǎng)架構(gòu)下的協(xié)議設(shè)計,這些協(xié)議是在互聯(lián)網(wǎng)絕對安全的前提下設(shè)計的,存在天然的安全缺陷,典型的例子就是今年的主角DNS協(xié)議。
圖2:Palo Alto介紹DNS安全特性
在會場的Speaking Session上,Palo alto宣講了其DNS安全新方案,也是其威脅防御的新主打特性,使用Machine Learning和威脅情報手段預(yù)測和封堵惡意域名,以及阻止惡意數(shù)據(jù)通過DNS隧道進(jìn)行傳輸和C&C攻擊,Zscaler、梭子魚等公司也都發(fā)布了DNS隧道安全解決方案。
讓人感到新舊恍惚的是,在2019年,世界最頂尖的安全公司使用最先進(jìn)的技術(shù),在解決1984年發(fā)布協(xié)議存在的問題。由于經(jīng)典架構(gòu)中通信協(xié)議已經(jīng)形成事實標(biāo)準(zhǔn),大量應(yīng)用在其基礎(chǔ)上已經(jīng)枝繁葉茂,所以根部的協(xié)議的更新非常緩慢,對經(jīng)典架構(gòu)的不斷加固是永恒的主題。
S D-WAN 觀察 : 遠(yuǎn)不止安全
SD-WAN是2018年的國內(nèi)安全圈大火的流量IP,筆者走訪調(diào)研了RSAC上的大部分SD-WAN廠商,以下是三點直觀感受。
首先,SD-WAN可能不是純安全公司的菜。SD-WAN方案的核心是更好地解決調(diào)度、性能、云訪問等通信問題,而安全只是附加項。領(lǐng)先的SD-WAN提供商,要么是通信廠商同時具備安全方案,例如Cisco;要么是專注于通信技術(shù),而通過與專業(yè)安全廠商合作的方式解決流量安全問題,例如Aryaka。對于純安全公司,一般不具備強(qiáng)大的通信基因,很難提供整體方案,轉(zhuǎn)而對SD-WAN整體提供商進(jìn)行安全能力輸出,可能是更好的選擇。
圖3:Aryaka SD-WAN方案中與安全廠商合作
其次,SD-WAN方案的關(guān)鍵是資源驅(qū)動,而非技術(shù)革命。優(yōu)秀的SD-WAN方案需要提供快速部署、實時的云數(shù)據(jù)中心APP拉取、本地CDN接入等服務(wù),這需要服務(wù)商提供綜合性資源。一些國內(nèi)的SD-WAN方案激進(jìn)地提出使用SDN控制完全替代傳統(tǒng)協(xié)議,是完全不現(xiàn)實的,經(jīng)典協(xié)議(例如OSPF)非常復(fù)雜,大型廣域網(wǎng)的網(wǎng)絡(luò)收斂非常復(fù)雜,絕非一朝一夕夠隨便替代。
第三,SD-WAN作為feature出現(xiàn)。在Fortinet等廠商的流量安全產(chǎn)品中,SD-WAN作為一個新feature出現(xiàn),由傳統(tǒng)的路由協(xié)議、隧道等技術(shù)解決連通性問題,再通過SD-WAN針對特定的應(yīng)用實現(xiàn)高級設(shè)定,分支邊界依然是NGFW和UTM的市場,并沒有CPE設(shè)備的革命出現(xiàn)。
圖4:Fortinet提供支持SD-WAN特性的NGFW/UTM
先手棋 : 情報+預(yù)測
圖5:提出領(lǐng)先一步的概念
流量安全產(chǎn)品從基因起源就處于滯后位置,傳統(tǒng)的特征匹配對于0day等未知威脅無能為力,所以廠商普遍提出轉(zhuǎn)后手為先手的概念,也就是Palo alto提出的“Stay a step ahead”。在本次RSAC,廠商主要通過以下兩個手段來解決這個問題:
威脅情報
流量安全產(chǎn)品接入威脅情報后,其理論的特征范圍從本地擴(kuò)大到整個云情報庫,威脅情報的更新頻率非常迅速,可以彌補(bǔ)容量短板;出現(xiàn)突發(fā)安全事件時,情報平臺可緊急推送消息到流量安全產(chǎn)品,聯(lián)動完成自動緊急防護(hù),從而解決實時性問題??傮w而言,針對長久以來的頑疾,情報接入是一劑對癥的良藥。
圖6:來自中國的領(lǐng)先威脅情報廠商微步在線展臺
分析預(yù)測
在自適應(yīng)安全理論中,事前預(yù)測是重要的一環(huán),流量安全產(chǎn)品一般使用深度分析實現(xiàn)預(yù)測。在算法方面,一種常見方法是貝葉斯網(wǎng)絡(luò),這種方法常用于預(yù)測天氣、疾病和市場趨勢,有著廣泛的應(yīng)用。簡單而言,貝葉斯網(wǎng)絡(luò)是有向概率圖,構(gòu)建的關(guān)鍵是事件關(guān)聯(lián)邏輯和概率賦值,再將綜合概率近似轉(zhuǎn)化到獨(dú)立概率的計算上,例如我們可以根據(jù)資產(chǎn)的漏洞狀況、補(bǔ)丁狀況、訪問可達(dá)性來預(yù)測其受到外部攻擊的概率。
圖7:貝葉斯網(wǎng)絡(luò)舉例
解還是 不解 , 是個問題
對于SSL加密流量的安全檢測,業(yè)界有兩種技術(shù)方向,即解密方式和不解密方式。
Gigamon針對SSL流量提出一次解密全棧安全的解決方案,旨在降低多個設(shè)備重復(fù)SSL解密帶來的巨大性能消耗,也讓網(wǎng)絡(luò)結(jié)構(gòu)更清晰。在此方案中,Gigamon推薦將所有流量鏡像到NPBs設(shè)備完成流量預(yù)處理、SSL解密和實時阻斷,再接入旁路部署的流量安全設(shè)備進(jìn)行安全檢測。
圖8:Gigamon一次解密方案
如果用戶不想采購額外的NPBs設(shè)備或改變網(wǎng)絡(luò)架構(gòu),可以使用不解密直接進(jìn)行安全檢測的方案。在Cisco等廠商提出的方案中,通過識別TLS原數(shù)據(jù)中Client Hello報文內(nèi)容、報文的長度和順序、會話的方向和流量比例等內(nèi)容,再應(yīng)用機(jī)器學(xué)習(xí)方法,直接實現(xiàn)威脅檢測或者流量應(yīng)用識別。
圖9:Cisco提出無需解密的TLS原數(shù)據(jù)威脅檢測
兩種方案對比之下,各自的缺陷都比較明顯,在性能成本和檢測率方面難以達(dá)到平衡,對于企業(yè)級用戶來說,SSL流量安全仍然會是重要的難題。
歷史重現(xiàn) ?
在能見度有限的霧天,一個人走到岸邊看著一眼望不到邊的水域,那么這個人無法分清眼前的是湖還是海,這個場景和目前的流量安全產(chǎn)品市場有些相似。隨著業(yè)界生態(tài)逐步成熟,兩三年前還能吸引眼球的威脅情報、未知威脅分析、沙箱等名詞,目前已經(jīng)幾乎成為流量安全產(chǎn)品的標(biāo)配,各領(lǐng)先廠商提供的方案趨于相同,差異性縮小。
在UTM時代我們曾遇到過與今天類似的遭遇:產(chǎn)品堆砌大量特性、模塊間缺乏邏輯關(guān)聯(lián)、產(chǎn)品同質(zhì)化嚴(yán)重。時勢造英雄,Palo alto首先推出了以三個ID為靈魂的NGFW產(chǎn)品,一舉引領(lǐng)了時代潮流直到如今。歷史總是相似的,如今流量安全產(chǎn)品再次面臨10年前特性堆積的局面,當(dāng)量變已經(jīng)足夠時,質(zhì)變的歷史機(jī)會是否已經(jīng)在向我們再次揮手?
圖10:Palo Alto引領(lǐng)風(fēng)潮的三個ID架構(gòu)
聚變 : 趨勢建議
筆者認(rèn)為,流量安全產(chǎn)品的技術(shù)積累已經(jīng)接近聚變的臨界點,以下三個趨勢將會在下一代產(chǎn)品設(shè)計中產(chǎn)生價值,可作為產(chǎn)品規(guī)劃的參考。
發(fā)現(xiàn)新 I D
2019年RSAC創(chuàng)新沙盒的冠軍是Axonius,其主要業(yè)務(wù)是網(wǎng)絡(luò)安全資產(chǎn)管理,這說明了資產(chǎn)在網(wǎng)絡(luò)安全領(lǐng)域的重要性,所以資產(chǎn)ID將會是新一代產(chǎn)品的重要ID。對于流量安全產(chǎn)品來說,沿用原有基于USER-ID的安全思路,顯然無法貼切地解決資產(chǎn)安全問題,流量安全的下一步重點將是面向資產(chǎn)化。
除了資產(chǎn)ID以外,基于Credential(憑據(jù))、社交網(wǎng)絡(luò)賬戶的攻擊頻發(fā),相關(guān)領(lǐng)域的創(chuàng)新公司大量涌現(xiàn),這些新ID都是在原有USER-ID、APP-ID、Context-ID的架構(gòu)上繼續(xù)提煉和升華,筆者認(rèn)為新一代產(chǎn)品需要挖掘更多ID,并基于這些ID構(gòu)建新一代架構(gòu),就像當(dāng)年P(guān)alo Alto做的那樣。
圖11:RSAC 2019創(chuàng)新沙盒冠軍Axonius
云管端 三管齊下
對于流量安全產(chǎn)品來說,其局限性在于通過流量分析可以獲取的信息范圍非常有限,例如,資產(chǎn)信息是無法完全通過流量分析獲取準(zhǔn)確信息的,這時就需要通過與Endpoint產(chǎn)品進(jìn)行結(jié)合,從而獲取一手的最準(zhǔn)確的資產(chǎn)信息。
為了保持先手,流量安全產(chǎn)品必須依賴云情報和云分析。
所以,對于一個成熟的流量安全產(chǎn)品方案,筆者認(rèn)為其應(yīng)該具備以下的要素:
情報云:使用威脅情報等方式解決未知威脅和突發(fā)事件響應(yīng)
分析云:使用先進(jìn)的分析方法實現(xiàn)事件預(yù)測
終端聯(lián)動:與Endpoint產(chǎn)品聯(lián)動獲取資產(chǎn)信息,覆蓋主機(jī)安全層面
圖12:SOPHOS提出的云管端一體威脅檢測方案
智能化大勢所趨
未來三年內(nèi),Deep Learning等AI技術(shù)的可獲取性將會進(jìn)一步增強(qiáng),計算資源預(yù)計也會更加強(qiáng)大,流量安全設(shè)備現(xiàn)在提供的攻擊事件鏈?zhǔn)椒治?、協(xié)議脆弱性分析、異常行為和流量發(fā)現(xiàn)將能夠以更低的成本提供更聰明的方案。同UTM到NGFW的革命一樣,下一代產(chǎn)品不會僅僅是大量技術(shù)堆砌,而一定會融入更多現(xiàn)在安全管理類產(chǎn)品的特性,例如可詳細(xì)定制的工作流和業(yè)務(wù)流,屆時的流量安全產(chǎn)品可能發(fā)展成具備更多機(jī)器人屬性的Better產(chǎn)品。
圖13:2019 RSAC主題:Better
結(jié)語
自2009年左右下一代防火墻問世后,多年來還未有更新的品類名稱出現(xiàn),但從技術(shù)走向分析,自2015年后產(chǎn)品智能化發(fā)展趨勢已經(jīng)非常明確,到今年已經(jīng)完成了大量的成熟技術(shù)的積累。在此時間,產(chǎn)品發(fā)展可能再次面臨由量變產(chǎn)生質(zhì)變的重要節(jié)點,值得我們重點關(guān)注。
關(guān)于安博通
北京安博通科技股份有限公司(簡稱“安博通”),成立于2011年,以“看透安全,體驗價值”理念為核心,是國內(nèi)領(lǐng)先的可視化網(wǎng)絡(luò)安全專用核心系統(tǒng)產(chǎn)品與安全服務(wù)提供商。其自主研發(fā)的SPOS可視化網(wǎng)絡(luò)安全系統(tǒng)套件,已成為眾多一線廠商與大型解決方案集成商最廣泛搭載的網(wǎng)絡(luò)安全系統(tǒng)平臺,是國內(nèi)眾多部委與央企安全態(tài)勢感知平臺的核心組件與數(shù)據(jù)來源。
更多詳情,敬請查閱:www.abtnetworks.com
深入了解,歡迎垂詢
申請創(chuàng)業(yè)報道,分享創(chuàng)業(yè)好點子。點擊此處,共同探討創(chuàng)業(yè)新機(jī)遇!