讓專業的設備做專業的事
當前企業為了抵御來自網絡的病毒木馬、DDoS、APT等各類攻擊,除了部署防火墻、IPS、防病毒等“老三樣”以外,不得不在增配諸如SIEM(安全信息和事件管理)系統、防內容泄漏、威脅分析、沙箱等新的安全架構。這就致使無論什么規模的企業,每年都必須在網絡安全架構上投入大量的時間和金錢,而其所面臨的攻擊環境和網絡安全環境則會變得越來越大,因為整個企業的網絡架構在擴張,網絡攻擊面也在不斷擴大。
網絡攻擊面等于是個人訪問企業網絡時可以使用的所有通道的總和。企業安全工具則會檢查所有流量,包括起初不應當出現在網絡上的流量,例如來自已知惡意IP、被劫持IP以及未分配或未使用IP地址的流量。
這在Ixia全球副總裁中國區總經理張煒看來,目前企業花費很多資金去建設安全防范體系,并讓很多高端設備處理一些不應該讓這些非常高端的設備去處理的流量,這就引發了資源的浪費。這么多流量其實完全可以用一些簡單的方法不讓它流進去,使得流入這些安全設施的流量濃度更高,更值得去分析,并借此能夠幫助安全設施提升防護效率。
那么如何將企業網絡所接觸到的攻擊面縮小,以產生更少的攻擊、更少的SIEM報警,讓企業原來的主體安全架構更注重做一些更高端的防護業務,便催生Ixia推出一款基于IP地址過濾的網絡防護新品——ThreatARMOR。
ThreatARMOR企業網絡的“新盔甲”
ThreatARMOR可以阻止這些已知的不正常流量,并降低現有安全基礎設施的負擔。ThreatARMOR可以在這些不必要的流量影響現有企業安全基礎架構之前消除它們,使得客戶無需浪費時間和成本來審查龐大的安全系統所生成的大量多余通知,而這些通知可能會讓企業安全團隊對報警產生疲勞感。
據張煒介紹,ThreatARMOR由兩部分組成,即硬件與系統。一個就是部署在現場做硬件攔截的,它就是做執行的,另一個則是遠端的智能庫,即應用與威脅情報(ATI)系統。該系統在線上運營了十幾年,可以獲得一些新的資源,威脅信息、惡意IP等等。基于ATI數據庫,可以產生ThreatARMOR Rap Sheet惡意列表,把這個庫以一定的格式的形式推給終端的設備,布置在現網的設備,可以做到5分鐘更新一次。
“一旦你的網站被發現有掛碼,而且被探測出來了,5分鐘之后就可以把這個信息推送給前端的設備,讓它決定攔截掉。如果掛碼被清除了,沒有掛碼了,系統也會推送給前端設備這個IP可以通過了”,張煒舉例到。
在硬件方面,其將ATI庫與具體執行完全分開,基于IP的過濾完全由硬件來實現,硬件里面有黑名單、白名單的列表,并可以了解基于IP地址做了什么,全球的IP能不能通過都會有一個信息記錄,非常快的實現過濾。不管是注冊一個IP,還是10億個IP,都可以做到線速,因為這是由ATI數據庫反饋的,設備根本不用做計算。
重要的還有它的高可靠性,由于ThreatARMOR是串到鏈路里面去,為了防止故障,Ixia還集成了一個旁路網卡。因為設備本身就已經是高可靠性,出了問題可以直接通過網卡通傳過去,防止設備宕機造成網絡中斷等過程,另外還有雙冗余設計、可更換硬盤等等。
那么部署了ThreatARMOR以后,會為企業帶來怎樣效果呢?最主要的便是會把那些已經知道的惡意IP地址全部過濾掉,因為它可能要報已知的惡意IP地址,這樣可以消除30%的報警,為企業節約6300小時,當于3個工程師的工作量。張煒表示,如果一個工程師按年收入10萬美金計算的話,那就是30萬美金。加了這個設備,每年可以為企業節省30萬美金的運營支出,除去設備的投入,ROI可以達到15倍。
今天在傳統的企業市場里Ixia更強調的是可視化產品系列,因為可視化產品系列是為了所有的安全設備提供流量,對其進行分析,來優化后面的監控和安全設備的。而此次ThreatARMOR作為可視化產品中推出的一個重要組件,可以為企業網絡防護構建一個新的可視化平臺,并為企業網絡鑄造上第一道的防護屏障。
17621123178