如果您需要帮助,请点击这里

AI 防火墙:以智能筑就企业安全

Forrester Consulting 安全研究团队/文

感情男声
  • 感情男声
  • 感情女声
  • 标准男声
  • 标准女声
倍速1.0X
  • 倍速0.5X
  • 倍速1.0X
  • 倍速1.5X

科技的迅速发展是一把双刃剑,一方面为企业和个人带来了福利,但另一方面也武装了不法分子。近年来,网络安全形势愈发严峻,在智能化和自动化技术的加持下,新的攻击手段层出不穷,呈现出多样化、复杂化和立体化的趋势。安全事件在企业内的发生频率极高,成为企业业务发展的重要挑战。

网络安全形式日益严峻

网络攻击复杂多样

随着越来越多的应用曝露于网络,在巨大利益的诱惑下,网络攻击者的行为越发猖獗,威胁攻击手段日趋多样(如图 2 所示)。在 2018 年,CNCERT 捕获勒索软件近 14 万之多,整体呈上涨趋势。具有针对性的逃逸技术、零日漏洞挖掘、凭证窃取、专业钓鱼等攻击手段越发复杂。与此同时,网络攻击变种不断,为安全防护带来困难。伴随着大量黑客技术和工具广泛传播并快速变化,攻击技术也越发先进。有组织的高级长期威胁(APT)攻击令安全分析人员难以排除攻击链中多种威胁的干扰,防不胜防,为使用 NGFW 的企业带来严峻挑战。

安全攻击立体化

云计算的发展扩展了企业受攻击的边界。随着 5G 的发展,物联网应用将会迎来爆发增长,随之而来的威胁攻击也会更加立体。攻击目标由之前的 PC 主机扩大到一切可被利用的 ICT 设备;攻击方不仅来自于外部,也来自于内部或者第三方供应商。特别对于内网攻击来说,具有合法信息访问权的内部人员相比外部攻击更为隐蔽,安全检测困难,一旦发生危害巨大。企业必须增加立体化的安全防护手段,加强内外网整体防御,并联动其他安全产品实现全网阻断威胁。

企业使用 NGFW 面临挑战

为了应对不断演进的威胁和攻击,为了解决自身的性能及运维的挑战,防火墙技术一直在主动升级换代。但是在这十年间,黑色产业的技术能力也取得了长足进步。面对日益猖獗、日益智能化的网络攻击,面对正在到来的万物互联、万物智能的时代,NGFW 的防控技术面临严峻挑战。

NGFW 难以面对快速变种

NGFW 相比之前的防火墙可以更为有效识别应用风险,但是其策略引擎仍然具有较大局限性。现有方案通常针对已确认的单次威胁生成单条签名,当威胁产生变种时,之前的签名也就不再适用。这要求 NGFW 不断更新升级签名特征库,需要人工给出签名方案更新。但是本地设备的签名库数量有限,无法持续应对新增变化,需要运维人员不断更新策略以维持企业的安全防控能力。技术储备越发先进的黑产分子依靠持续变种就可以让防火墙疲于追赶变化被动应对,策略更新不及时的时间窗口为不法分子提供了可乘之机。因此,针对事后反应的机制需要进行智能化变革,从依赖事后经验转变为依赖数据和背后的洞察,才能面对严峻的安全挑战。

NGFW 难以应对立体化攻击

网络攻击日渐立体化,多方位攻击呈快速上升趋势。但是NGFW 仅能针对特征库内相对固定的协议或应用进行防护,面对特征库以外相同类别的协议、应用却无能为力。面对内网攻击,需要能够利用内网行为分析、异常流量检测等手段迅速发现威胁活动、定位失陷主机在此基础上快速补救、及时制止内部扩散,从而做到针对 APT 攻击链进行整体防御,布局跨越企业边界的检测网。

基于 NGFW 的安全运维工作日益繁重

在NGFW部署实施后,日常的安全运维工作变得非常关键。为了应对不断变化的威胁,管理员需要不断更新策略。此外,多数 NGFW 缺乏有效的数据分析能力,这导致安全运维人员需要靠人工来分析海量安全日志。运维人员工作繁重、压力巨大,但是效果却难以保证。日志分析深度依赖安全人员的经验,这无疑增大了企业对安全运维的投入,也要面临人员流失导致的巨大潜在风险。

人工智能技术带来重要契机

人工智能技术以其更好的信息抽象能力将海量信息映射到高维空间,带来的泛化能力和推理能力都为安全防护带来了新的契机。

人工智能革新威胁防控能力

威胁防控是防火墙要解决的首要问题。人工智能技术能够带来更精准的 APT 检测效果,更强大的威胁事件分析能力和更快速的威胁防御闭环,极大加强了防火墙面对威胁的防控能力。具体来说,人工智能能够:

•有效应对新型威胁的防御能力。基于签名或者规则的传统解决方案相对静态,面对不断升级的安全威胁处于疲于追赶的态势,难以做到主动防御。人工智能技术突破人类的低维度认知限制,从更深的层次“理解”威胁和攻击的行为模式。实践中,监督学习与非监督学习可以更为有效地检测频繁变种的恶意文件,发现失陷主机和远控肉鸡,侦测加密外发窃取,识别低频或分布式暴力破解等恶意行为。人工智能的学习模型可以充分利用海量数据,根据场景数据分析训练生成防御模型,并不断根据实时数据实现模型升级,实现自我进化。

•加强安全事件的智能分析能力。各种安全攻击会在安全日志中留下痕迹,但是从操作系统日志、主机威胁日志以及网络防护日志等海量日志中发现威胁攻击的蛛丝马迹,提炼洞察并不断提升防控能力则需要大量人力。人工智能可以为威胁事件分析带来变革。例如知识图谱技术可以沉淀全局攻防知识库和资产威胁事件等本地知识,结合环境数据图、行为数据图以及情报数据图,充分释放数据价值,更好的支持针对关键资产保护的攻击链识别和攻击态势呈现等任务。

•缩短 APT 攻击的响应时间。当侦测到入侵已经发生时,迅速定位隔离问题并作出恰当的反应就显得尤为关键。基于人工智能的 APT 防护模型相比传统方案更为轻量级,可以集成于防火墙本地,相比之前需要联动外部检测的做法可以缩短 APT 攻击的暴露时间窗,帮助企业将损失降到最低。

人工智能助力一体化防护能力的实现

人工智能技术有效改善了安全数据分析能力,并提供超越静态策略引擎的风险识别和防控能力,可以大大提高企业防火墙防范外来攻击的能力。人工智能技术还可以联动全网设备实现联合机器学习,持续优化防御模型。

•联邦学习持续优化防御效果。受限行业敏感和部分国家的政策限制,很多企业对于相互之间深度共享安全数据仍然存有疑虑。联邦学习等技术可以在不移动数据的前提下,通过加密机制下的参数交换实现模型效果提升,从而进一步丰富人工智能所需的训练数据集,实现分布式AI联合防御,提升防御效果。与此同时,AI 防火墙还能够结合全网威胁情报,持续、快速地更新检测与响应模型,保持模型的防御能力。

•布设内网防御,强化协同检测。防火墙通过内置诱捕陷阱,构建企业内部威胁扩散防护网,并结合基于 AI 的恶意流量分析甄别恶意或违规扩散流量实现内网协同检测。

人工智能为提升安全运维效率提供必要工具

高级安全运维人才相对短缺已是业界共识。安全运维能力需要提高是现有防控技术在严峻安全形势中的重要挑战之一。人工智能对海量日志的高效分析能力可以解放运维人员的时间。人工智能还可以辅助安全策略降低冗余、智能调优,乃至自动生成策略,减轻运维人员维护庞大规则库的压力。

人工智能防火墙成为必然选择

在万物互联、万物智能的时代,NGFW 的防控技术面临日益复杂的安全形势面临严峻挑战,而人工智能技术为企业防火墙带来了全新契机。因此,NGFW 需要充分拥抱人工智能,进化为人工智能防火墙(AIFW),进一步加强威胁防控能力,建立一体化防护能力,提升安全运维效率。要充分发挥人工智能的能力、最大化人工智能防火墙的防控效果,还需要从专用的AI安全芯片、边端云协同、安全生态系统多角度同时发力,完成防火墙技术的跃迁,促进全产业共同进步,为企业提供坚强有力的安全保障。

AI 芯片加持防御引擎实现本地 APT 防御

为了实现本地化防御 APT,AIFW 需要内置 AI 检测引擎,通过自我进化应对威胁变化。对于防火墙而言,加密解密、报文检测、流量转发已经需要消耗大量计算能力,AI 检测引擎所需的海量数据处理以及人工智能推理等操作将会进一步消耗大量算力。

因此,引入 AI 芯片,实现算力提升,才能在防火墙本地实现绝大多数的威胁检测、应急处理等功能,提供优于云端大数据方案的响应时间,达到更好的防护效果。事实上,多样性的计算任务客观上需要多样性的计算芯片,专用的安全芯片、协处理器以及AI 芯片必将在 AIFW 中发挥越来越重要的作用。

实现广泛协同,打造安全平台

物联网应用的爆发将会拉长企业的安全边界,对于防火墙的形态也会带来冲击。在企业内部,边缘侧加强安全防控能力需要利用 AIFW 实现联合检测,进而与其他 APT 设备以及云端实现联合检测。

长远来看,实现全面的安全防控还需要借助广泛的生态联盟,紧密协作,才有可能在猖獗的网络攻击中保持主动。这要求防火墙能够持续开放,交换、共享本地情报资源,为生态联盟作出贡献。企业也需要多多借助合作伙伴的力量,共享安全解决方案技术与经验。除此之外,安全技术和经验也可以反哺人工智能和物联网等相关新兴技术的进步,形成良性循环,通过多方协作的态势,才能在和不法分子的持续斗争中取得胜利。

战略建议

随着万物互联时代的来临,网络攻击比以往更为多样化、复杂化、立体化。Forrester 建议:

•人工智能使能新一代 AIFW。作为通用技术,人工智能将会广泛使能各业务场景,安全防控与攻击领域也不例外。面对已经由智能化武装的网络攻击,停留在策略引擎的防火墙类似于史前时代。企业要引入 AIFW,实现更全面的 APT 本地防御能力,积极采用 AI 芯片加速本地处理性能,与云端 AI 能力中心联合,不断更新模型能力,全方位保障企业安全。

•拥抱智能化提高安全运维效率。运维智能化和自动化是大势所趋。人工智能使能的流量分析、威胁识别以及行为识别等应用可以减轻运维人员的工作压力。人工智能驱动的安全策略智能调优有效解决手动维护策略库的弊端,进一步提高安全运维效率。随着针对未知威胁的检测准确率的不断提升,可以有效降低误告警数量,提高安全运维的质量。

•拥抱广泛生态打造安全平台。不法分子只需单点突破,而企业需要全面布防,天然处于劣势。面对日益猖獗的网络犯罪分子,企业必须联合起来,拥抱广泛的生态,共享自身安全情报,利用全网安全信息打造日益强大的安全防控模型,共同取得安全保卫战的胜利。

扫描体验移动阅读
ict 28 400 514

第28期 智能IP网络特辑

引领智能IP时代

当前相关内容

刊首语

视野

特别报道

焦点

专栏