大數(shù)據(jù)時(shí)代電信運(yùn)營商如何守好“邊界”

隨著大數(shù)據(jù)時(shí)代的來臨，針對(duì)核心數(shù)據(jù)的網(wǎng)絡(luò)攻擊事件層出不窮，網(wǎng)絡(luò)安全火熱沸騰。國際方面，美國人事管理局2700萬政府雇員及申請(qǐng)人信息泄密；美國國稅局10萬名納稅人的財(cái)務(wù)信息泄露；美股券商Scottrade，460萬客戶敏感信息泄露；意大利間諜軟件公司HackingTeam被黑，包含多個(gè)零日漏洞、入侵工具和大量工作郵件及客戶名單的400G數(shù)據(jù)被傳到網(wǎng)上任意下載；國內(nèi)方面，鐵道部官方網(wǎng)站13萬用戶信息泄露；大麥網(wǎng)600萬用戶賬號(hào)密碼泄露并在黑產(chǎn)論壇公開售賣；?？低暠缓诳椭踩氪a導(dǎo)致被遠(yuǎn)程監(jiān)控；網(wǎng)易骨干網(wǎng)遭攻擊，百萬游戲用戶中斷；網(wǎng)絡(luò)攻擊日新月異，網(wǎng)絡(luò)安全事件層出不窮，全球網(wǎng)絡(luò)安全形勢十分嚴(yán)峻。

運(yùn)營商網(wǎng)絡(luò)邊界是攻防戰(zhàn)必爭之地，根據(jù)安全域的劃分，日常維護(hù)區(qū)、第三方接入?yún)^(qū)、DMZ區(qū)、日常辦公區(qū)、開發(fā)測試區(qū)等多種安全區(qū)均會(huì)是網(wǎng)絡(luò)攻防的主攻方向。而傳統(tǒng)防火墻應(yīng)對(duì)以APT為代表的各類高級(jí)威脅難以發(fā)揮作用，對(duì)復(fù)雜網(wǎng)絡(luò)攻擊手段的檢測能力、感知網(wǎng)絡(luò)異常行為、發(fā)現(xiàn)未知威脅方面均存在不足，要想取得網(wǎng)絡(luò)邊界攻防戰(zhàn)的勝利需要具有以大數(shù)據(jù)驅(qū)為基礎(chǔ)的安全管控能力，具有協(xié)同防御、智能封鎖的安全邊界設(shè)備以應(yīng)對(duì)新的威脅新的挑戰(zhàn)。

運(yùn)營商邊界安全的新一代威脅趨勢

網(wǎng)絡(luò)攻擊技術(shù)歷經(jīng)長達(dá)20多年的發(fā)展，新一代網(wǎng)絡(luò)威脅攻擊者采取了現(xiàn)有檢測體系難以檢測的方式方法，如未知漏洞利用、已知漏洞變形、特種木馬，并組合各種技術(shù)，包含社會(huì)工程學(xué)、釣魚、供應(yīng)鏈植入等，各種攻擊模式或組合能有效穿透大多數(shù)邊界防御體系，最終達(dá)到盜取內(nèi)部敏感信息或破壞目標(biāo)網(wǎng)絡(luò)的目的。新一代網(wǎng)絡(luò)威脅具有隱蔽性強(qiáng)、自動(dòng)化高、速度快、破壞力大等特點(diǎn)，現(xiàn)有主要網(wǎng)絡(luò)攻擊技術(shù)類型如下：

高級(jí)隱遁技術(shù)（AET）：即將已知的逃避技術(shù)進(jìn)行新的各種組合，形成高級(jí)逃避能力，從而繞過網(wǎng)關(guān)設(shè)備檢測，形成網(wǎng)絡(luò)攻擊。

0DAY漏洞威脅：0DAY漏洞由于系統(tǒng)還未修補(bǔ)，而大多數(shù)用戶、廠商也不知道漏洞的存在，因此是攻擊者入侵系統(tǒng)的利器。

多態(tài)病毒木馬威脅：已有病毒木馬通過修改變形就可以形成一個(gè)新的未知的病毒和木馬，而惡意代碼開發(fā)者也還在不斷開發(fā)新的功能更強(qiáng)大的病毒和木馬，他們可以繞過現(xiàn)有基于簽名的檢測體系發(fā)起攻擊。

混合性威脅：攻擊者混合多種路徑、手段和目標(biāo)來發(fā)起攻擊。

定向攻擊威脅：攻擊者發(fā)起針對(duì)具體目標(biāo)的攻擊。

高級(jí)持續(xù)性威脅：APT是以上各種手段（甚至包括傳統(tǒng)間諜等非IT技術(shù)手段）的組合，是威脅中最可怕的威脅，是攻擊者精心策劃，為了達(dá)成即定的目標(biāo)，長期持續(xù)的攻擊行為。

運(yùn)營商邊界安全的新一代防御技術(shù)趨勢

運(yùn)營商網(wǎng)絡(luò)邊界是攻防戰(zhàn)的第一主戰(zhàn)場，防火墻則是攻防戰(zhàn)爭中的“先鋒官”，在整個(gè)防御體系中地位舉足輕重。威脅多變，基于簽名的傳統(tǒng)邊界防火墻產(chǎn)品已經(jīng)無法抵御新一代威脅，因此對(duì)新一代智慧防火墻提出全新防御技術(shù)挑戰(zhàn)，那么智慧防火墻應(yīng)該具有哪些必要的防御技術(shù)能力呢？

n對(duì)攻擊載體的多緯度檢測能力

智慧防火墻的檢測能力是安全防護(hù)能力的核心，根據(jù)新一代網(wǎng)絡(luò)威脅的特性，對(duì)每個(gè)攻擊載體點(diǎn)的檢測，需要采用多維度的深度檢測機(jī)制，確保攻擊者難以逃過檢測。智慧防火墻應(yīng)具有傳統(tǒng)的基于簽名的檢測（已知攻擊）、基于深度內(nèi)容的檢測（抗逃逸的未知威脅）、基于虛擬行為的檢測（抗逃逸的未知威脅）、基于事件關(guān)聯(lián)的檢測（抗逃逸的未知威脅）、基于全局?jǐn)?shù)據(jù)分析的檢測（抗逃逸的未知威脅）等檢測手段，考慮智慧防火墻高性能要求，各種檢測技術(shù)必須存在，但未必均在智慧防火墻上實(shí)現(xiàn)，可以通過云端或本地第三方設(shè)備實(shí)現(xiàn)，并采用智能聯(lián)動(dòng)實(shí)現(xiàn)威脅防御。

n互聯(lián)網(wǎng)大數(shù)據(jù)驅(qū)動(dòng)防火墻安全管控能力及威脅防御能力

云端互聯(lián)網(wǎng)數(shù)據(jù)具有協(xié)議復(fù)雜、業(yè)務(wù)多樣、威脅眾多等特點(diǎn)，是挖掘協(xié)議樣本和威脅樣本最好最實(shí)時(shí)的數(shù)據(jù)源泉。基于云端強(qiáng)大的分布式計(jì)算能力對(duì)互聯(lián)網(wǎng)大數(shù)據(jù)獲取、分析、挖掘并采用人工智能、機(jī)器學(xué)習(xí)的全自動(dòng)協(xié)議特征提取技術(shù)，第一時(shí)間提取出新應(yīng)用特征并動(dòng)態(tài)實(shí)時(shí)同步至防火墻應(yīng)用特征簽名庫中，做到新應(yīng)用發(fā)布與應(yīng)用特征發(fā)布“無延時(shí)”，實(shí)現(xiàn)防火墻產(chǎn)品應(yīng)用緯度的及時(shí)精準(zhǔn)管控；同時(shí)對(duì)互聯(lián)網(wǎng)大數(shù)據(jù)采用惡意行為檢測、虛擬沙箱執(zhí)行等技術(shù)實(shí)現(xiàn)對(duì)IP、URL、文件等深度執(zhí)行、分析及威脅挖掘，最終獲取IP、URL、文件信譽(yù)度及黑、白、灰名單庫等互聯(lián)網(wǎng)情報(bào)，并動(dòng)態(tài)實(shí)時(shí)同步至防火墻威脅情報(bào)簽名庫中，能及時(shí)有效的抵御木馬、釣魚、蠕蟲、病毒、僵尸網(wǎng)絡(luò)等已知及未知威脅，有效防御逃逸威脅及APT攻擊；智慧防火墻需要具有互聯(lián)網(wǎng)大數(shù)據(jù)及數(shù)據(jù)挖掘技術(shù)作為管控及威脅防御能力的技術(shù)支撐。

協(xié)同防御、智能封鎖

防御體系是安全產(chǎn)品綜合解決方案，更需要安全產(chǎn)品間各種防御技術(shù)的智能聯(lián)動(dòng)與協(xié)同，在此防御體系中，防火墻則是處理結(jié)果的動(dòng)作有效執(zhí)行者。傳統(tǒng)安全一般只實(shí)現(xiàn)了防火墻與IDS的聯(lián)動(dòng)，新一代威脅的隱蔽性，決定了威脅的檢測與防御必須在云端、網(wǎng)絡(luò)、終端的各節(jié)點(diǎn)的安全設(shè)備進(jìn)行多層檢測及防御，然而在整個(gè)防御體系統(tǒng)中，防火墻是受保護(hù)網(wǎng)絡(luò)的大門，進(jìn)出的雙向流量必須通過這道門，因此無論節(jié)點(diǎn)的任何安全設(shè)備發(fā)現(xiàn)威脅，都需要與防火墻形成動(dòng)態(tài)聯(lián)動(dòng)策略，防火墻實(shí)現(xiàn)門禁的智能封鎖。例如：云端互聯(lián)網(wǎng)情報(bào)系統(tǒng)、鏡像檢測的內(nèi)網(wǎng)大數(shù)據(jù)分析系統(tǒng)、終端安全管理系統(tǒng)、終端病毒檢測系統(tǒng)等各節(jié)點(diǎn)安全設(shè)備檢測出威脅或異常，均可以通知防火墻動(dòng)態(tài)生成安全規(guī)則，實(shí)行威脅管制并告警。因此智慧防火墻必須具有協(xié)同防御、智能封鎖能力。

從“看得見”的新視角感知網(wǎng)絡(luò)異常行為，發(fā)現(xiàn)未知威脅

防火墻產(chǎn)品部署的位置及其數(shù)據(jù)處理技術(shù)，決定了其具有天然的網(wǎng)關(guān)數(shù)據(jù)獲取、分析、關(guān)聯(lián)及展示能力，通過對(duì)流經(jīng)的網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行分類可視化展示及指標(biāo)關(guān)聯(lián)分析展示（如終端數(shù)據(jù)展示、業(yè)務(wù)數(shù)據(jù)展示、網(wǎng)絡(luò)性能數(shù)據(jù)指標(biāo)展示等），形成各種緯度的數(shù)據(jù)模型，并與正常網(wǎng)絡(luò)流量下的數(shù)據(jù)模型進(jìn)行對(duì)比分析加之人為判斷，從而發(fā)現(xiàn)網(wǎng)絡(luò)中的異常行為，實(shí)現(xiàn)慢性DDOS攻擊及漏檢測的變種木馬、加殼病毒、僵尸網(wǎng)絡(luò)等威脅發(fā)現(xiàn)、自動(dòng)化阻斷或告警；

面向內(nèi)容的融合安全

傳統(tǒng)防火墻產(chǎn)品主要圍繞網(wǎng)絡(luò)安全防護(hù)，智慧防火墻在此基礎(chǔ)上更需強(qiáng)調(diào)面向應(yīng)用、面向內(nèi)容的融合安全。高性能基礎(chǔ)上，智慧防火墻必須具有應(yīng)用層協(xié)議識(shí)別及解析能力（如Mail、HTTP、IM、FTP、P2P等等）和應(yīng)用層協(xié)議承載的數(shù)據(jù)文件、可執(zhí)行文件、URL、HTML（含多層壓縮）等進(jìn)行內(nèi)容還原并深度安全檢查，實(shí)現(xiàn)敏感信息過濾，在網(wǎng)關(guān)位置防止敏感信息泄露。

系統(tǒng)安全可靠，無堅(jiān)不摧

智慧防火墻自身安全至關(guān)重要，同樣也是攻擊入侵的主要目標(biāo)，因此自身系統(tǒng)需確保無漏洞、安全可靠。系統(tǒng)管理方面需關(guān)閉一切不必要的服務(wù)（SSH、HTTPS、TELNET等）、口令復(fù)雜程度高且定期更新、設(shè)備受限管理、安全策略配置嚴(yán)謹(jǐn)精細(xì)等等。

綜上所述，智慧防火墻核心威脅檢測思想是要具有智慧的能力，就是由深度檢測平面（多維度檢測能力）、云端數(shù)據(jù)平面（大數(shù)據(jù)威脅挖掘）、協(xié)同防御平面（聯(lián)動(dòng)方案能力）、異常行為發(fā)現(xiàn)平面（看得見的安全）、內(nèi)容可視平面（內(nèi)容安全）、系統(tǒng)自身安全平面（系統(tǒng)健壯性）構(gòu)成一個(gè)六維立體的防火墻網(wǎng)關(guān)威脅防御體系，有攻擊者可能會(huì)饒過一個(gè)點(diǎn)或一個(gè)面的檢測，想全面地逃避掉檢測，則非常困難。智慧防火墻只有實(shí)現(xiàn)了以上的六面立體的威脅防御能力，才能夠?qū)崿F(xiàn)對(duì)下一代威脅（包括APT）的完美防御。

總結(jié)

面對(duì)運(yùn)營商海量的數(shù)據(jù)及隱藏其中的各種高級(jí)威脅，部署在運(yùn)營商各安全域邊界的防火墻不能再孤軍作戰(zhàn)，而是需要建立起協(xié)同防御的安全體系，并依托于持續(xù)更新的威脅情報(bào)和不斷加強(qiáng)的技術(shù)能力，持續(xù)提升自身提升發(fā)現(xiàn)和響應(yīng)高級(jí)威脅的能力，從而在邊界更好的對(duì)抗各種安全威脅。因此智慧防火墻應(yīng)運(yùn)而生。