智能 就是让数据说话
从传统墙到下一代墙,其实是安全网关在被动防御范畴内的自然进化。2011年,我在《竞速下一代防火墙》一文中曾经对相似产品形态做过分析,可以清晰地看到积木搭起来的过程。4年过去了,这个图基本没怎么发生变化,很多当时崭露头角的新特性如今仍然没得到用户的普遍认同——比如被大肆神话的沙盒,其实基本没有用户敢在网关里用起来。
一方面,作用在时间点的被动防御领域已经很久没有过革命性的技术出现,另一方面,基于数据分析、作用于时间段的主动防御正在逐步进入用户视野。从技术角度看,主动防御倒是和SoC有些相似,更加突出安全防护理念的变化(尤其是沾上“大数据”的光),强调通过信息关联成的行为模型去界定安全事件,再加以防护。它与被动防御间显然不是取代关系,理想情况下,应该是一1+1>2的整合加强,这已被认为是个正确的方向。
但现阶段对于很多企业用户来说,主动防御想要达到好效果,综合实施成本还是太高,价值难以体现。山石网科的发力点,就是在T系列上尽可能基于设备实现一定的主动防御特性,给客户以额外的价值。简单地说,T系列产品除了具备下一代防火墙的种种特性,还相当于一个SoC平台,只不过所有数据都由产品内不同模块汇总而来。其实这已经是不小的工程,为此山石网科不惜为T系列产品加入了专用的存储、计算资源去应对海量数据的分析工作。
经过一段时间的使用,我感觉T系列的主动防御主要做了三件事:首先,让你看到更多;其次,帮你在海量信息中梳理出攻击脉络;第三,如果需要,取证工作也能做。
看到更多是下一代墙比拼的重要指标,除了传统的入侵防护、病毒过滤等功能外,T系列还集成异常行为检测、高级威胁检测等功能,说白了就是要从里里外外方方面面地对流量做梳理,提供不同维度不同层面的检测结果。这就像特别时期机场安检除了X光,还要过爆炸物乃至人肉检查一样,终归要比单一维度的防护更安全。
但信息越多,关联提炼的成本就越高,过程就越复杂。尤其在T系列统一的事件呈现界面iCenter里,海量告警信息会让人有种喘不上气的感觉。山石网科应该也意识到了这一点,在新版本中加入了“攻击链”的设定。这是个非常有创意的功能,设备会按通常安全威胁的传播/发作过程,将所有有关的事件告警信息以IP为维度全部关联归类,运气好(其实应该说是点儿背)的话甚至能给运维人员完整复现一次攻击入侵行为。我认为这才是T系列最强大的地方,也是有别于其它下一代墙的地方,它让数据真得能够“开口说话”,且无需用户做额外的人力物力投入。
在“异常行为检测”等引擎加入后,T系列上的部分事件告警就有了“确信度”的概念,需要运维人员自行加以判断。当“攻击链”汇总的信息不足以做出判断时,回溯原始报文就成了唯一的界定方式。得益于独立的海量存储,T系列可以实时对证据报文乃至上下关联报文进行记录,以备事后取证。相信从IT制度、IT规程的角度出发,这也是主动防御时代安全设备的必备功能吧。
纵观T5060多做的三件事,其实就是“看见”的三个不同层面。而“看见”本身就是一种价值,至少对于我和拉勾的运维兄弟来说,没有T5060的梳理分析,我们就不知道目前拉勾内网最大的不安全因素来自某关键业务系统,因为在威胁主机的告警排名中,它比其它所有主机的告警次数加起来还要多;没有T5060的梳理分析,我们也不会知道办公网到生产网的跳板机上有那么多异常行为……虽然设备无法也不合适直接处理这种不确定的流量,但至少给了我们明确提示,让接下来的工作更有目的性,我认为这就是价值的体现。回想起山石网科将T系列命名为“智能下一代防火墙”,搞得媒体、用户乃至友商通通不明觉厉——到底智能在哪?真用了才能体会到,这“智能”二字还真是有渊源的。