防火墙再“进化”,更智能是否更安全?

文章正文
发布时间:2024-01-27 13:44

  当黑客进行网络攻击时,首先会扫描系统对外开放的端口,例如公司公网 IP中用于SSH服务的22 端口,然后尝试爆破登录,以获取服务器的控制权。如果企业部署了防火墙防火墙,就可以屏蔽掉开放的 22 端口,并能拦截爆破的请求。

  防火墙作为面向外部入侵的第一道防线,它在网络与外部之间建立一道安全壁垒,对进入或离开网络的数据流进行筛选和过滤,以保护网络免受未经授权的访问、恶意攻击和数据泄露等威胁。

  然而,随着AI的普及,攻击门槛降低的同时,攻击的破坏性还增强了。无疑,防火墙也需要随之“进化”。

  防火墙进化史

  20世纪80年代,防火墙技术几乎与路由器同时出现。

  最早的防火墙是由一些基于路由器和过滤器的简单设备,用于隔离内部网络与外部网络,仅能实现简单的访问控制。

  随着互联网的增长和威胁的不断演化,防火墙开始逐渐进化。从简单的数据包过滤发展到代理防火墙、状态监测防火墙、统一威胁管理(UTM),再到下一代防火墙(NGFW)。

  包过滤防火墙和代理防火墙除了制定内向外连接的安全策略外,还要制定外向内的策略,存在安全隐患。状态监测防火墙通过状态监测机制提高转发效率和安全性,但其功能较为单一。通过给状态监测防火墙上集成VPN、防病毒、邮件过滤关键字过滤等功能,渐渐形成了第四代防火墙:统一威胁管理,但其效率不高且并没有集成深度报文检测功能。于是又发展出第五代防火墙:下一代防火墙(NGFW),解决了统一威胁管理防火墙效率不足和报文深度检测能力不足的弱点。

  Gartner把NGFW看作不同信任级别的网络之间的一个线速实时防护设备,能够对流量执行深度检测,并阻断攻击。关于NGFW的定义,Gartner强调,传统的防火墙功能、应用识别与应用控制技术、IPS与防火墙深度集成、利用防火墙以外的信息来增强管控能力等是下一代防火墙的关键方面。

  众多主流厂家也都推出了各自的下一代墙。例如,Cisco Firepower,思科(Cisco)推出的下一代防火墙解决方案,集成了防火墙、IPS、VPN和高级威胁防御(ATP)功能,采用深度数据包检测(DPI)和先进的分析来识别和阻止威胁,同时能提供对网络流量的细粒度控制。可以看到,NGFW以其先进的安全功能和适应性为企业网络提供了更全面、更高级的保护。

  但防火墙在升级,威胁也在同步演变。传统的病毒、木马等威胁逐渐被以高级持续性威胁(APT)为代表的新型威胁所取代。这些高级威胁更加隐蔽、扩散更快,并能长期存在于受攻击者的网络中。面对快速变化的威胁种类,传统NGFW基于签名的威胁检测无法应对高级、未知威胁,签名匹配无法防御整体攻击链,并且还存在威胁处置人工程度高、花费时间长的问题。

  因此,面对网络和威胁的不断演进,NGFW也需要更新换代。2023年以来,蓬勃发展的生成式人工智能技术,也为防火墙的发展带来了新的契机,各大安全厂商纷纷探索如何获得AI技术的加持。思科,也不例外,发布了基于自然语言的安全人工智能助理(AI Assistant for Security),并将其融入到全线防火墙产品中,旨在帮助企业客户更好地评估安全状况、消除配置错误并自动执行复杂任务。

  AI与防火墙

  其实,AI在防火墙中的应用并非是2023年才开始的。

  早在2017年左右,预测式AI已经比较成熟,并且嵌入到了很多产品和解决方案中,基于现有数据进行分析,主要用来实现自动化、推荐、预测等。

  2023年,生成式AI风靡全球,其利用文本、图片、音视频等创作新内容的能力,给安全行业带来很多具有突破性的创新和应用场景。

  以思科公司的AI下一代防火墙Firepower为例,以前在生成访问控制规则时需要手动输入。对于中小企业来说,由于策略较少,操作相对简单;但是对于大中型企业来说,成千上万条的策略需要人工统一维护和优化,是一个沉重的负担。现在有了安全人工智能助理的助力,安全运维人员可以通过语音/文本指示系统自动生成策略,并给出优化建议。

  值得一提的是,思科还在探索使用生成式AI增强加密流量检测的能力,通过独特的EVE/加密可视化引擎在不解密情况下检测恶意文件并触发告警,最小化性能开销,丰富主机透视画像中的应用和系统检测。

  对于探索生成式AI与安全的深度融合,思科的优势在于对搜集上来的海量数据有深刻认知,比如对基础漏洞有深入研究,并全面了解攻击的方式和方法。思科运营的 Talos 是享誉全球的网络安全情报组织,这是一个由500多名专家组成的团队,每天分析来自全球的海量安全信息包括各种来源的恶意软件样本、攻击样本数据、漏洞信息、恶意域名和 IP 地址等,同时结合大量机器学习与AI算法,总结出各类攻击发动的行为、流量等特征,提供业内最全面和主动的安全与威胁情报解决方案,并将这些洞察融入到思科的安全产品中。

  并且,思科在人工智能版图还在不断扩大。今年以来,思科收购了大语言模型领域的领导性安全厂商Armorblox,并将其产品融入到思科现有的解决方案中。预计2024年8月,思科将正式完成对Splunk的并购,此举将大幅提升思科在生成式AI、大数据、方面的方案完整性和能力。

  AI是企业的必答题

  根据2023年思科发布的《思科人工智能就绪指数》,仅有9%的中国企业在部署和利用人工智能方面做好了充分准备。

  但与此同时,攻击者已经开始使用生成式AI来升级他们的攻击行为。与传统网络攻击相比,AI驱动的网络安全威胁具有更高的智能和适应性。

  面对AI驱动的网络安全威胁,防御方面临着诸多严峻挑战。对于中小企业而言更是如此。

  首先,技术的迅速发展使得防御方难以跟上攻击者的步伐,因为攻击者通常能够快速适应新的防御手段,这就要求防御方不断进行技术创新和研究。其次,大数据时代下,处理和分析海量数据成为一项艰巨任务,如何在繁多数据中精准识别威胁是亟待解决的问题。再者,高素质人才的匮乏也制约了AI技术在网络安全领域的应用,当前的人才储备远远不能满足日益增长的需求。

  针对中小企业的需求,思科推出了AI下一代防火墙Firepower 1010/1010E,这款桌面级的下一代防火墙采用了基于人工智能的智能管理和七层安全防护技术,可以在不解密加密流量的情况下对其进行深入分析,检测每个应用程序,并标记和阻止恶意软件,同时还提供漏洞防护功能。

  该防火墙整合了多项可扩展的功能,包括基于威胁情报Talos的高级威胁防御、基于信誉地址库URL过滤、与威胁情报系统Talos联动的恶意软件防护、应用控制以及安全VPN远程连接等。用户可以通过简单易懂的中文界面进行操作,并且提供策略推荐功能,帮助用户轻松管理网络运维。

  另外,该防火墙还提供了多种管理模式可供选择,包括本地硬件集中管理控制中心、云端SaaS集中管理控制中心以及防火墙本地Web页面直连管理。全新升级的思科AI下一代防火墙Firepower系列还免费提供了SD-WAN功能,让企业能够轻松组建企业安全专网,保障业务安全可持续。

  用”魔法“才能打败”魔法“,随着AI技术带来的攻击模式进化,更快、更强、更精准的攻击不断涌现,使用AI来升级防御手段,已经成为企业的必答题。

  结语:

  在安全行业,生成式AI变革的潜力已经开始展现。安全解决方案提供商思科已经将包括生成式AI在内的许多AI新技术应用于自己的解决方案当中,在实践中也帮助用户提高了安全运维效率和检测效率。‘跑得更快’不仅仅只是思科的一个理念,它已经逐渐成为现实。