安博通看RSA2019：聚變的前夜，流量安全產(chǎn)品觀察

簡(jiǎn)介：安博通詳解流量安全產(chǎn)品的熱點(diǎn)和趨勢(shì)。

安博通多年來(lái)專(zhuān)注于網(wǎng)絡(luò)安全通信操作系統(tǒng)套件的研發(fā)工作，對(duì)Network Security領(lǐng)域產(chǎn)品的發(fā)展保持長(zhǎng)期關(guān)注。此次參加2019 RSAC，我們?cè)噲D站在系統(tǒng)平臺(tái)的角度追蹤流量安全產(chǎn)品的熱點(diǎn)和趨勢(shì)，旨在為安全圈的小伙伴分享規(guī)劃調(diào)研所需的一手信息。

當(dāng)我們談?wù)摿髁堪踩a(chǎn)品時(shí)，它可能包含了防火墻、IPS、WAF甚至NPBs等基于網(wǎng)絡(luò)流量實(shí)現(xiàn)安全功能的產(chǎn)品，這些都?xì)w類(lèi)在Network Security范疇。從方案的分層來(lái)看，流量安全產(chǎn)品位于底層，除了直接處置安全問(wèn)題外，還負(fù)責(zé)為SIEM、UEBA等高層安全方案提供原始信息，筆者對(duì)2019RSAC上的多品類(lèi)流量安全產(chǎn)品進(jìn)行了綜合視角觀察。

新介質(zhì)仍未進(jìn)入主戰(zhàn)場(chǎng)

新通信介質(zhì)的出現(xiàn)，常常被期待成為安全革命的推手。自云安全大火后，眾多廠商紛紛后悔沒(méi)有趕上第一批紅利，所以對(duì)新介質(zhì)上的新安全方案格外敏感，力圖提前布局上車(chē)。今年的RSAC上，A10 Networks等公司著重宣傳了5G &IoT 安全方案，Palo alto也在今年2月發(fā)布5G ready的K2系列下一代防火墻。

　　圖1：A10 Networks提出的5G/IoT安全方案

在展臺(tái)溝通中，廠商工作人員表示目前在美國(guó)市場(chǎng)，IoT、工控、5G等介質(zhì)安全盡管概念炒得很熱，但產(chǎn)業(yè)鏈不夠成熟，距離大規(guī)模落地應(yīng)用仍有距離，這與國(guó)內(nèi)的現(xiàn)狀基本類(lèi)似。云安全已經(jīng)火熱了多年，在今天仍然不能完全兌現(xiàn)其商業(yè)價(jià)值，而其它新介質(zhì)上的安全方案也還未進(jìn)入主戰(zhàn)場(chǎng)。

為經(jīng)典架構(gòu)的脆弱性持續(xù)買(mǎi)單

談到流量威脅，眾多安全問(wèn)題的源頭還要追溯到經(jīng)典互聯(lián)網(wǎng)架構(gòu)下的協(xié)議設(shè)計(jì)，這些協(xié)議是在互聯(lián)網(wǎng)絕對(duì)安全的前提下設(shè)計(jì)的，存在天然的安全缺陷，典型的例子就是今年的主角DNS協(xié)議。

　　圖2：Palo Alto介紹DNS安全特性

在會(huì)場(chǎng)的Speaking Session上，Palo alto宣講了其DNS安全新方案，也是其威脅防御的新主打特性，使用Machine Learning和威脅情報(bào)手段預(yù)測(cè)和封堵惡意域名，以及阻止惡意數(shù)據(jù)通過(guò)DNS隧道進(jìn)行傳輸和C&C攻擊，Zscaler、梭子魚(yú)等公司也都發(fā)布了DNS隧道安全解決方案。

讓人感到新舊恍惚的是，在2019年，世界最頂尖的安全公司使用最先進(jìn)的技術(shù)，在解決1984年發(fā)布協(xié)議存在的問(wèn)題。由于經(jīng)典架構(gòu)中通信協(xié)議已經(jīng)形成事實(shí)標(biāo)準(zhǔn)，大量應(yīng)用在其基礎(chǔ)上已經(jīng)枝繁葉茂，所以根部的協(xié)議的更新非常緩慢，對(duì)經(jīng)典架構(gòu)的不斷加固是永恒的主題。

SD-WAN觀察：遠(yuǎn)不止安全

SD-WAN是2018年的國(guó)內(nèi)安全圈大火的流量IP，筆者走訪調(diào)研了RSAC上的大部分SD-WAN廠商，以下是三點(diǎn)直觀感受。

首先，SD-WAN可能不是純安全公司的菜。SD-WAN方案的核心是更好地解決調(diào)度、性能、云訪問(wèn)等通信問(wèn)題，而安全只是附加項(xiàng)。領(lǐng)先的SD-WAN提供商，要么是通信廠商同時(shí)具備安全方案，例如Cisco;要么是專(zhuān)注于通信技術(shù)，而通過(guò)與專(zhuān)業(yè)安全廠商合作的方式解決流量安全問(wèn)題，例如Aryaka。對(duì)于純安全公司，一般不具備強(qiáng)大的通信基因，很難提供整體方案，轉(zhuǎn)而對(duì)SD-WAN整體提供商進(jìn)行安全能力輸出，可能是更好的選擇。

　　圖3：Aryaka SD-WAN方案中與安全廠商合作

其次，SD-WAN方案的關(guān)鍵是資源驅(qū)動(dòng)，而非技術(shù)革命。優(yōu)秀的SD-WAN方案需要提供快速部署、實(shí)時(shí)的云數(shù)據(jù)中心APP拉取、本地CDN接入等服務(wù)，這需要服務(wù)商提供綜合性資源。一些國(guó)內(nèi)的SD-WAN方案激進(jìn)地提出使用SDN控制完全替代傳統(tǒng)協(xié)議，是完全不現(xiàn)實(shí)的，經(jīng)典協(xié)議(例如OSPF)非常復(fù)雜，大型廣域網(wǎng)的網(wǎng)絡(luò)收斂非常復(fù)雜，絕非一朝一夕夠隨便替代。

第三，SD-WAN作為feature出現(xiàn)。在Fortinet等廠商的流量安全產(chǎn)品中，SD-WAN作為一個(gè)新feature出現(xiàn)，由傳統(tǒng)的路由協(xié)議、隧道等技術(shù)解決連通性問(wèn)題，再通過(guò)SD-WAN針對(duì)特定的應(yīng)用實(shí)現(xiàn)高級(jí)設(shè)定，分支邊界依然是NGFW和UTM的市場(chǎng)，并沒(méi)有CPE設(shè)備的革命出現(xiàn)。

　　圖4：Fortinet提供支持SD-WAN特性的NGFW/UTM

先手棋：情報(bào)＋預(yù)測(cè)

　　圖5：提出領(lǐng)先一步的概念

流量安全產(chǎn)品從基因起源就處于滯后位置，傳統(tǒng)的特征匹配對(duì)于0day等未知威脅無(wú)能為力，所以廠商普遍提出轉(zhuǎn)后手為先手的概念，也就是Palo alto提出的“Stay a step ahead”。在本次RSAC，廠商主要通過(guò)以下兩個(gè)手段來(lái)解決這個(gè)問(wèn)題：

l威脅情報(bào)

流量安全產(chǎn)品接入威脅情報(bào)后，其理論的特征范圍從本地?cái)U(kuò)大到整個(gè)云情報(bào)庫(kù)，威脅情報(bào)的更新頻率非常迅速，可以彌補(bǔ)容量短板;出現(xiàn)突發(fā)安全事件時(shí)，情報(bào)平臺(tái)可緊急推送消息到流量安全產(chǎn)品，聯(lián)動(dòng)完成自動(dòng)緊急防護(hù)，從而解決實(shí)時(shí)性問(wèn)題。總體而言，針對(duì)長(zhǎng)久以來(lái)的頑疾，情報(bào)接入是一劑對(duì)癥的良藥。

　　圖6：來(lái)自中國(guó)的領(lǐng)先威脅情報(bào)廠商微步在線展臺(tái)

l分析預(yù)測(cè)

在自適應(yīng)安全理論中，事前預(yù)測(cè)是重要的一環(huán)，流量安全產(chǎn)品一般使用深度分析實(shí)現(xiàn)預(yù)測(cè)。在算法方面，一種常見(jiàn)方法是貝葉斯網(wǎng)絡(luò)，這種方法常用于預(yù)測(cè)天氣、疾病和市場(chǎng)趨勢(shì)，有著廣泛的應(yīng)用。簡(jiǎn)單而言，貝葉斯網(wǎng)絡(luò)是有向概率圖，構(gòu)建的關(guān)鍵是事件關(guān)聯(lián)邏輯和概率賦值，再將綜合概率近似轉(zhuǎn)化到獨(dú)立概率的計(jì)算上，例如我們可以根據(jù)資產(chǎn)的漏洞狀況、補(bǔ)丁狀況、訪問(wèn)可達(dá)性來(lái)預(yù)測(cè)其受到外部攻擊的概率。

　　圖7：貝葉斯網(wǎng)絡(luò)舉例

解還是不解，是個(gè)問(wèn)題

對(duì)于SSL加密流量的安全檢測(cè)，業(yè)界有兩種技術(shù)方向，即解密方式和不解密方式。

Gigamon針對(duì)SSL流量提出一次解密全棧安全的解決方案，旨在降低多個(gè)設(shè)備重復(fù)SSL解密帶來(lái)的巨大性能消耗，也讓網(wǎng)絡(luò)結(jié)構(gòu)更清晰。在此方案中，Gigamon推薦將所有流量鏡像到NPBs設(shè)備完成流量預(yù)處理、SSL解密和實(shí)時(shí)阻斷，再接入旁路部署的流量安全設(shè)備進(jìn)行安全檢測(cè)。

　　圖8：Gigamon一次解密方案

如果用戶(hù)不想采購(gòu)額外的NPBs設(shè)備或改變網(wǎng)絡(luò)架構(gòu)，可以使用不解密直接進(jìn)行安全檢測(cè)的方案。在Cisco等廠商提出的方案中，通過(guò)識(shí)別TLS原數(shù)據(jù)中Client Hello報(bào)文內(nèi)容、報(bào)文的長(zhǎng)度和順序、會(huì)話的方向和流量比例等內(nèi)容，再應(yīng)用機(jī)器學(xué)習(xí)方法，直接實(shí)現(xiàn)威脅檢測(cè)或者流量應(yīng)用識(shí)別。

　　圖9：Cisco提出無(wú)需解密的TLS原數(shù)據(jù)威脅檢測(cè)

兩種方案對(duì)比之下，各自的缺陷都比較明顯，在性能成本和檢測(cè)率方面難以達(dá)到平衡，對(duì)于企業(yè)級(jí)用戶(hù)來(lái)說(shuō)，SSL流量安全仍然會(huì)是重要的難題。

歷史重現(xiàn)？

在能見(jiàn)度有限的霧天，一個(gè)人走到岸邊看著一眼望不到邊的水域，那么這個(gè)人無(wú)法分清眼前的是湖還是海，這個(gè)場(chǎng)景和目前的流量安全產(chǎn)品市場(chǎng)有些相似。隨著業(yè)界生態(tài)逐步成熟，兩三年前還能吸引眼球的威脅情報(bào)、未知威脅分析、沙箱等名詞，目前已經(jīng)幾乎成為流量安全產(chǎn)品的標(biāo)配，各領(lǐng)先廠商提供的方案趨于相同，差異性縮小。

在UTM時(shí)代我們?cè)龅竭^(guò)與今天類(lèi)似的遭遇：產(chǎn)品堆砌大量特性、模塊間缺乏邏輯關(guān)聯(lián)、產(chǎn)品同質(zhì)化嚴(yán)重。時(shí)勢(shì)造英雄，Palo alto首先推出了以三個(gè)ID為靈魂的NGFW產(chǎn)品，一舉引領(lǐng)了時(shí)代潮流直到如今。歷史總是相似的，如今流量安全產(chǎn)品再次面臨10年前特性堆積的局面，當(dāng)量變已經(jīng)足夠時(shí)，質(zhì)變的歷史機(jī)會(huì)是否已經(jīng)在向我們?cè)俅螕]手?

　　圖10：Palo Alto引領(lǐng)風(fēng)潮的三個(gè)ID架構(gòu)

聚變：趨勢(shì)建議

筆者認(rèn)為，流量安全產(chǎn)品的技術(shù)積累已經(jīng)接近聚變的臨界點(diǎn)，以下三個(gè)趨勢(shì)將會(huì)在下一代產(chǎn)品設(shè)計(jì)中產(chǎn)生價(jià)值，可作為產(chǎn)品規(guī)劃的參考。

發(fā)現(xiàn)新ID

2019年RSAC創(chuàng)新沙盒的冠軍是Axonius，其主要業(yè)務(wù)是網(wǎng)絡(luò)安全資產(chǎn)管理，這說(shuō)明了資產(chǎn)在網(wǎng)絡(luò)安全領(lǐng)域的重要性，所以資產(chǎn)ID將會(huì)是新一代產(chǎn)品的重要ID。對(duì)于流量安全產(chǎn)品來(lái)說(shuō)，沿用原有基于USER-ID的安全思路，顯然無(wú)法貼切地解決資產(chǎn)安全問(wèn)題，流量安全的下一步重點(diǎn)將是面向資產(chǎn)化。

除了資產(chǎn)ID以外，基于Credential(憑據(jù))、社交網(wǎng)絡(luò)賬戶(hù)的攻擊頻發(fā)，相關(guān)領(lǐng)域的創(chuàng)新公司大量涌現(xiàn)，這些新ID都是在原有USER-ID、APP-ID、Context-ID的架構(gòu)上繼續(xù)提煉和升華，筆者認(rèn)為新一代產(chǎn)品需要挖掘更多ID，并基于這些ID構(gòu)建新一代架構(gòu)，就像當(dāng)年P(guān)alo Alto做的那樣。

　　圖11：RSAC 2019創(chuàng)新沙盒冠軍Axonius

云管端三管齊下

對(duì)于流量安全產(chǎn)品來(lái)說(shuō)，其局限性在于通過(guò)流量分析可以獲取的信息范圍非常有限，例如，資產(chǎn)信息是無(wú)法完全通過(guò)流量分析獲取準(zhǔn)確信息的，這時(shí)就需要通過(guò)與Endpoint產(chǎn)品進(jìn)行結(jié)合，從而獲取一手的最準(zhǔn)確的資產(chǎn)信息。

為了保持先手，流量安全產(chǎn)品必須依賴(lài)云情報(bào)和云分析。

所以，對(duì)于一個(gè)成熟的流量安全產(chǎn)品方案，筆者認(rèn)為其應(yīng)該具備以下的要素：

l情報(bào)云：使用威脅情報(bào)等方式解決未知威脅和突發(fā)事件響應(yīng)

l分析云：使用先進(jìn)的分析方法實(shí)現(xiàn)事件預(yù)測(cè)

l終端聯(lián)動(dòng)：與Endpoint產(chǎn)品聯(lián)動(dòng)獲取資產(chǎn)信息，覆蓋主機(jī)安全層面

　　圖12：SOPHOS提出的云管端一體威脅檢測(cè)方案

智能化大勢(shì)所趨

未來(lái)三年內(nèi)，Deep Learning等AI技術(shù)的可獲取性將會(huì)進(jìn)一步增強(qiáng)，計(jì)算資源預(yù)計(jì)也會(huì)更加強(qiáng)大，流量安全設(shè)備現(xiàn)在提供的攻擊事件鏈?zhǔn)椒治?、協(xié)議脆弱性分析、異常行為和流量發(fā)現(xiàn)將能夠以更低的成本提供更聰明的方案。同UTM到NGFW的革命一樣，下一代產(chǎn)品不會(huì)僅僅是大量技術(shù)堆砌，而一定會(huì)融入更多現(xiàn)在安全管理類(lèi)產(chǎn)品的特性，例如可詳細(xì)定制的工作流和業(yè)務(wù)流，屆時(shí)的流量安全產(chǎn)品可能發(fā)展成具備更多機(jī)器人屬性的Better產(chǎn)品。

　　圖13：2019 RSAC主題：Better

結(jié)語(yǔ)

自2009年左右下一代防火墻問(wèn)世后，多年來(lái)還未有更新的品類(lèi)名稱(chēng)出現(xiàn)，但從技術(shù)走向分析，自2015年后產(chǎn)品智能化發(fā)展趨勢(shì)已經(jīng)非常明確，到今年已經(jīng)完成了大量的成熟技術(shù)的積累。在此時(shí)間，產(chǎn)品發(fā)展可能再次面臨由量變產(chǎn)生質(zhì)變的重要節(jié)點(diǎn)，值得我們重點(diǎn)關(guān)注。

關(guān)于安博通

北京安博通科技股份有限公司(簡(jiǎn)稱(chēng)“安博通”)，成立于2011年，以“看透安全，體驗(yàn)價(jià)值”理念為核心，是國(guó)內(nèi)領(lǐng)先的可視化網(wǎng)絡(luò)安全專(zhuān)用核心系統(tǒng)產(chǎn)品與安全服務(wù)提供商。其自主研發(fā)的SPOS可視化網(wǎng)絡(luò)安全系統(tǒng)套件，已成為眾多一線廠商與大型解決方案集成商最廣泛搭載的網(wǎng)絡(luò)安全系統(tǒng)平臺(tái)，是國(guó)內(nèi)眾多部委與央企安全態(tài)勢(shì)感知平臺(tái)的核心組件與數(shù)據(jù)來(lái)源。

生成海報(bào)

免責(zé)聲明：本網(wǎng)站內(nèi)容主要來(lái)自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請(qǐng)進(jìn)一步核實(shí)，并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏，概不負(fù)任何法律責(zé)任。任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁(yè)或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí)，應(yīng)及時(shí)向本網(wǎng)站提出書(shū)面權(quán)利通知或不實(shí)情況說(shuō)明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后，將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí)，溝通刪除相關(guān)內(nèi)容或斷開(kāi)相關(guān)鏈接。