防火牆上正在發生一個與過去截然不同的發展。
隨著威脅環境的轉變、系統管理員必須處理的技術數量和複雜性急劇增加,以及資料流被淹沒在雜訊之中,這導致了使我們的安全處於危險之中的嚴峻情況:
「當我擔任這個職務時,我很快就注意到我們的終端和網路缺乏可見度。如果有用戶的系統受到感染,我們完全無法察覺……」
─ 位於美國麻州的某醫療技術公司 IT 總監
他並不是唯一有這個顧慮的人,最近一項針對 IT 管理員的調查發現,目前大多數使用中的防火牆:
• 迫使系統管理員必須花費過多時間來找出他們所需的資訊。
• 無法提供足夠資訊反映網絡上的威脅和風險。
• 非常困難才能弄清楚如何使用所有的功能。
若要解決這種情形,我們必須採取一種全新的網路安全作法,一種可以使安全系統協同作業的方法。這種作法不儘可以簡化工作流程,還能從大量資料中揪出哪些訊息才是重要的。
那麼,我們應該怎麼做?
為什麼防火牆變得越來越好的同時會越糟
一開始,防火牆為主機、連接埠和通訊協定提供了基本的網路封包篩選和路由功能。它們強化了一個網路和其他地方之間的界限,並在這個網路內不斷巡守。
這些防火牆在限制只將服務提供有需要的電腦和網路方面是有效的,減少了駭客和外部惡意軟體可以利用的受攻擊面。
當然,攻擊者不會就此罷手,因此攻擊開始入侵防火牆無法保護的服務:攻擊應用程式和伺服器的弱點,或利用社交工程透過電子郵件或受感染的網站在網路內部建立據點。
防火牆技術也持續發展,將 OSI 堆疊提升到Layer 7,藉以根據來源使用者或應用程式識別和控制流量,而深度檢測技術可以在應用程式流量的內容中尋找威脅。
這種從連接埠和通訊協定轉向應用程式和使用者的改變催生出一種新的網路保護類型,即所謂的「新一代」(next-generation) 防火牆,其功能包括深度檢測加密和未加密流量的封包、入侵防禦、應用程式感知和以使用者為基礎的政策,以及傳統的狀態式檢查技術。
因此,現代防火牆產品越來越難操作和管理,通常必須使用個別和整合不良的解決方案來解決不同的威脅和合規性要求。
系統整合不良會導致系統管理員出現盲點:
「…我們的程式其實是拚拼湊湊的。我們有一個防毒程式。還有一個不同的防火牆供應商……你不知道怎麼把所有的東西結合在一起。」
─ 美國懷俄明州校區技術協調員
這些系統產生的資料量非常龐大,超越一般網路管理員所能負擔的程度。
應該如何改進防火牆
網路安全需要一個更具突破性的方法來整合複雜的技術,並且需要一個全新品種的防火牆:一個從一開始就專為現有防火牆的問題而開發,並且提供一個專為因應不斷演變的威脅和網路態勢所設計的平台。
這種新型的防火牆必須處理比過去更進階、更具躲避能力和有針對性的現代網路威脅。這些進階型持續威脅 (APT) 使用的技術可以讓每個執行個體都是全新的零時差威脅,這對以特徵碼為主的惡意軟體偵測而言是一項嚴峻的挑戰。
現代防火牆必須:
- 可以識別惡意行為,對高風險使用者和高風險行為、不良應用程式、可疑的裝載和持續性威脅提供前所未有的可見度。
- 可與其他安全系統 (如端點解決方案) 一起運作,以快速、高效率地偵測、識別和回應進階型威脅。
- 使用動態應用程式控制技術,可以正確識別和管理特徵碼型引擎無法發現的未知應用程式。
- 整合一整套的威脅防護技術,讓網路管理員能夠一目瞭然地設定和維護安全狀態。
防火牆必須重奪作為可信任的網路執法者的崗位,阻擋和遏止威脅,並防範未經授權的資料外洩。
請下載我們的防火牆購買指南以取得有用的資訊,協助您在採購下一個防火牆時做出明智的決定。
英文原文: https://news.sophos.com/en-us/2017/12/08/the-problem-with-firewalls/
(本博文為翻譯本,內容以英文原文為準)