互联网+

赵明

企业的网络安全防护工作通常就像滚雪球，越滚越大，不断增加的各种软硬件造成了运维成本和分析量的增加。在有效提高企业网络安全防护水平同时又能够降低成本正逐渐成为企业安全防护的首要任务。

虽然有智能分析系统和可视化软件帮助，但面对各种来自网络的威胁，企业仍然疲于应对。持续的探测和自动攻击淹没了SIEM（安全信息和事件管理）和安全团队，企业始终无法高枕无忧。

近日，应用性能和安全弹性解决方案供应商Ixia推出了一款致力于帮助企业提升网络安全防护效率的产品ThreatARMOR。该产品基于IP地址过滤，预先过滤掉不良和恶意IP地址发来的数据请求，降低企业网络安全防护所需处理的信息量，提升企业网络安全防护效率。

如何理解攻击面

根据Ponemon Institute在2015年1月发布的报告，企业平均每年花费21，000个小时来处理误报的网络安全威胁报警。随着互联网边界的不断扩大，安全边界也在不断扩大。新型攻击，包括APT等一些新型的持续攻击技术，正在逐步增多。我们的安全架构也在不断变大。

原先为了解决安全问题，企业通常是采用基于特征的防火墙做一些拦截，这样的安全架构已经不足以应对新安全形势，像SIEM、防内容泄漏、威胁分析、沙箱这样的新机制正逐步被添加到庞大的安全架构中。

在谈到这一现状时，Ixia应用和安全业务发展总监孙震提到了一个新概念“攻击面”，他表示：“被攻击者、攻击目标和所有受到攻击的通路，我们统称攻击面‘。只要发生IP连接就会产生攻击面。这个攻击面很大，会从各个角落攻击企业网络。”

为了应对日益增多的复杂攻击，企业为此付出了非常多的财力、物力和人力，企业安全架构也承受着难以想象的压力。Ixia为此提出了减小攻击面的新思路。减小攻击面，就可以减少攻击，从而减少SIEM报警，让企业的高端安全架构能够承担一些更高端的任务，而非处理琐碎事件。

新思路解决大麻烦

随着互联网威胁的复杂性和强度不断提升，需要迅速增添多种安全技术来保护网络。边界已经增加了新的层来处理新的威胁。通过威胁检测、恶意软件检查、内容安全、DLP、DDoS缓解等来增强现有防火墙和IPS/IDS系统。Ixia基于“攻击面”的新思路可以预先阻止来自特定IP地址的访问流量是其核心机制。ThreatARMOR正是基于这一思路设计的。

ThreatARMOR可以阻止来自已知不良IP地址的线速流量，并且无需把流量发送到专用网络之外进行检查。此外，除自动添加恶意IP地址外，它还可以通过SIEM工具手动添加。

企业网络安全架构可以通过黑白名单这个方式来防御外部入侵和攻击，但是如果企业内网的一部分已经成为僵尸网络，那么如何防范来自内部的攻击呢？对此，孙震表示：“ThreatARMOR可以识别并阻止受感染的内部设备与已知的僵尸网络C&C服务器进行通信。阻拦是双向的，这样可以让企业的安全架构变得更有效率。”

ThreatARMOR可以在这些不必要的流量影响现有企业安全基础架构之前消除它们，使得客户无需浪费时间和成本来审查庞大的安全系统所生成的大量“多余”通知，而这些通知可能会让企业安全团队对报警产生疲劳感。ThreatARMOR确保IT安全人士和资源集中于解决关键业务问题，并降低错过重要报警的风险。

Ixia中国区总经理张炜表示：“ThreatARMOR基于Ixia已有的智能网络来帮助保障网络安全，它是企业提升网络安全设施效率的一个非常有效的机制。

ThreatARMOR在企业网络中建立新的前沿防御阵地，通过在不正常流量抵达现有安全基础架构之前予以消除网络威胁，提高安全投资的回报率。孙震表示：“ThreatARMOR不使用特征码，并且不会出现误报。对于任何被阻止的网站，都会留下恶意活动的证据，例如对恶意软件分发或钓鱼攻击，它可以确认日期，对日志进行截屏。Ixia的应用与威胁情报（ATI）研究中心会持续更新该网站列表，分别验证每个网站并每五分钟通过云更新一次。企业使用ThreatARMOR直接过滤掉已知恶意IP地址，这样就可以消除此前30%的报警，为企业节约6300小时，相当于3个工程师的工作量，近30万美元运营支出。除去设备的投入，ROI可以达到15倍。”

变革与发展

以上是ThreatARMOR在企业中的直观价值体现，而对于Ixia来说，这款产品的价值主要体现在它已经成为了Ixia可视化产品的重要组成部分。Ixia有一个专业级的应用ATI库来支撑所有Ixia产品。ATI相当于一个大脑在远端指挥Ixia的产品。

借助ATI应用情报，ThreatARMOR解决了网络管理员面临的最大挑战之一——延伸第四层信息的完整网络可视性。ATI处理器扩大了可视性，可以让企业深入了解网络，包括应用程序的带宽和应用流量的地理位置。ATI处理器可以动态检测新的应用程序，无需特征码。此外，它还提供了移动设备编号和浏览器信息。

张玮对此评述道：“在传统的企业市场里我们更强调的是可视化产品系列，可视化产品系列是为了所有的安全设备提供流量，对其进行分析，来优化后面的监控和安全设备的。这其中包含了包转发器、分光器，Ixia将ThreatARMOR作为可视化产品里的一个新的组成部件来强化整个可视化平台。ThreatARMOR是Ixia的一个新的利润的增长点。”

如今，Ixia已经不仅仅是为了运营商和设备供应商提供服务，它已经开始直接面向企业客户，为其提供服务。Ixia NVS 大中华区总经理曹智锋对于Ixia在转型期间有哪些期望时表示：“Ixia前两年也在做转型，企业市场已经做得相当大了，为了丰富企业市场的一些产品，快速拓展企业市场。所以，我们不断加入新产品。未来我们会把这款产品作为我们的一个支柱点来进行拓展，特别是在一些重点的行业，像金融、大的数据中心、高端制造业都是我们核心的重点的推广行业。我相信在未来的1～2年内它马上会成为我们Ixia企业事业部的重要的收入来源。”

对于Ixia来说，转型不是目的，只是手段。张玮对Ixia的战略概括为以下两个方面，他表示：“公司整体上的战略可以分为两个部分。一部分是注重三个领域——测试、可视化和安全，另一部分是与从传统制造商和运营商的合作延展到和企业合作。我们预期跟企业合作的业务百分比会明显提高，而其他业务仍然会持续稳定增长。这也是我们在全球部署企业团队，并且和我们的合作伙伴一起进行拓展的重要原因。”

传统市场里的安全设备厂商将会成为Ixia的合作伙伴，最终和Ixia一起使企业安全体系更有效。对企业和Ixia自身来说，这样一款化繁为简的产品的确起到非凡的作用，而对于Ixia来说，最直观的作用可能会体现在Ixia的财报中。

ThreatARMOR主要面向企业市场，张玮预测：“在财报上业绩可能会持续增长，但很难说Q4会怎么样，因为它毕竟是刚刚发布的一个产品。不过，自从发布两周以来，市场反响非常好，这是跟华尔街做过很多的沟通得来的结果。为了这个产品的发布，我们CEO到纳斯达克去敲钟，一来是给投资者一个信息，二来也是给市场一个信息，Ixia正在进入一个更关注企业、更关注产业的领域。”