大数据时代电信运营商如何守好“边界”

随着大数据时代的来临，针对核心数据的网络攻击事件层出不穷，网络安全火热沸腾。国际方面，美国人事管理局2700万政府雇员及申请人信息泄密；美国国税局10万名纳税人的财务信息泄露；美股券商Scottrade，460万客户敏感信息泄露；意大利间谍软件公司HackingTeam被黑，包含多个零日漏洞、入侵工具和大量工作邮件及客户名单的400G数据被传到网上任意下载；国内方面，铁道部官方网站13万用户信息泄露；大麦网600万用户账号密码泄露并在黑产论坛公开售卖；海康威视被黑客植入代码导致被远程监控；网易骨干网遭攻击，百万游戏用户中断；网络攻击日新月异，网络安全事件层出不穷，全球网络安全形势十分严峻。

运营商网络边界是攻防战必争之地，根据安全域的划分，日常维护区、第三方接入区、DMZ区、日常办公区、开发测试区等多种安全区均会是网络攻防的主攻方向。而传统防火墙应对以APT为代表的各类高级威胁难以发挥作用，对复杂网络攻击手段的检测能力、感知网络异常行为、发现未知威胁方面均存在不足，要想取得网络边界攻防战的胜利需要具有以大数据驱为基础的安全管控能力，具有协同防御、智能封锁的安全边界设备以应对新的威胁新的挑战。

运营商边界安全的新一代威胁趋势

网络攻击技术历经长达20多年的发展，新一代网络威胁攻击者采取了现有检测体系难以检测的方式方法，如未知漏洞利用、已知漏洞变形、特种木马，并组合各种技术，包含社会工程学、钓鱼、供应链植入等，各种攻击模式或组合能有效穿透大多数边界防御体系，最终达到盗取内部敏感信息或破坏目标网络的目的。新一代网络威胁具有隐蔽性强、自动化高、速度快、破坏力大等特点，现有主要网络攻击技术类型如下：

高级隐遁技术（AET）：即将已知的逃避技术进行新的各种组合，形成高级逃避能力，从而绕过网关设备检测，形成网络攻击。

0DAY漏洞威胁：0DAY漏洞由于系统还未修补，而大多数用户、厂商也不知道漏洞的存在，因此是攻击者入侵系统的利器。

多态病毒木马威胁：已有病毒木马通过修改变形就可以形成一个新的未知的病毒和木马，而恶意代码开发者也还在不断开发新的功能更强大的病毒和木马，他们可以绕过现有基于签名的检测体系发起攻击。

混合性威胁：攻击者混合多种路径、手段和目标来发起攻击。

定向攻击威胁：攻击者发起针对具体目标的攻击。

高级持续性威胁：APT是以上各种手段（甚至包括传统间谍等非IT技术手段）的组合，是威胁中最可怕的威胁，是攻击者精心策划，为了达成即定的目标，长期持续的攻击行为。

运营商边界安全的新一代防御技术趋势

运营商网络边界是攻防战的第一主战场，防火墙则是攻防战争中的“先锋官”，在整个防御体系中地位举足轻重。威胁多变，基于签名的传统边界防火墙产品已经无法抵御新一代威胁，因此对新一代智慧防火墙提出全新防御技术挑战，那么智慧防火墙应该具有哪些必要的防御技术能力呢？

n对攻击载体的多纬度检测能力

智慧防火墙的检测能力是安全防护能力的核心，根据新一代网络威胁的特性，对每个攻击载体点的检测，需要采用多维度的深度检测机制，确保攻击者难以逃过检测。智慧防火墙应具有传统的基于签名的检测（已知攻击）、基于深度内容的检测（抗逃逸的未知威胁）、基于虚拟行为的检测（抗逃逸的未知威胁）、基于事件关联的检测（抗逃逸的未知威胁）、基于全局数据分析的检测（抗逃逸的未知威胁）等检测手段，考虑智慧防火墙高性能要求，各种检测技术必须存在，但未必均在智慧防火墙上实现，可以通过云端或本地第三方设备实现，并采用智能联动实现威胁防御。

n互联网大数据驱动防火墙安全管控能力及威胁防御能力

云端互联网数据具有协议复杂、业务多样、威胁众多等特点，是挖掘协议样本和威胁样本最好最实时的数据源泉。基于云端强大的分布式计算能力对互联网大数据获取、分析、挖掘并采用人工智能、机器学习的全自动协议特征提取技术，第一时间提取出新应用特征并动态实时同步至防火墙应用特征签名库中，做到新应用发布与应用特征发布“无延时”，实现防火墙产品应用纬度的及时精准管控；同时对互联网大数据采用恶意行为检测、虚拟沙箱执行等技术实现对IP、URL、文件等深度执行、分析及威胁挖掘，最终获取IP、URL、文件信誉度及黑、白、灰名单库等互联网情报，并动态实时同步至防火墙威胁情报签名库中，能及时有效的抵御木马、钓鱼、蠕虫、病毒、僵尸网络等已知及未知威胁，有效防御逃逸威胁及APT攻击；智慧防火墙需要具有互联网大数据及数据挖掘技术作为管控及威胁防御能力的技术支撑。

协同防御、智能封锁

防御体系是安全产品综合解决方案，更需要安全产品间各种防御技术的智能联动与协同，在此防御体系中，防火墙则是处理结果的动作有效执行者。传统安全一般只实现了防火墙与IDS的联动，新一代威胁的隐蔽性，决定了威胁的检测与防御必须在云端、网络、终端的各节点的安全设备进行多层检测及防御，然而在整个防御体系统中，防火墙是受保护网络的大门，进出的双向流量必须通过这道门，因此无论节点的任何安全设备发现威胁，都需要与防火墙形成动态联动策略，防火墙实现门禁的智能封锁。例如：云端互联网情报系统、镜像检测的内网大数据分析系统、终端安全管理系统、终端病毒检测系统等各节点安全设备检测出威胁或异常，均可以通知防火墙动态生成安全规则，实行威胁管制并告警。因此智慧防火墙必须具有协同防御、智能封锁能力。

从“看得见”的新视角感知网络异常行为，发现未知威胁

防火墙产品部署的位置及其数据处理技术，决定了其具有天然的网关数据获取、分析、关联及展示能力，通过对流经的网络数据进行分类可视化展示及指标关联分析展示（如终端数据展示、业务数据展示、网络性能数据指标展示等），形成各种纬度的数据模型，并与正常网络流量下的数据模型进行对比分析加之人为判断，从而发现网络中的异常行为，实现慢性DDOS攻击及漏检测的变种木马、加壳病毒、僵尸网络等威胁发现、自动化阻断或告警；

面向内容的融合安全

传统防火墙产品主要围绕网络安全防护，智慧防火墙在此基础上更需强调面向应用、面向内容的融合安全。高性能基础上，智慧防火墙必须具有应用层协议识别及解析能力（如Mail、HTTP、IM、FTP、P2P等等）和应用层协议承载的数据文件、可执行文件、URL、HTML（含多层压缩）等进行内容还原并深度安全检查，实现敏感信息过滤，在网关位置防止敏感信息泄露。

系统安全可靠，无坚不摧

智慧防火墙自身安全至关重要，同样也是攻击入侵的主要目标，因此自身系统需确保无漏洞、安全可靠。系统管理方面需关闭一切不必要的服务（SSH、HTTPS、TELNET等）、口令复杂程度高且定期更新、设备受限管理、安全策略配置严谨精细等等。

综上所述，智慧防火墙核心威胁检测思想是要具有智慧的能力，就是由深度检测平面（多维度检测能力）、云端数据平面（大数据威胁挖掘）、协同防御平面（联动方案能力）、异常行为发现平面（看得见的安全）、内容可视平面（内容安全）、系统自身安全平面（系统健壮性）构成一个六维立体的防火墙网关威胁防御体系，有攻击者可能会饶过一个点或一个面的检测，想全面地逃避掉检测，则非常困难。智慧防火墙只有实现了以上的六面立体的威胁防御能力，才能够实现对下一代威胁（包括APT）的完美防御。

总结

面对运营商海量的数据及隐藏其中的各种高级威胁，部署在运营商各安全域边界的防火墙不能再孤军作战，而是需要建立起协同防御的安全体系，并依托于持续更新的威胁情报和不断加强的技术能力，持续提升自身提升发现和响应高级威胁的能力，从而在边界更好的对抗各种安全威胁。因此智慧防火墙应运而生。