口述:我不愿做一个安静的防火墙 | 360企业安全副总裁王伟(2)
虽然我们做传统防火墙和下一代防火墙好多年了,但由于我们的智慧防火墙去年八月才上线,所以刚开始很多机构和企业抱着谨慎的态度。我记得某个机构因为业务比较重要,为了安全性和稳定性考虑,只同意先用旁路流量测试一下。但是仅仅这样测试,智慧防火墙很快报警出了12个被安装了木马的“沦陷主机”,其中有4个内网服务器 IP 地址和8个内网终端 IP 地址。由于我们使用的情报等级比较高,所以我几乎可以肯定这些木马绝对不是那些只用来控制服务器打打 DDoS 的僵尸网络,而是以入侵主机获取信息为目标的。 这些高级威胁,是之前的传统防火墙完全没有检测出来的。所以客户很快就接纳了我们的产品,并决定替换之前的其它家产品。 当然,我没办法回避。作为一个城墙,对于一些非常高级的威胁处理起来是有盲区的。很简单的一个情况就是,如果我们的威胁情报没有覆盖到这个进攻者,那么防火墙也无法认出它的真实面目。 ▲高墙电网,也总有人涉险犯关 不过,我们还能打开一些隐藏的火力。 讲个真实的故事吧。 我们曾经在某个高校里运行防火墙,并且把所有发现的威胁都清除了。但是我们的安服工程师多做了一个动作,那就是在智慧防火墙利用分析中心多维的数据分析了一下几个重要主机的流量。 他们发现在系统的主 DNS 服务器和辅 DNS 服务器上有过很多非 DNS 的请求动作,没有安静地做一个 DNS 服务器,这件事很可疑。 老师一开始有点怀疑准确性,我们连接了云端的威胁情报中心,还在国际威胁情报引擎 VT(Virus Total)上做了核实,确认这些请求果然是恶意的。 于是,我们仅仅利用数据的行为分析,就成功查到了黑客的入侵动作。 当然,作为一个安全研究员,我深深地知道没有绝对的安全,所有的防护措施,对面都是活生生的黑客。这个数字战场背后永远是两支人类军队在作战。 虽然高级的威胁可能攻破防火墙,但是每多一项安全措施和防火墙联动,黑客成功的概率就越小,进攻的成本就越大。 据此,我要更努力地安利我的防火墙。 王伟,360企业安全副总裁。 史中,小编主笔(微信:Fungungun),希望用简单的语言解释科技的一切。 更多网络安全内容请关注小编()宅客频道(微信公众号:宅客频道) ,。 (编辑:ASP站长网) |