有客户抱怨,给下一代防火墙修改一条规则,跟遭一场天灾似的。企业内部设置的规程,让防火墙规则的修改相当不易。如今,企业纷纷在内网部署下一代防火墙进行访问控制和数据泄露预防。但这一解决方案,最好的情况下,作用也是有限的。这些防火墙检测不出数据泄露,也阻止不了内部威胁。
主要原因有三:
策略是静态的,适应不了动态威胁
无法学习和特征化用户行为
威胁响应能力缺乏粒度
首先,下一代防火墙在区分好坏上是非常确定的。我们知道,内部威胁和安全违规的特点是,恶意攻击者模拟合法用户的行为——通常通过盗取凭证来实现。因此,尽管用户可能是合法的,使用这些合法凭证的人的行为却可能非法。内部人士想要滥用自身凭证的情况与之区别不大。下一代防火墙会确保用户是合法的,只要凭证合法,访问便会被放行。
其次,虽然获取用户资料和创建详细的防火墙规则是可能的,但却很不实际。用户角色会变,他们的项目会变,他们所在的组也在变。想让防火墙管理员跟上这些变化以确保安全,即便不是不可能,也是极其不切实际的。深入理解并特征化网络中的每个用户和实体,是防止继续遭受侵害的要求,而下一代防火墙并没有能力处理如此频繁的变化。
再次,当威胁被检测到的时候,如果唯一能用的响应仅仅是“允许”或“阻止”,那么,任何误报或用户行为的合法改变,都将导致用户无法进行他/她的工作。因此,下一代防火墙的入侵检测和预防模块中极少看到“阻止”规则。安全管理员可不想因为一个误报封锁了CEO的网络流量就被炒了。未确认严重性和置信度的威胁,需要更细粒度的响应。
因此,如果你想要检测并封锁此类内部威胁和安全违规,你需要的是行为防火墙。行为防火墙有3项能力可以克服下一代防火墙的局限:
能够学习用户行为
能动态演进策略以匹配用户行为
细粒度的响应可使业务流程不受影响
行为防火墙可提供危险用户、终端、被黑账户和特权用户行为的可见性。通过监视和学习网络中每个用户、组、设备的行为,监测他们的登录时间/地点、他们的角色、系统权限、口令强度等等,行为防火墙能够特征化用户和终端的预期正常行为。
一旦这样的基线建立起来,便可自动或手动产生防火墙策略以确定怎样响应不同的威胁。举个例子,如果一个用户突然远程访问一组网络服务器,此前他从未进行过此类行为,且远程访问超出了该公司常规,那么,系统便会要求进行双因子身份验证以确认身份。或者,安全管理员可以创建一条规则,不允许远程访问之前没有访问过的服务器。建立这样的策略,当类似威胁被发现时,系统就能够检测并响应之,安全管理员也可以放下心来了。
最后,响应威胁,尤其是严重性未经确认的威胁,是一场赌博。要求的,是在下一代防火墙的“允许”/“阻止”之类常规响应之外,再加上细粒度自动化响应机制,双因子身份验证、通知、重复验证等等。这样的粒度能确保维系安全的同时合法用户不会被妨碍到工作。
下一代防火墙已经风光了近10年,在网络边界防护上依然很不错。但涉及到企业边界内部的防护,它们的能力缺口就太大了,而它们能被如何重新设计以克服这些局限,目前还是未知数。
本文转自d1net(转载)
