让专业的设备做专业的事
当前企业为了抵御来自网络的病毒木马、DDoS、APT等各类攻击,除了部署防火墙、IPS、防病毒等“老三样”以外,不得不在增配诸如SIEM(安全信息和事件管理)系统、防内容泄漏、威胁分析、沙箱等新的安全架构。这就致使无论什么规模的企业,每年都必须在网络安全架构上投入大量的时间和金钱,而其所面临的攻击环境和网络安全环境则会变得越来越大,因为整个企业的网络架构在扩张,网络攻击面也在不断扩大。
网络攻击面等于是个人访问企业网络时可以使用的所有通道的总和。企业安全工具则会检查所有流量,包括起初不应当出现在网络上的流量,例如来自已知恶意IP、被劫持IP以及未分配或未使用IP地址的流量。
这在Ixia全球副总裁中国区总经理张炜看来,目前企业花费很多资金去建设安全防范体系,并让很多高端设备处理一些不应该让这些非常高端的设备去处理的流量,这就引发了资源的浪费。这么多流量其实完全可以用一些简单的方法不让它流进去,使得流入这些安全设施的流量浓度更高,更值得去分析,并借此能够帮助安全设施提升防护效率。
那么如何将企业网络所接触到的攻击面缩小,以产生更少的攻击、更少的SIEM报警,让企业原来的主体安全架构更注重做一些更高端的防护业务,便催生Ixia推出一款基于IP地址过滤的网络防护新品——ThreatARMOR。
ThreatARMOR企业网络的“新盔甲”
ThreatARMOR可以阻止这些已知的不正常流量,并降低现有安全基础设施的负担。ThreatARMOR可以在这些不必要的流量影响现有企业安全基础架构之前消除它们,使得客户无需浪费时间和成本来审查庞大的安全系统所生成的大量多余通知,而这些通知可能会让企业安全团队对报警产生疲劳感。
据张炜介绍,ThreatARMOR由两部分组成,即硬件与系统。一个就是部署在现场做硬件拦截的,它就是做执行的,另一个则是远端的智能库,即应用与威胁情报(ATI)系统。该系统在线上运营了十几年,可以获得一些新的资源,威胁信息、恶意IP等等。基于ATI数据库,可以产生ThreatARMOR Rap Sheet恶意列表,把这个库以一定的格式的形式推给终端的设备,布置在现网的设备,可以做到5分钟更新一次。
“一旦你的网站被发现有挂码,而且被探测出来了,5分钟之后就可以把这个信息推送给前端的设备,让它决定拦截掉。如果挂码被清除了,没有挂码了,系统也会推送给前端设备这个IP可以通过了”,张炜举例到。
在硬件方面,其将ATI库与具体执行完全分开,基于IP的过滤完全由硬件来实现,硬件里面有黑名单、白名单的列表,并可以了解基于IP地址做了什么,全球的IP能不能通过都会有一个信息记录,非常快的实现过滤。不管是注册一个IP,还是10亿个IP,都可以做到线速,因为这是由ATI数据库反馈的,设备根本不用做计算。
重要的还有它的高可靠性,由于ThreatARMOR是串到链路里面去,为了防止故障,Ixia还集成了一个旁路网卡。因为设备本身就已经是高可靠性,出了问题可以直接通过网卡通传过去,防止设备宕机造成网络中断等过程,另外还有双冗余设计、可更换硬盘等等。
那么部署了ThreatARMOR以后,会为企业带来怎样效果呢?最主要的便是会把那些已经知道的恶意IP地址全部过滤掉,因为它可能要报已知的恶意IP地址,这样可以消除30%的报警,为企业节约6300小时,当于3个工程师的工作量。张炜表示,如果一个工程师按年收入10万美金计算的话,那就是30万美金。加了这个设备,每年可以为企业节省30万美金的运营支出,除去设备的投入,ROI可以达到15倍。
今天在传统的企业市场里Ixia更强调的是可视化产品系列,因为可视化产品系列是为了所有的安全设备提供流量,对其进行分析,来优化后面的监控和安全设备的。而此次ThreatARMOR作为可视化产品中推出的一个重要组件,可以为企业网络防护构建一个新的可视化平台,并为企业网络铸造上第一道的防护屏障。
18221259202