讓專業(yè)的設(shè)備做專業(yè)的事
當(dāng)前企業(yè)為了抵御來自網(wǎng)絡(luò)的病毒木馬谤草、DDoS跟束、APT等各類攻擊,除了部署防火墻丑孩、IPS冀宴、防病毒等“老三樣”以外,不得不在增配諸如SIEM(安全信息和事件管理)系統(tǒng)温学、防內(nèi)容泄漏花鹅、威脅分析、沙箱等新的安全架構(gòu)枫浙。這就致使無論什么規(guī)模的企業(yè)呐缸,每年都必須在網(wǎng)絡(luò)安全架構(gòu)上投入大量的時(shí)間和金錢,而其所面臨的攻擊環(huán)境和網(wǎng)絡(luò)安全環(huán)境則會變得越來越大尼缨,因?yàn)檎麄€(gè)企業(yè)的網(wǎng)絡(luò)架構(gòu)在擴(kuò)張疫谱,網(wǎng)絡(luò)攻擊面也在不斷擴(kuò)大。
網(wǎng)絡(luò)攻擊面等于是個(gè)人訪問企業(yè)網(wǎng)絡(luò)時(shí)可以使用的所有通道的總和综货。企業(yè)安全工具則會檢查所有流量嚣惭,包括起初不應(yīng)當(dāng)出現(xiàn)在網(wǎng)絡(luò)上的流量,例如來自已知惡意IP螃势、被劫持IP以及未分配或未使用IP地址的流量罕擒。
這在Ixia全球副總裁中國區(qū)總經(jīng)理張煒看來,目前企業(yè)花費(fèi)很多資金去建設(shè)安全防范體系,并讓很多高端設(shè)備處理一些不應(yīng)該讓這些非常高端的設(shè)備去處理的流量氧液,這就引發(fā)了資源的浪費(fèi)跟媚。這么多流量其實(shí)完全可以用一些簡單的方法不讓它流進(jìn)去,使得流入這些安全設(shè)施的流量濃度更高沧仿,更值得去分析箍秧,并借此能夠幫助安全設(shè)施提升防護(hù)效率。
那么如何將企業(yè)網(wǎng)絡(luò)所接觸到的攻擊面縮小馁筐,以產(chǎn)生更少的攻擊涂召、更少的SIEM報(bào)警,讓企業(yè)原來的主體安全架構(gòu)更注重做一些更高端的防護(hù)業(yè)務(wù)敏沉,便催生Ixia推出一款基于IP地址過濾的網(wǎng)絡(luò)防護(hù)新品——ThreatARMOR果正。
ThreatARMOR企業(yè)網(wǎng)絡(luò)的“新盔甲”
ThreatARMOR可以阻止這些已知的不正常流量,并降低現(xiàn)有安全基礎(chǔ)設(shè)施的負(fù)擔(dān)盟迟。ThreatARMOR可以在這些不必要的流量影響現(xiàn)有企業(yè)安全基礎(chǔ)架構(gòu)之前消除它們舱卡,使得客戶無需浪費(fèi)時(shí)間和成本來審查龐大的安全系統(tǒng)所生成的大量多余通知,而這些通知可能會讓企業(yè)安全團(tuán)隊(duì)對報(bào)警產(chǎn)生疲勞感队萤。
據(jù)張煒介紹轮锥,ThreatARMOR由兩部分組成,即硬件與系統(tǒng)要尔。一個(gè)就是部署在現(xiàn)場做硬件攔截的舍杜,它就是做執(zhí)行的,另一個(gè)則是遠(yuǎn)端的智能庫赵辕,即應(yīng)用與威脅情報(bào)(ATI)系統(tǒng)既绩。該系統(tǒng)在線上運(yùn)營了十幾年,可以獲得一些新的資源膘掀,威脅信息殿腺、惡意IP等等〖惹悖基于ATI數(shù)據(jù)庫瓮窑,可以產(chǎn)生ThreatARMOR Rap Sheet惡意列表,把這個(gè)庫以一定的格式的形式推給終端的設(shè)備队屋,布置在現(xiàn)網(wǎng)的設(shè)備拱屈,可以做到5分鐘更新一次。
“一旦你的網(wǎng)站被發(fā)現(xiàn)有掛碼卵手,而且被探測出來了鸦贩,5分鐘之后就可以把這個(gè)信息推送給前端的設(shè)備,讓它決定攔截掉诫列。如果掛碼被清除了垄怯,沒有掛碼了水水,系統(tǒng)也會推送給前端設(shè)備這個(gè)IP可以通過了”,張煒舉例到迂卢。
在硬件方面某弦,其將ATI庫與具體執(zhí)行完全分開,基于IP的過濾完全由硬件來實(shí)現(xiàn)冷守,硬件里面有黑名單、白名單的列表惊科,并可以了解基于IP地址做了什么拍摇,全球的IP能不能通過都會有一個(gè)信息記錄,非彻萁兀快的實(shí)現(xiàn)過濾充活。不管是注冊一個(gè)IP,還是10億個(gè)IP蜡娶,都可以做到線速混卵,因?yàn)檫@是由ATI數(shù)據(jù)庫反饋的,設(shè)備根本不用做計(jì)算窖张。
重要的還有它的高可靠性幕随,由于ThreatARMOR是串到鏈路里面去,為了防止故障宿接,Ixia還集成了一個(gè)旁路網(wǎng)卡赘淮。因?yàn)樵O(shè)備本身就已經(jīng)是高可靠性,出了問題可以直接通過網(wǎng)卡通傳過去醇盏,防止設(shè)備宕機(jī)造成網(wǎng)絡(luò)中斷等過程腔族,另外還有雙冗余設(shè)計(jì)、可更換硬盤等等秘乍。
那么部署了ThreatARMOR以后羽折,會為企業(yè)帶來怎樣效果呢?最主要的便是會把那些已經(jīng)知道的惡意IP地址全部過濾掉崖郎,因?yàn)樗赡芤獔?bào)已知的惡意IP地址巍樟,這樣可以消除30%的報(bào)警,為企業(yè)節(jié)約6300小時(shí)写雾,當(dāng)于3個(gè)工程師的工作量帚棚。張煒表示,如果一個(gè)工程師按年收入10萬美金計(jì)算的話捎虚,那就是30萬美金兆性。加了這個(gè)設(shè)備,每年可以為企業(yè)節(jié)省30萬美金的運(yùn)營支出泳柴,除去設(shè)備的投入赋荆,ROI可以達(dá)到15倍笋妥。
今天在傳統(tǒng)的企業(yè)市場里Ixia更強(qiáng)調(diào)的是可視化產(chǎn)品系列,因?yàn)榭梢暬a(chǎn)品系列是為了所有的安全設(shè)備提供流量窄潭,對其進(jìn)行分析春宣,來優(yōu)化后面的監(jiān)控和安全設(shè)備的。而此次ThreatARMOR作為可視化產(chǎn)品中推出的一個(gè)重要組件嫉你,可以為企業(yè)網(wǎng)絡(luò)防護(hù)構(gòu)建一個(gè)新的可視化平臺月帝,并為企業(yè)網(wǎng)絡(luò)鑄造上第一道的防護(hù)屏障。