• _

  • 安博通看RSA2019:聚变的前夜,流量安全产品观察

    简短视频,自我媒体,一站式服务

    简介:amber解释交通安全产品的热点和趋势。

    Amboten多年来一直专注于网络安全通信操作系统套件的研发,并长期关注网络安全领域的产品开发。此次参加2019年RSAC,我们试图从系统平台的角度跟踪交通安全产品的热点和趋势,旨在为安全圈的小伙伴分享规划和研究所需的第一手信息。

    当我们谈论流量安全产品时,它可能包括防火墙、入侵防御系统、晶片甚至网络处理器以及其他基于网络流量实现安全功能的产品,所有这些都属于网络安全的范畴。从方案的分层来看,流动安全产品位于底层。除了直接处理安全问题,他们还负责为SIEM、UEBA和其他高级安全计划提供原始信息。笔者对2019年RSAC多类流动安全产品进行了全面的透视观察。

    新媒体尚未进入主战场。

    新通信媒体的出现通常被认为是安全革命的驱动力。自从云安全之火爆发以来,许多制造商后悔没有赶上第一批奖金,因此他们对新媒体上的新安全计划特别敏感,并试图提前上车。在今年的RSAC,A10网络和其他公司专注于推广5G物联网安全解决方案,而帕洛阿尔托也在今年2月发布了5G就绪K2系列下一代防火墙。

    1552297386401.jpeg

    Figure 1:5G/IoT Networks 1:A10 Networks提出的安全方案

    在展位交流中,厂商的工作人员表示,虽然IoT、工控、5G等媒体安全的概念在美国市场非常流行,但产业链还不够成熟,距离大规模应用还有一段距离,与中国目前的情况基本相似。云安全多年来一直是热门话题。今天,它仍然无法充分实现其商业价值,其他新媒体上的安全方案也没有进入主战场。

    不断为经典架构的漏洞买单

    说到流量威胁,许多安全问题的根源可以追溯到经典互联网架构下的协议设计。这些协议是在互联网绝对安全的前提下设计的,具有天然的安全缺陷。一个典型的例子是今年领先的域名系统协议。

    1552297386677.png

    图2:帕洛阿尔托引入域名系统安全功能

    在会议大厅的演讲环节,帕洛阿尔托宣布?似湫碌挠蛎低嘲踩苹庖彩瞧湫碌闹饕卜烙δ堋;餮昂屯睬楸ㄓ糜谠げ夂妥柚苟褚庥蛎⒎乐苟褚馐萃ü鼶NS隧道和CC攻击传输。Zscaler、barracuda等公司也发布了DNS隧道安全解决方案。

    让人们模糊地感到新旧的是,2019年,世界顶级安全公司将使用最先进的技术来解决1984年协议中存在的问题。由于经典体系结构中的通信协议已经形成了事实标准,大量的应用也在此基础上激增,因此从根本上来说,协议的更新非常缓慢,而经典体系结构的不断强化是一个永恒的主题。

    SD-WAN观察:远不止安全

    S D-WAN是2018年国内安全圈火灾的交通IP。作者走访并调查了RSAC的大多数SD-wan制造商,以下是三种直觉感受。

    首先,安全网可能不是纯安全公司的食物。该方案的核心是更好地解决调度、性能和云接入等通信问题,而安全性只是一个附加项目。领先的标准广域网提供商,或具有安全解决方案的通信供应商,如思科;要么专注于通信技术,通过与专业安全供应商(如Aryaka)的合作来解决交通安全问题。对于纯粹的安全公司来说,他们通常没有很强的沟通基因,所以很难提供一个全面的解决方案。将安全功能导出到标准广域网整体提供商可能是更好的选择。

    1552297386743.png

    图3:与安全厂商的合作3:Aryaka标准广域网方案

    其次,标准广域网方案的关键是资源驱动,而不是技术革命。出色的标准广域网解决方案需要提供

    图4:富通网络提供的NGFW/UTM

    正手国际象棋支持SD-WAN特征:智能预测

    1552297386651.png

    图5:提出先行一步的概念

    交通安全产品落后于基因起源。传统的特征匹配不能帮助未知的威胁,例如0天。因此,制造商普遍提出了折回正手的概念,即帕洛阿尔托提出的“保持领先一步”。在RSAC,制造商主要通过以下两种方法解决这个问题:

    威胁情报

    交通安全产品访问威胁情报,其理论特征范围从本地扩展到整个云情报基地。威胁情报更新频率非常快,可以弥补短板容量。当发生紧急安全事件时,智能平台可以紧急向交通安全产品推送消息,并协调完成自动应急保护,解决实时性问题。总的来说,获取智力是治疗慢性病的良药。

    1552297386974.jpeg

    图6:中国领先的威胁情报制造商的微步在线布斯

    分析预测在自适应安全理论中,预先预测是一个重要的部分,交通安全产品一般采用深度分析来实现预测。在算法方面,一种常用的方法是贝叶斯网络,它被广泛用于预测天气、疾病和市场趋势。简而言之,贝叶斯网络是一个有向概率图。其构造的关键是事件关联逻辑和概率赋值,然后综合概率近似转化为独立概率的计算。例如,我们可以根据漏洞状态、补丁状态和资产的可访问性来预测外部攻击的概率。

    1552297386505.png

    图7:贝叶斯网络示例

    解决方案仍然混乱,是个问题

    对于SSL加密流量安全检测,行业有两个技术方向,即解密方法和非解密方法。

    Gigamon提出了一个针对SSL流量解密的全堆栈安全解决方案,旨在减少多个设备重复SSL解密所造成的巨大性能消耗,并使网络结构更加清晰。在该方案中,Gigamon建议将所有流量镜像到NPBs设备,以完成流量预处理、SSL解密和实时阻塞,然后访问旁路部署的流量安全设备进行安全检测。

    1552297386194.jpeg

    图8: Gigamon一次性解密方案

    如果用户不想购买额外的NPBs设备或改变网络架构,他们可以使用不解密直接执行安全检测的方案。在思科等厂商提出的方案中,威胁检测或流量应用识别是通过识别TLS原始数据中的客户问候消息内容、消息长度和序列、会话方向和流量比例,然后应用机器学习方法直接实现的。

    1552297386217.png

    图9:思科提出无解密的TLS原始数据威胁检测

    与这两种方案相比,它们各自的缺陷是明显的,很难在性能成本和检测率之间达到平衡。对于企业用户来说,SSL流量安全仍然是一个重要的问题。

    又是历史?

    在能见度有限的雾天,一个人走到岸边,看着他看不见的水。那么这个人就不能区分他面前的湖和海。这一场景有点类似于当前的交通安全产品市场。随着行业生态逐渐成熟,两三年前引起关注的诸如威胁情报、未知威胁分析和沙箱等术语几乎已经成为交通安全产品的标准。领先制造商提供的解决方案往往是相同的,差异在缩小。

    在UTM时代,我们曾经遇到过与今天相似的经历:产品堆积了大量的特性,模块之间缺乏逻辑联系,产品严重同质化。时代造就英雄。帕洛阿尔托首先推出了以三个IDs为灵魂的NGFW产品,引领时代潮流至今。历史总是相似的。如今,交通安全产品再次面临10年前的特征积累。当数量变化足够的时候,质量变化的历史机遇是否再次向我们招手?

    1552297386778.jpeg

    图10:帕洛阿尔托领导的三个身份结构

    融合:趋势建议

    作者认为流动安全产品的技术积累接近融合的临界点。以下测试

    除了资产标识,基于凭证和社交网络账户的攻击也很频繁,相关领域的创新公司大量涌现。这些新的标识继续在最初的用户标识、应用标识、上下文标识体系结构上完善和升华。作者认为新一代产品需要挖掘更多的IDs,并基于这些ids构建新一代架构,就像帕洛阿尔托在那一年所做的那样。

    1552297386262.jpeg

    图11: RSAC 2019创新沙盒冠军Axonius

    云端三合一

    对于流量安全产品,其局限性在于通过流量分析获得的信息范围非常有限。例如,资产信息不能完全通过流程分析获得。在这种情况下,有必要结合端点产品来获得最准确的资产信息。

    为了保持领先,交通安全产品必须依赖云智能和云分析。

    因此,对于一个成熟的交通安全产品方案,作者认为应该具备以下要素:

    情报云:使用威胁情报等方法解决未知威胁和应急响应

    分析云:使用高级分析方法实现事件预测

    终端联动:结合终端产品获取资产信息。涵盖主机安全级别

    1552297386399.jpeg

    图12: Sophos的云端集成威胁检测方案

    智能趋势

    在未来三年,深度学习等人工智能技术的可用性将进一步增强,计算资源预计将更加强大。交通安全设备提供的攻击链分析、协议漏洞分析、异常行为和流量发现将能够以更低的成本提供更智能的方案。就像从UTM到NGFW的革命一样,下一代产品不仅会堆积大量的技术,而且肯定会结合当前安全管理产品的更多特性,例如可以详细定制的工作流程和业务流程。到那时,流动安全产品可能发展成具有更多机器人属性的更好的产品。

    1552297386695.png

    Figure 13: 2019 RSAC主题:Better

    Conclusion

    自从下一代防火墙在2009年前后问世以来,已经多年没有更新过类别名称,但从技术趋势分析来看,自2015年以来,产品智能的发展趋势已经非常明显,今年已经积累了大量成熟的技术。此时,产品开发可能会再次面临从量变到质变的重要节点,这值得我们关注。

    关于安博通

    北京安博通科技有限公司(以下简称“安博通”)成立于2011年,是中国领先的视觉网络安全专业核心系统产品和安全服务提供商,以“透视安全、体验价值”为核心理念。公司自主开发的SPOS可视网络安全系统套件已成为众多一线厂商和大型解决方案集成商安装最广泛的网络安全系统平台,是国内多个部委和中央企业安全态势感知平台的核心组件和数据源。

    欲了解更多详情,请查看:

    了解更多信息,欢迎垂询