防火墻作為面向外部入侵的第一道防線,它在網(wǎng)絡與外部之間建立一道安全壁壘,對進入或離開網(wǎng)絡的數(shù)據(jù)流進行篩選和過濾,以保護網(wǎng)絡免受未經(jīng)授權(quán)的訪問、惡意攻擊和數(shù)據(jù)泄露等威脅。
然而,隨著AI的普及,攻擊門檻降低的同時,攻擊的破壞性還增強了。無疑,防火墻也需要隨之“進化”。
防火墻進化史
20世紀80年代,防火墻技術(shù)幾乎與路由器同時出現(xiàn)。
最早的防火墻是由一些基于路由器和過濾器的簡單設(shè)備,用于隔離內(nèi)部網(wǎng)絡與外部網(wǎng)絡,僅能實現(xiàn)簡單的訪問控制。
隨著互聯(lián)網(wǎng)的增長和威脅的不斷演化,防火墻開始逐漸進化。從簡單的數(shù)據(jù)包過濾發(fā)展到代理防火墻、狀態(tài)監(jiān)測防火墻、統(tǒng)一威脅管理(UTM),再到下一代防火墻(NGFW)。
包過濾防火墻和代理防火墻除了制定內(nèi)向外連接的安全策略外,還要制定外向內(nèi)的策略,存在安全隱患。狀態(tài)監(jiān)測防火墻通過狀態(tài)監(jiān)測機制提高轉(zhuǎn)發(fā)效率和安全性,但其功能較為單一。通過給狀態(tài)監(jiān)測防火墻上集成VPN、防病毒、郵件過濾關(guān)鍵字過濾等功能,漸漸形成了第四代防火墻:統(tǒng)一威脅管理,但其效率不高且并沒有集成深度報文檢測功能。于是又發(fā)展出第五代防火墻:下一代防火墻(NGFW),解決了統(tǒng)一威脅管理防火墻效率不足和報文深度檢測能力不足的弱點。
Gartner把NGFW看作不同信任級別的網(wǎng)絡之間的一個線速實時防護設(shè)備,能夠?qū)α髁繄?zhí)行深度檢測,并阻斷攻擊。關(guān)于NGFW的定義,Gartner強調(diào),傳統(tǒng)的防火墻功能、應用識別與應用控制技術(shù)、IPS與防火墻深度集成、利用防火墻以外的信息來增強管控能力等是下一代防火墻的關(guān)鍵方面。
眾多主流廠家也都推出了各自的下一代墻。例如,Cisco Firepower,思科(Cisco)推出的下一代防火墻解決方案,集成了防火墻、IPS、VPN和高級威脅防御(ATP)功能,采用深度數(shù)據(jù)包檢測(DPI)和先進的分析來識別和阻止威脅,同時能提供對網(wǎng)絡流量的細粒度控制。可以看到,NGFW以其先進的安全功能和適應性為企業(yè)網(wǎng)絡提供了更全面、更高級的保護。
但防火墻在升級,威脅也在同步演變。傳統(tǒng)的病毒、木馬等威脅逐漸被以高級持續(xù)性威脅(APT)為代表的新型威脅所取代。這些高級威脅更加隱蔽、擴散更快,并能長期存在于受攻擊者的網(wǎng)絡中。面對快速變化的威脅種類,傳統(tǒng)NGFW基于簽名的威脅檢測無法應對高級、未知威脅,簽名匹配無法防御整體攻擊鏈,并且還存在威脅處置人工程度高、花費時間長的問題。
因此,面對網(wǎng)絡和威脅的不斷演進,NGFW也需要更新?lián)Q代。2023年以來,蓬勃發(fā)展的生成式人工智能技術(shù),也為防火墻的發(fā)展帶來了新的契機,各大安全廠商紛紛探索如何獲得AI技術(shù)的加持。思科,也不例外,發(fā)布了基于自然語言的安全人工智能助理(AI Assistant for Security),并將其融入到全線防火墻產(chǎn)品中,旨在幫助企業(yè)客戶更好地評估安全狀況、消除配置錯誤并自動執(zhí)行復雜任務。
AI與防火墻
其實,AI在防火墻中的應用并非是2023年才開始的。
早在2017年左右,預測式AI已經(jīng)比較成熟,并且嵌入到了很多產(chǎn)品和解決方案中,基于現(xiàn)有數(shù)據(jù)進行分析,主要用來實現(xiàn)自動化、推薦、預測等。
2023年,生成式AI風靡全球,其利用文本、圖片、音視頻等創(chuàng)作新內(nèi)容的能力,給安全行業(yè)帶來很多具有突破性的創(chuàng)新和應用場景。
以思科公司的AI下一代防火墻Firepower為例,以前在生成訪問控制規(guī)則時需要手動輸入。對于中小企業(yè)來說,由于策略較少,操作相對簡單;但是對于大中型企業(yè)來說,成千上萬條的策略需要人工統(tǒng)一維護和優(yōu)化,是一個沉重的負擔,F(xiàn)在有了安全人工智能助理的助力,安全運維人員可以通過語音/文本指示系統(tǒng)自動生成策略,并給出優(yōu)化建議。
值得一提的是,思科還在探索使用生成式AI增強加密流量檢測的能力,通過獨特的EVE/加密可視化引擎在不解密情況下檢測惡意文件并觸發(fā)告警,最小化性能開銷,豐富主機透視畫像中的應用和系統(tǒng)檢測。
對于探索生成式AI與安全的深度融合,思科的優(yōu)勢在于對搜集上來的海量數(shù)據(jù)有深刻認知,比如對基礎(chǔ)漏洞有深入研究,并全面了解攻擊的方式和方法。思科運營的 Talos 是享譽全球的網(wǎng)絡安全情報組織,這是一個由500多名專家組成的團隊,每天分析來自全球的海量安全信息包括各種來源的惡意軟件樣本、攻擊樣本數(shù)據(jù)、漏洞信息、惡意域名和 IP 地址等,同時結(jié)合大量機器學習與AI算法,總結(jié)出各類攻擊發(fā)動的行為、流量等特征,提供業(yè)內(nèi)最全面和主動的安全與威脅情報解決方案,并將這些洞察融入到思科的安全產(chǎn)品中。
并且,思科在人工智能版圖還在不斷擴大。今年以來,思科收購了大語言模型領(lǐng)域的領(lǐng)導性安全廠商Armorblox,并將其產(chǎn)品融入到思科現(xiàn)有的解決方案中。預計2024年8月,思科將正式完成對Splunk的并購,此舉將大幅提升思科在生成式AI、大數(shù)據(jù)、方面的方案完整性和能力。
AI是企業(yè)的必答題
根據(jù)2023年思科發(fā)布的《思科人工智能就緒指數(shù)》,僅有9%的中國企業(yè)在部署和利用人工智能方面做好了充分準備。
但與此同時,攻擊者已經(jīng)開始使用生成式AI來升級他們的攻擊行為。與傳統(tǒng)網(wǎng)絡攻擊相比,AI驅(qū)動的網(wǎng)絡安全威脅具有更高的智能和適應性。
面對AI驅(qū)動的網(wǎng)絡安全威脅,防御方面臨著諸多嚴峻挑戰(zhàn)。對于中小企業(yè)而言更是如此。
首先,技術(shù)的迅速發(fā)展使得防御方難以跟上攻擊者的步伐,因為攻擊者通常能夠快速適應新的防御手段,這就要求防御方不斷進行技術(shù)創(chuàng)新和研究。其次,大數(shù)據(jù)時代下,處理和分析海量數(shù)據(jù)成為一項艱巨任務,如何在繁多數(shù)據(jù)中精準識別威脅是亟待解決的問題。再者,高素質(zhì)人才的匱乏也制約了AI技術(shù)在網(wǎng)絡安全領(lǐng)域的應用,當前的人才儲備遠遠不能滿足日益增長的需求。
針對中小企業(yè)的需求,思科推出了AI下一代防火墻Firepower 1010/1010E,這款桌面級的下一代防火墻采用了基于人工智能的智能管理和七層安全防護技術(shù),可以在不解密加密流量的情況下對其進行深入分析,檢測每個應用程序,并標記和阻止惡意軟件,同時還提供漏洞防護功能。
該防火墻整合了多項可擴展的功能,包括基于威脅情報Talos的高級威脅防御、基于信譽地址庫URL過濾、與威脅情報系統(tǒng)Talos聯(lián)動的惡意軟件防護、應用控制以及安全VPN遠程連接等。用戶可以通過簡單易懂的中文界面進行操作,并且提供策略推薦功能,幫助用戶輕松管理網(wǎng)絡運維。
另外,該防火墻還提供了多種管理模式可供選擇,包括本地硬件集中管理控制中心、云端SaaS集中管理控制中心以及防火墻本地Web頁面直連管理。全新升級的思科AI下一代防火墻Firepower系列還免費提供了SD-WAN功能,讓企業(yè)能夠輕松組建企業(yè)安全專網(wǎng),保障業(yè)務安全可持續(xù)。
用”魔法“才能打敗”魔法“,隨著AI技術(shù)帶來的攻擊模式進化,更快、更強、更精準的攻擊不斷涌現(xiàn),使用AI來升級防御手段,已經(jīng)成為企業(yè)的必答題。
結(jié)語:
在安全行業(yè),生成式AI變革的潛力已經(jīng)開始展現(xiàn)。安全解決方案提供商思科已經(jīng)將包括生成式AI在內(nèi)的許多AI新技術(shù)應用于自己的解決方案當中,在實踐中也幫助用戶提高了安全運維效率和檢測效率。‘跑得更快’不僅僅只是思科的一個理念,它已經(jīng)逐漸成為現(xiàn)實。