你的企业网络第7层保护现在处于什么状态?奇怪的是,应用控制仍然是最难处理的网络边界,少数组织仍然必须使用一些有十多年历史的传统内容过滤系统和防火墙技术。
然而,在今年的RSA大会上,思科发布了一个开源Snort入侵检测系统引擎,它旨在成为一个有效的应用层安全工具。它的名称是OpenAppID。
虽然OpenAppID听起来很不错,但它仍然是一个新产品,所以不可避免地会遇到与其他新软件一样的问题。
在本文中,我们将介绍OpenAppID及其特性,了解一些适合企业的使用案例。
OpenAppID的工作原理是什么?
根据思科的介绍,OpenAppID允许一个公司高效地创建自己的应用程序防火墙。通过一组应用程序标识符——实际上是用于区分不同应用程序流量的签名,网络与安全管理员就可以在Snort系统中创建、共享和实现自定义的应用程序检测规则。OpenAppId可用于创建流量警报、阻挡流量及执行与环境相关的流量分析,以及生成关于网络中应用程序使用情况的报表。
这些稳定的特性使管理员坐在办公桌前就可以分辨出恶意应用程序和非法使用,从而处理已有及新出现的威胁。此外,它还消除了对于第7层安全供应商的依赖。直到现在,需要这种功能来检测和阻挡应用层流量的企业还没有其他选择,只能购买某一种商业产品。有了OpenAppID之后,企业现在就可以使用Snort作为基础建立一个自定义的开源应用程序防火墙,它可以根据组织需要创建流量警报或阻挡应用程序流量。而Snort是一个许多安全专家都非常熟悉的工具。
OpenAppID目前支持超过1,500个应用程序。管理员也可以自己编写应用程序检测器。
OpenAppID所支持的众多应用示例。
OpenAppID适用于哪些环境?
按照我对于开源软件的理解,通常我们必须付出才会换来回报。Snort是一个可靠的工具,而OpenAppID看起来又是一个不错的功能,所以这种免费组件可能会擦出火花。但是,这并不意味着它可以轻易变得像商业产品(如下一代防火墙)一样好用。Snort非常不错,OpenAppID也一样优秀,但是它仍然是一种新产品,因此它不可避免地会有与其他新软件一样的问题,未来也很快会有新特性和新变化到来。
在写这本书时,我了解到许多关于Sourcefire的感知应用产品。它有非常多的技术,这些技术对复杂企业网络管理有很大的帮助。然而,我认为思科不会让自己的商业产品受到Snort与OpenAppID等开源产品的影响。希望这家公司能够同时支持两种产品,这样企业就可以根据自己的需要进行选择。
但是按照这种说法,一个企业是否应该尝试通过OpenAppID实现更好的第7层网络安全控制呢?在加入OpenAppID大潮之前,要慎重考虑以下几个方面:
1.首先要考虑一下:企业安全项目准备要实现什么目标?目前有哪些业务风险?奇怪的是,许多组织还无法回答这些问题。最后要做的是用一个新技术去解决一个新问题,而现在还不知道这个风险是否会对企业环境产生重大影响。
2.现在公司部署的安全控制中,有哪些已经有了与OpenAppID类似的功能(如:下一代防火墙、内容过滤、终端保护)?OpenAppID与它们有何不同?是否更好一些?
3.组织是否有内部专业人员负责实现与监控这种工具?部署了OpenAppID之后,所有东西都受到监控;你是否负责承担这种挑战?如果从技术角度看没有问题,那么时间上是否有问题?每当企业增加一个新的网络安全功能时,一定还会有相关联的其他技术,否则是无法高效地完成目标。为了给OpenAppID及网络应用保护留下 更多的时间,你愿意放弃哪些东西?
如果这些问题都不存在,那么很有可能OpenAppID就适合你的公司使用。但是,一定要先在测试环境中试用它,或者至少要在不会产生负面影响的一小部分生产网络中试用,直至使它得到正确配置。一定不要向管理层推荐一些仅仅经过概念验证的产品,这样做的最终结果是得不偿失。
在第7层安全上,一些犯罪黑客会发起非常新的恶意应用程序攻击。虽然企业的技术跟进速度会稍稍落后一些,但是他们一样可以有相同的技术环境。就像肉搏战双方最终都会倒地一样,大多数网络安全斗争最终都会出现在最低的第7层;这些企业安全团队需要密切关注的区域。OpenAppID提供的免费网络应用控制所提供的保护与监控级别有可能帮助我们将网络安全推向一个新高度。