防火墻再“進(jìn)化”,更智能是否更安全?

來(lái)源:今日熱點(diǎn)網(wǎng) | 2024-01-18 16:49:39 |

當(dāng)黑客進(jìn)行網(wǎng)絡(luò)攻擊時(shí),首先會(huì)掃描系統(tǒng)對(duì)外開(kāi)放的端口,例如公司公網(wǎng) IP中用于SSH服務(wù)的22 端口,然后嘗試爆破登錄,以獲取服務(wù)器的控制權(quán)。如果企業(yè)部署了防火墻防火墻,就可以屏蔽掉開(kāi)放的 22 端口,并能攔截爆破的請(qǐng)求。

防火墻作為面向外部入侵的第一道防線(xiàn),它在網(wǎng)絡(luò)與外部之間建立一道安全壁壘,對(duì)進(jìn)入或離開(kāi)網(wǎng)絡(luò)的數(shù)據(jù)流進(jìn)行篩選和過(guò)濾,以保護(hù)網(wǎng)絡(luò)免受未經(jīng)授權(quán)的訪(fǎng)問(wèn)、惡意攻擊和數(shù)據(jù)泄露等威脅。

然而,隨著AI的普及,攻擊門(mén)檻降低的同時(shí),攻擊的破壞性還增強(qiáng)了。無(wú)疑,防火墻也需要隨之“進(jìn)化”。

防火墻進(jìn)化史

20世紀(jì)80年代,防火墻技術(shù)幾乎與路由器同時(shí)出現(xiàn)。

最早的防火墻是由一些基于路由器和過(guò)濾器的簡(jiǎn)單設(shè)備,用于隔離內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò),僅能實(shí)現(xiàn)簡(jiǎn)單的訪(fǎng)問(wèn)控制。

隨著互聯(lián)網(wǎng)的增長(zhǎng)和威脅的不斷演化,防火墻開(kāi)始逐漸進(jìn)化。從簡(jiǎn)單的數(shù)據(jù)包過(guò)濾發(fā)展到代理防火墻、狀態(tài)監(jiān)測(cè)防火墻、統(tǒng)一威脅管理(UTM),再到下一代防火墻(NGFW)。

包過(guò)濾防火墻和代理防火墻除了制定內(nèi)向外連接的安全策略外,還要制定外向內(nèi)的策略,存在安全隱患。狀態(tài)監(jiān)測(cè)防火墻通過(guò)狀態(tài)監(jiān)測(cè)機(jī)制提高轉(zhuǎn)發(fā)效率和安全性,但其功能較為單一。通過(guò)給狀態(tài)監(jiān)測(cè)防火墻上集成VPN、防病毒、郵件過(guò)濾關(guān)鍵字過(guò)濾等功能,漸漸形成了第四代防火墻:統(tǒng)一威脅管理,但其效率不高且并沒(méi)有集成深度報(bào)文檢測(cè)功能。于是又發(fā)展出第五代防火墻:下一代防火墻(NGFW),解決了統(tǒng)一威脅管理防火墻效率不足和報(bào)文深度檢測(cè)能力不足的弱點(diǎn)。

Gartner把NGFW看作不同信任級(jí)別的網(wǎng)絡(luò)之間的一個(gè)線(xiàn)速實(shí)時(shí)防護(hù)設(shè)備,能夠?qū)α髁繄?zhí)行深度檢測(cè),并阻斷攻擊。關(guān)于NGFW的定義,Gartner強(qiáng)調(diào),傳統(tǒng)的防火墻功能、應(yīng)用識(shí)別與應(yīng)用控制技術(shù)、IPS與防火墻深度集成、利用防火墻以外的信息來(lái)增強(qiáng)管控能力等是下一代防火墻的關(guān)鍵方面。

眾多主流廠家也都推出了各自的下一代墻。例如,Cisco Firepower,思科(Cisco)推出的下一代防火墻解決方案,集成了防火墻、IPS、VPN和高級(jí)威脅防御(ATP)功能,采用深度數(shù)據(jù)包檢測(cè)(DPI)和先進(jìn)的分析來(lái)識(shí)別和阻止威脅,同時(shí)能提供對(duì)網(wǎng)絡(luò)流量的細(xì)粒度控制??梢钥吹?,NGFW以其先進(jìn)的安全功能和適應(yīng)性為企業(yè)網(wǎng)絡(luò)提供了更全面、更高級(jí)的保護(hù)。

但防火墻在升級(jí),威脅也在同步演變。傳統(tǒng)的病毒、木馬等威脅逐漸被以高級(jí)持續(xù)性威脅(APT)為代表的新型威脅所取代。這些高級(jí)威脅更加隱蔽、擴(kuò)散更快,并能長(zhǎng)期存在于受攻擊者的網(wǎng)絡(luò)中。面對(duì)快速變化的威脅種類(lèi),傳統(tǒng)NGFW基于簽名的威脅檢測(cè)無(wú)法應(yīng)對(duì)高級(jí)、未知威脅,簽名匹配無(wú)法防御整體攻擊鏈,并且還存在威脅處置人工程度高、花費(fèi)時(shí)間長(zhǎng)的問(wèn)題。

因此,面對(duì)網(wǎng)絡(luò)和威脅的不斷演進(jìn),NGFW也需要更新?lián)Q代。2023年以來(lái),蓬勃發(fā)展的生成式人工智能技術(shù),也為防火墻的發(fā)展帶來(lái)了新的契機(jī),各大安全廠商紛紛探索如何獲得AI技術(shù)的加持。思科,也不例外,發(fā)布了基于自然語(yǔ)言的安全人工智能助理(AI Assistant for Security),并將其融入到全線(xiàn)防火墻產(chǎn)品中,旨在幫助企業(yè)客戶(hù)更好地評(píng)估安全狀況、消除配置錯(cuò)誤并自動(dòng)執(zhí)行復(fù)雜任務(wù)。

AI與防火墻

其實(shí),AI在防火墻中的應(yīng)用并非是2023年才開(kāi)始的。

早在2017年左右,預(yù)測(cè)式AI已經(jīng)比較成熟,并且嵌入到了很多產(chǎn)品和解決方案中,基于現(xiàn)有數(shù)據(jù)進(jìn)行分析,主要用來(lái)實(shí)現(xiàn)自動(dòng)化、推薦、預(yù)測(cè)等。

2023年,生成式AI風(fēng)靡全球,其利用文本、圖片、音視頻等創(chuàng)作新內(nèi)容的能力,給安全行業(yè)帶來(lái)很多具有突破性的創(chuàng)新和應(yīng)用場(chǎng)景。

以思科公司的AI下一代防火墻Firepower為例,以前在生成訪(fǎng)問(wèn)控制規(guī)則時(shí)需要手動(dòng)輸入。對(duì)于中小企業(yè)來(lái)說(shuō),由于策略較少,操作相對(duì)簡(jiǎn)單;但是對(duì)于大中型企業(yè)來(lái)說(shuō),成千上萬(wàn)條的策略需要人工統(tǒng)一維護(hù)和優(yōu)化,是一個(gè)沉重的負(fù)擔(dān)?,F(xiàn)在有了安全人工智能助理的助力,安全運(yùn)維人員可以通過(guò)語(yǔ)音/文本指示系統(tǒng)自動(dòng)生成策略,并給出優(yōu)化建議。

值得一提的是,思科還在探索使用生成式AI增強(qiáng)加密流量檢測(cè)的能力,通過(guò)獨(dú)特的EVE/加密可視化引擎在不解密情況下檢測(cè)惡意文件并觸發(fā)告警,最小化性能開(kāi)銷(xiāo),豐富主機(jī)透視畫(huà)像中的應(yīng)用和系統(tǒng)檢測(cè)。

對(duì)于探索生成式AI與安全的深度融合,思科的優(yōu)勢(shì)在于對(duì)搜集上來(lái)的海量數(shù)據(jù)有深刻認(rèn)知,比如對(duì)基礎(chǔ)漏洞有深入研究,并全面了解攻擊的方式和方法。思科運(yùn)營(yíng)的 Talos 是享譽(yù)全球的網(wǎng)絡(luò)安全情報(bào)組織,這是一個(gè)由500多名專(zhuān)家組成的團(tuán)隊(duì),每天分析來(lái)自全球的海量安全信息包括各種來(lái)源的惡意軟件樣本、攻擊樣本數(shù)據(jù)、漏洞信息、惡意域名和 IP 地址等,同時(shí)結(jié)合大量機(jī)器學(xué)習(xí)與AI算法,總結(jié)出各類(lèi)攻擊發(fā)動(dòng)的行為、流量等特征,提供業(yè)內(nèi)最全面和主動(dòng)的安全與威脅情報(bào)解決方案,并將這些洞察融入到思科的安全產(chǎn)品中。

并且,思科在人工智能版圖還在不斷擴(kuò)大。今年以來(lái),思科收購(gòu)了大語(yǔ)言模型領(lǐng)域的領(lǐng)導(dǎo)性安全廠商Armorblox,并將其產(chǎn)品融入到思科現(xiàn)有的解決方案中。預(yù)計(jì)2024年8月,思科將正式完成對(duì)Splunk的并購(gòu),此舉將大幅提升思科在生成式AI、大數(shù)據(jù)、方面的方案完整性和能力。

AI是企業(yè)的必答題

根據(jù)2023年思科發(fā)布的《思科人工智能就緒指數(shù)》,僅有9%的中國(guó)企業(yè)在部署和利用人工智能方面做好了充分準(zhǔn)備。

但與此同時(shí),攻擊者已經(jīng)開(kāi)始使用生成式AI來(lái)升級(jí)他們的攻擊行為。與傳統(tǒng)網(wǎng)絡(luò)攻擊相比,AI驅(qū)動(dòng)的網(wǎng)絡(luò)安全威脅具有更高的智能和適應(yīng)性。

面對(duì)AI驅(qū)動(dòng)的網(wǎng)絡(luò)安全威脅,防御方面臨著諸多嚴(yán)峻挑戰(zhàn)。對(duì)于中小企業(yè)而言更是如此。

首先,技術(shù)的迅速發(fā)展使得防御方難以跟上攻擊者的步伐,因?yàn)楣粽咄ǔD軌蚩焖龠m應(yīng)新的防御手段,這就要求防御方不斷進(jìn)行技術(shù)創(chuàng)新和研究。其次,大數(shù)據(jù)時(shí)代下,處理和分析海量數(shù)據(jù)成為一項(xiàng)艱巨任務(wù),如何在繁多數(shù)據(jù)中精準(zhǔn)識(shí)別威脅是亟待解決的問(wèn)題。再者,高素質(zhì)人才的匱乏也制約了AI技術(shù)在網(wǎng)絡(luò)安全領(lǐng)域的應(yīng)用,當(dāng)前的人才儲(chǔ)備遠(yuǎn)遠(yuǎn)不能滿(mǎn)足日益增長(zhǎng)的需求。

針對(duì)中小企業(yè)的需求,思科推出了AI下一代防火墻Firepower 1010/1010E,這款桌面級(jí)的下一代防火墻采用了基于人工智能的智能管理和七層安全防護(hù)技術(shù),可以在不解密加密流量的情況下對(duì)其進(jìn)行深入分析,檢測(cè)每個(gè)應(yīng)用程序,并標(biāo)記和阻止惡意軟件,同時(shí)還提供漏洞防護(hù)功能。

該防火墻整合了多項(xiàng)可擴(kuò)展的功能,包括基于威脅情報(bào)Talos的高級(jí)威脅防御、基于信譽(yù)地址庫(kù)URL過(guò)濾、與威脅情報(bào)系統(tǒng)Talos聯(lián)動(dòng)的惡意軟件防護(hù)、應(yīng)用控制以及安全VPN遠(yuǎn)程連接等。用戶(hù)可以通過(guò)簡(jiǎn)單易懂的中文界面進(jìn)行操作,并且提供策略推薦功能,幫助用戶(hù)輕松管理網(wǎng)絡(luò)運(yùn)維。

另外,該防火墻還提供了多種管理模式可供選擇,包括本地硬件集中管理控制中心、云端SaaS集中管理控制中心以及防火墻本地Web頁(yè)面直連管理。全新升級(jí)的思科AI下一代防火墻Firepower系列還免費(fèi)提供了SD-WAN功能,讓企業(yè)能夠輕松組建企業(yè)安全專(zhuān)網(wǎng),保障業(yè)務(wù)安全可持續(xù)。

用”魔法“才能打敗”魔法“,隨著AI技術(shù)帶來(lái)的攻擊模式進(jìn)化,更快、更強(qiáng)、更精準(zhǔn)的攻擊不斷涌現(xiàn),使用AI來(lái)升級(jí)防御手段,已經(jīng)成為企業(yè)的必答題。

結(jié)語(yǔ):

在安全行業(yè),生成式AI變革的潛力已經(jīng)開(kāi)始展現(xiàn)。安全解決方案提供商思科已經(jīng)將包括生成式AI在內(nèi)的許多AI新技術(shù)應(yīng)用于自己的解決方案當(dāng)中,在實(shí)踐中也幫助用戶(hù)提高了安全運(yùn)維效率和檢測(cè)效率?!艿酶臁粌H僅只是思科的一個(gè)理念,它已經(jīng)逐漸成為現(xiàn)實(shí)。


關(guān)鍵詞: