企业如何提升现有安全设施的效率?

  【雷竞技须安全稳定 网络频道】近日，应用性能和安全弹性解决方案供应商Ixia宣布为企业网络推出全新前沿防御系统ThreatARMOR。ThreatARMOR是Ixia可视性架构的另一项重大创新，让企业得以缩小其日益扩大的全球网络攻击面。ThreatARMOR是对现有安全基础架构的自然补充，可以减少安全威胁报警的数量，并释放资源以注重解决关键问题。

 Ixia应用和安全业务发展总监孙震

  Ixia应用和安全业务发展总监孙震介绍说，被攻击者和攻击目标以及所有受到攻击的通路我们叫做攻击面。基于IP连接会产生攻击面，这个攻击面是很大的，从各个角落攻击你的网络，只要你的通路可达原则上都可以攻击你。为了解决安全问题，我们可能有各种各样的措施，但是随着互联网边界越来越大，包括APT在内的新型攻击技术出现，我们的安全架构也在不断变大。所以就造成安全边界也在不断扩大，各种各样的安全可能性都会发生。

  ThreatARMOR提升企业安全设施工作效率

  孙震表示，企业面临的各种各样的业务越来越多，各种各样的连接越来越多，面临攻击的规模也在不断变大。对于一个企业来讲，能不能让他所接触到的攻击面变小。这样可以产生更少的攻击，更少的SIEM报警，让企业原来的主体安全架构更注重做一些更高端的事情。这是我们推出ThreatARMOR这个产品一个最基本的想法。

  ThreatARMOR安全设备可以部署在边界内部和网络，发现受感染的内部系统并阻止与僵尸网络控制器的通信，同时减少来自已知不正常网站和特定国家的入站防火墙和SIEM负载。来自这些网站的加密连接也可以自动阻止。

  Ixia NVS大中华区总经理曹智峰表示，防火墙、IPS，还有WAF等设备组成了企业的安全系统，通过ThreatARMOR进行IP拦截，能够降低这些设备的工作量。而且ThreatARMOR不关心原有设备的细节，可以实现与这些设备的无缝融合。ThreatARMOR最终的目标是提高企业整个安全系统的使用效率。

 Ixia中国区总经理张炜

  Ixia中国区总经理张炜补充说，企业每年会在网络安全架构上面投入很多钱，花很多资金建设安全防范体系，但是使用非常高端的安全设备去处理部分流量有点大材小用，其实这些流量完全可以用一些简单的方法过滤掉，使得流入这些安全设施的流量更值得分析，我们希望能够提升这些安全设施的效率。

  孙震表示，主流防火墙擅长的能力应该是对于内容引擎的识别和病毒的识别或者一些特征的识别，或者一些相关信息的识别，而不应该在IP地址过滤上消耗那么大的资源。2015年的研究报告显示，每年企业要花21000个小时处理各种安全报警。使用了ThreatARMOR以后，会带来什么效果呢？通过把那些已知的恶意IP地址全部过滤掉，我们可以消除30%的报警，为企业节约6300小时，这相当于3个工程师的工作量。一个工程师按年收入10万美金算的话，那就是30万美金。这就意味着企业部署了ThreatARMOR，可以为其节省30万美金的运营支出，除去设备的投入，ROI可以达到15倍。

  云+端模式让ThreatARMOR如虎添翼

  ThreatARMOR不使用特征码，并且不会出现误报。对于任何被阻止的网站，都会在屏幕上出现恶意活动的证据，例如恶意软件分发或钓鱼攻击，包括最近的确认日期甚至截屏。Ixia的应用与威胁情报(ATI)研究中心会持续更新该网站列表，分别验证每个网站并每五分钟通过云更新一次。

  孙震介绍，Ixia的专业级应用与威胁情报(ATI)项目十几年来一直在向全球最大的运营商和安全设备制造商提供威胁情报，用于测试其网络安全产品和系统的效果。ATI项目为ThreatARMOR提供威胁情报和详细的Rap Sheet记录表，以记录每个相关IP地址的恶意活动。Rap Sheet提供所有被拦截网站的恶意活动的证据，以及该活动(例如恶意软件分发或钓鱼)的屏幕证据，包括最近的确认日期和截屏信息。

  通过清晰地报告拦截行动，客户可以轻松地支持IT合规审计。所有ThreatARMOR设备会持续获得威胁情报和Rap Sheet更新，实现不间断且始终如一的威胁防护。

  对于ThreatARMOR的云+端模式，孙震表示，数据驱动安全，有数据才有安全。云+端就是通过在云端对大数据进行采集和智能判断，然后告诉终端你该做什么，不该做什么。需要强调的是ThreatARMOR本身并不会收集数据，Ixia的ATI本身有其他途径收集安全数据。

  此外，ThreatARMOR为实现运营的弹性和故障防护而设计，双冗余电源和内置旁路模式的以太网接口等特性在1GbE电口和10GbE光口上确保网络可用性。

  孙震总结说，ThreatARMOR给企业带来哪些价值呢？第一，阻止企业网络中不需要流量的流入和流出，不仅可以把外部的流量基于IP进行拦截，内部如果IP地址是被挂马或者僵尸化，我也可以拦截掉，缩小企业的攻击面。第二，提高企业原有安全设施的工作效率。第三，全球的Ixia专业级的应用ATI库来支撑这个产品，相当于我们远端有一个大脑在指挥它你该怎么办，这个大脑就是ATI库。

  最后，张炜补充说，Ixia在传统企业市场里更强调的是可视化产品系列，可视化产品系列是为了所有的安全设备提供流量，对其进行分析，优化后端的监控和安全设备。ThreatARMOR作为可视化产品里的一个部件，一个新的构成部分，可以强化Ixia整个可视化平台。ThreatARMOR未来是我们一个新的利润增长点。