我是做边界安全的,用你们的话说,就是搞防火墙的。
2015年,我加入 360 的时候,他们告诉我:“我们不用防火墙,因为边界根本防不住。”
我仔细一想,360 的大牛们各个都是人肉防火墙,每个人恨不得都能空手夺白刃胸口碎大石,这帮人组成的的“武功队”显然不太需要防火墙。
于是这两年我总在问自己,这个世界真的不需要防火墙吗?
▲王伟
口述 | 王伟 360企业安全副总裁
文 | 史中 雷锋网主笔
防火墙是什么呢?能吃吗?怎么吃?好吃吗?
从功能上来看,它可以类比成一个“围墙”,就像学校的院墙、小区的围墙、就像特朗普要修的那堵隔离墙,我们国家就有一个最著名的防火墙——长城。墙的基本作用是防止外人在无监督的情况下走进来,当然也可以防止已经在墙内的人在无感知的情况下走出去。
仅仅从基本作用来看,墙有没有作用呢?其实看看我们周围的世界,你就能得出结论,几乎所有的组织都有院墙。学校和小区有保安,但也有院墙;重要机关有武警保卫,但同样有院墙。
从保卫的角度来说,至少,墙对于一般的小毛贼是有效果的。它只需要很少的维护,却可以抵御一般的风险,让守卫者可以专心对付有组织有预谋的入侵。
把这个情形翻版到网络世界,道理一模一样。
不是每一家企业都富裕到能养得起安全人员,也不是每一家企业都土豪到可以雇佣安全人员做“特服”,这个时候,你至少需要一堵防火墙。
我觉得,墙和墙还是有区别的。
同样是“墙”。一个篱笆,有时候连狗都挡不住;但是城墙却可以挡住最强的壮汉。
这个道理虽然大家都明白,但是在实际中却总有人犯糊涂。
就拿边界防火墙来说,一个只能防三、四层攻击的防火墙,攻击者尝试几次就能攻破;一个加上了七层防御策略的防火墙,攻击者就需要攻击七层设施才能进来。
gartner 在一份报告中也表示,下一代防火墙应该在应用层增加策略,除此之外,还有很多其他维度的数据内容,可以让防火墙有更详细的策略空间。每一个维度的策略升级,都是“把城墙垒高”的过程。
这是我想说的第一个事:城墙垒高,对于拖慢敌人进攻节奏一定是有意义的。此乃“城防”。
我暴露一下年龄,我是小时候看过《地道战》的人。
我来带你们复习一下地道战的玩法。
御敌策略中,首先需要的还是“塔防”——在村口设置阻击点,至少不让鬼子大步流星地长驱直入。当然,鬼子火力很猛,村口的防线当然挡不住,但毕竟可以消耗敌人的战力,延缓敌人入侵的速度。敌人快要突破村口的时候,民兵再退回村子,在房上、夹墙、井底、草垛、牲口棚,甚至是锅台下面设置狙击点。那么多地方,每个都能暗中歼敌,鬼子就招架不住了。
这就是塔防的玩法。
翻译成网络安全的语境,在攻击者突破防火墙之后,我们还有沙箱、终端、文鉴中心、ngsoc、云沙箱、云杀毒、云端威胁情报等等据点,这些联动方案让攻击者每前进一步都会付出暴露的危险,从而在攻杀链的某个环节被切断,避免我们保护的系统遭受重大损失。
举例来说,如果本地终端探测到一个可疑文件,可以把样本发送给云端沙箱进行检测;甚至可以把进出站的全流量数据和云端的威胁情报做匹配,看看在其他地方作恶的坏人有没有搞你。
如果这些都做到了,接下来需要的就是积极防御。
▲在房上、夹墙、井底、草垛、牲口棚,甚至是锅台下面设置狙击点的地道战
长城,作为防火墙的典范值得研究。
很多人忽略了长城的标配:烽火台。
烽火台是做什么用的呢?记录信息,汇总信息,传递信息。
一旦友军进关,就开城迎接
一旦敌人来犯,就点起狼烟通知相关关隘死守城门
最重要的,所有友军进关,都需要文书记录,以备日后出现无间道时查阅。
我心中的好的防火墙同样有这样的作用,除了基本的防御功能以外,要对进出的ip、端口、域名、url和访问动作和流量特征进行全流量记录。这些记录乍一看上去作用不大,但是当它和另一样宝物双剑合璧的时候,就瞬间化成一尊神器。那另一样宝物就是——威胁情报。
▲威胁情报可以在不同的防火墙、终端、网关流转,从而协同御敌
简单来说,威胁情报就是一个巨大的通缉犯样本库,记录着各种类型的恶意程序样本、恶意 ip、恶意 url、黑客画像、进攻手段等等。
防火墙作为边界,掌握着全量数据,每一个内部设备连接了哪个外部 ip 都可以被记录在案。于是,借助精密的算法平台,就可以揪出所有试图连接危险 ip 或作出危险行为的网内设备。
这些已经被黑客搞定的机器,我叫它们“沦陷设备”。一旦把一台沦陷设备揪出来,再比对所有终端的行为,就可能揪出更多的沦陷设备。这类似于抓到了一个小偷,就可以通过关联关系揪出同伙一样。
这种玩法,也正是国际上以威胁防御见长的能力型厂商所采用的。其中最关键的武器是:数据。不谦虚地说,数据恰恰是 360 的强项。通过遍布全网的终端,我的同事们可以收集海量的样本信息,从中筛选出大量的“坏人”,添加进威胁情报库里。
讲真,做智慧防火墙,我最认同的还是pa。我们要对标的,也是它,但不是仅盯着对方盒子里的事情。在威胁情报的形成方法上,palo alto 比我们更加全流程、自动化,相比之下,我们人参与的部分更多。但是在底层技术上,我不认为他们有很大的领先。
▲利用威胁情报,在敌人穿越的瞬间将其冻结
说了这么多,很多拖延、阻止对手的动作都是围绕着防火墙汇总发起的。这下总算为防火墙“平反”了。当然,有用的防火墙需要能和威胁情报联动,而且具有全流量数据分析的能力。
我对我们的情报还是很有信心的。
虽然我们做传统防火墙和下一代防火墙好多年了,但由于我们的智慧防火墙去年八月才上线,所以刚开始很多机构和企业抱着谨慎的态度。我记得某个机构因为业务比较重要,为了安全性和稳定性考虑,只同意先用旁路流量测试一下。但是仅仅这样测试,智慧防火墙很快报警出了12个被安装了木马的“沦陷主机”,其中有4个内网服务器 ip 地址和8个内网终端 ip 地址。由于我们使用的情报等级比较高,所以我几乎可以肯定这些木马绝对不是那些只用来控制服务器打打 ddos 的僵尸网络,而是以入侵主机获取信息为目标的。
这些高级威胁,是之前的传统防火墙完全没有检测出来的。所以客户很快就接纳了我们的产品,并决定替换之前的其它家产品。
当然,我没办法回避。作为一个城墙,对于一些非常高级的威胁处理起来是有盲区的。很简单的一个情况就是,如果我们的威胁情报没有覆盖到这个进攻者,那么防火墙也无法认出它的真实面目。
▲高墙电网,也总有人涉险犯关
不过,我们还能打开一些隐藏的火力。
讲个真实的故事吧。
我们曾经在某个高校里运行防火墙,并且把所有发现的威胁都清除了。但是我们的安服工程师多做了一个动作,那就是在智慧防火墙利用分析中心多维的数据分析了一下几个重要主机的流量。
他们发现在系统的主 dns 服务器和辅 dns 服务器上有过很多非 dns 的请求动作,没有安静地做一个 dns 服务器,这件事很可疑。
老师一开始有点怀疑准确性,我们连接了云端的威胁情报中心,还在国际威胁情报引擎 vt(virus total)上做了核实,确认这些请求果然是恶意的。
于是,我们仅仅利用数据的行为分析,就成功查到了黑客的入侵动作。
当然,作为一个安全研究员,我深深地知道没有绝对的安全,所有的防护措施,对面都是活生生的黑客。这个数字战场背后永远是两支人类军队在作战。
虽然高级的威胁可能攻破防火墙,但是每多一项安全措施和防火墙联动,黑客成功的概率就越小,进攻的成本就越大。
据此,我要更努力地安利我的防火墙。
王伟,360企业安全副总裁。
史中,雷锋网主笔(微信:fungungun),希望用简单的语言解释科技的一切。
更多网络安全内容请关注雷锋网宅客频道(微信公众号:宅客频道)