当前位置:
产品服务 / Products
360新一代智慧防火墙-新边界防御解决方案V1.2
    发布时间: 2019-07-04 18:50    
360新一代智慧防火墙
新边界防御解决方案

背景与挑战
当前最为突出的边界安全问题
漏洞频发、突发
威胁隐匿于内部
安全管理难落地
传统防护手段和产品的局限性
原理:预设策略、静态匹配
后果:绕过、失陷
树立正确的“网络安全观”
构建检测、响应能力

解决方案
新边界防御的指导思想
巩固防线纵深
迈向积极防御
新边界防御解决方案全景图

解决方案的特点
智慧防御
云端协防
应急响应
终端协防
联控
协防
智慧感知
基于NDR的失陷主机检测、处置
利用云镜进行全局网络威胁感知
智慧管理
通过SMAC实现全景式智能管理
价值分析
建立威胁预防能力
建立全局感知能力
建立快速响应能力


防火墙是一种“古老”的安全设备,就像守护城门的哨卡,部署在网络的各级边界,对可能侵入的威胁保持时刻警惕。
过去20年,边界防护技术发生过数次代级演进,随之而来的是防火墙产品能力的持续提升,哨兵识别敌人的手段更丰富,执行的检查更加严格,比如从前的防火墙只关注IP地址、端口或者数据包的包头,而现在的防火墙则开始关注网络流量中的人、行为和内容。
多数人会认为,只要守好了网络的大门,威胁就无法侵入。然而,安全永远是攻防的智力对抗,哨兵变得越来越聪明,正是因为敌人变得更加狡猾,遗憾的是,哨兵只是更加的勤奋,而并没有变的更加聪明,防护手段并没有跟上威胁演进的脚步。
为什么这么说?因为相当一段时间里,我们的基本假设是“哨兵可以识别所有威胁,只要检查的更加细致,那就一定能够阻止入侵”,因此,一直以来,依靠预设的规则并进行静态的匹配,几乎成了安全防护的唯一方法论,而威胁俨然已经今非昔比,形态多变、手段多样,对于哨兵而言,寻找规律、掌握特征越来越困难。
最终导致的结果,就是威胁可以绕过防守,进而造成失陷。这些再一次印证了一句话“安全是动态的,不是静态的” !


网络安全能力滑动标尺模型能够很好地阐述组织安全能力演进的规律。这是一个组织安全能力进化的过程。下一个阶段的安全能力不是完全抛弃掉上一个阶段的产品和技术,而是依赖上一个阶段构建的安全能力,是叠加演讲的过程,而不是淘汰演进。
1、架构安全。在系统规划、建设、运维的过程中充分考虑安全防护的建设
2、被动防御。强调不依赖人的参与,依靠传统的安全设备自动执行预先设定好的安全策略,目的是缩小供给面,消耗攻击者的资源,降低攻击者的自由度,过去20多年,组织安全能力的建设主要在这个层面开展,建立纵深防御体系成为流行的做法。
3、积极防御。强调人员的参与,对所防御范围内的威胁进行持续的监控,学习经验和应用知识的过程。通过持续的检测,主动消费威胁情报,获取当前的安全态势,从而采取行动,对抗攻击者。
4、威胁情报。收集数据,生产威胁情报,并进一步分析验证,甚至进行“狩猎”,追踪攻击者。
5、进攻反制。政企客户唯一的手段是拿起法律武器。其它主要是国家层面,企业组织层面很少能开展。
多年来我们一直偏重于架构安全(漏洞管理、系统加固、安全域划分等)和被动防御能力(IPS、WAF、AV等)的建设,

能力建设遭遇发展瓶颈,简单通过购买更多的安全设备无法使安全能力有提升,

需要在人参与下,开展基于安全运营能力的积极防御能力的建设。


新边界防御仍然以边界部署的防火墙为核心,但不再是孤零零的盒子,而是讲究数据协同、人机协同以提升安全有效性
方案的特点和优势:
首先,这个方案不再是孤立的防火墙或是防火墙、IPS等设备的物理叠加,方案中防火墙和终端、云端都是在实时的进行协同联动的,多个安全部件间的数据共享驱动着防护策略的动态变化;
第二,这个方案是一个“防护与检测并重”的方案,不但要提升防护的强度,还要通过网络威胁感知中心做到时刻监测、防患于未然;
第三,对于规模化部署边界安全设备的用户而言,这个方案更加强调智能化的管理和应急处置的准确性和高效率,通过全网集中管理平台能够实现全景式的集中管理。


要把哨兵训练的更聪明,就需要让他掌握更多的“关键知识”,而一个人的脑力总是有限的,需要有新的信息注入。所以,我们在云端为防火墙构建了一个智能的“外脑”,帮他去分析、判断更为复杂的威胁。
这个外脑到底能做什么?
概括来讲,就是利用安全大数据产生更多的“关键知识”为防火墙所用,而关键之时从何而来,则是通过对终端、网络、行为、样本的全要素采集,掌握海量的安全数据,以云端高性能的运算和海量存储资源为基础,利用机器学习、人工智能的技术对数据进行深入的关联分析,使其产生更为全面的样本特征、威胁情报、异常行为和处置建议。
防火墙如何使用这些关键知识?
首先,如果说哨兵是通过事先掌握的人的相貌、体征来识别敌人,那么云端就像一个巨大的敌人照片库,并为哨兵提供快速的检索服务,哨兵将敌人的体貌特征信息发至云端,等待云端的检测结果,智慧防火墙的病毒云查杀、URL云过滤就是利用了云端接近百亿的恶意文件样本,使得防火墙能够更广泛、精准的识别威胁;
当然,一部分安全大数据的分析结果将会形成威胁情报,将情报提炼出的关键信息拿出来,与防火墙检测到的本地的行为数据进行对撞,对于高确定性的情报,可以实时的进行阻断,同时也能够发现样本特征无法检测到的威胁的线索,例如通过情报检测,发现内部的某个主机与一个恶意域名发生过一次连接,就像哨兵发现城内的某个人与敌人说过话,这些会成为挖掘高隐蔽性威胁的重要线索;
概括来讲,这些创新,使得一个古老的设备具备了“思考”的能力,边界防护得以重生,对于普通的攻击,可以实现更加精准的识别和阻断,而对于绕过检测、甚至已经存在的高级威胁,利用情报提供持续的监测、分析、和响应。