随着网络应用的普及,各种新兴安全威胁接踵而至,它们无处不在,无孔不入,可以轻而易举地穿透看似坚不可摧的安全防护体系。原因何在?
威胁,隐在深处
如今,每天都有海量的安全威胁出现,稍有懈怠,各种威胁就会在使用者不经意地点击鼠标或者浏览网页时趁虚而入,以达到其不可告人的目的。尤其是Web威胁,不再“招摇过市”,也不带有显著的非法特征,而是纷纷藏身于正常的应用和协议之中,让人根本无法对症下药。
然而,随着业务的发展,企业网络中必须的合法应用逐渐增多,必须借助的协议和端口也越来越多,一刀切似地将其封杀是不现实的。例如,目前被广泛使用的P2P、网络视频、IM、网游、在线交易、SNS等应用,会带来各种安全隐患,但对于将主要业务依托于互联网的企业而言,几乎不可能因此而完全封杀支撑这些应用背后的协议(例如HTTP协议)。
而且,每每有新的应用出现,或者有新的漏洞被纰漏,黑客们都会紧紧跟上,通过各种尚未被安全产品发现的手段去制造、传播新的安全威胁。
面对隐藏在深处的Web威胁,传统的安全产品无力从众多合法应用中找出混入其中的风险,失效已经成为必然。
自知,变为主动
尽管很多防病毒厂商推出了“云安全”技术,将大量繁琐的威胁处理工作交给了后台的服务器群组去完成,加快了发现/拦截新安全威胁的速度,在一定程度上降低了网络受攻击、系统被破坏的可能。
然而,要想真正拦截Web威胁,从正常的应用或协议中快速找到并拦截恶意的内容,才是解决问题的根本——而这,恰恰是传统防火墙的劣势。
要想做好Web防护,就必须清楚、有效地识别网络中的各种应用及其状态。然而,传统的防火墙,无论是应用级防火墙还是端口级防火墙,主要都是针对网络层面攻击的,只能以通过设置可访问的端口或应用的方式,把恶意访问排除在外。
但现在的Web威胁显然不再是非“黑”即“白”那么简单,如果不能有效分辨出正常应用或协议中的恶意内容,就只能采取“放行”或“阻止”的策略——放行,会大大降低网路的安全系数;阻止,则会影响正常的业务往来——这显然不是问题的真正解决之道。
所以,解决问题的关键在于“自知”。只有清楚地知道了什么人、在什么时间、什么地点、进行了什么行为、可能产生哪些事件,并且有针对性地放行或阻止,才可能在保证正常业务的前提下获得最大的安全。
可视化,一切尽在掌握
可视化是安全的关键。没有可视化就不会有真正的安全,因为只有正确地识别出网络流量、接入行为、应用情况,并对其进行细粒度分析,才可能把各种Web威胁一网打尽。
◆网络可视化:不再局限于查看IP地址、接口等基本内容,还要对设备状态、带宽使用情况、网络流量趋势等方面有深入的了解。
◆接入可视化:不再局限于静态的IP、用户等简单内容,应该可以明确基于用户、角色的动态身份管理、资源分配、状态监控、安全审计等。
◆应用可视化:不再局限于IP、TCP/UDP端口的静态识别,应该是基于内容和行为的动态分析、应用业务的优化与精细化管理,还可以通过统计集、审计日志、审计数据、HSM等来体验可视化,通过可视化随时了解用户网络的真实状况,为做进一步的业务升级和精细化管理提供支撑。
目前有很多优秀的安全产品都引入了“可视化”的概念,例如Hillstone山石网科多核安全网关就把可视化很好地融入到安全之中,可以轻松实现网络可视化、接入可视化、应用可视化,让企业安全尽在掌握。而且,它还采用多核Plus G2硬件架构,具备很强的处理性能,给应用可视提供了可靠的硬件基础。
