根据网络安全知名人士Nir Zuk,英国银行正在投资数千英镑在那些根本不见得能起到作用的防火墙上。
Zuk是防火墙厂商Palo Alto Networks的首席技术官,他上周在伦敦的一次采访中表示,在英国和其他地方的一些银行使用防火墙来保护他们的网络,但是他们认为他们的网络安全架构没有获得成功。
"在此方面我们与银行方面进行过会议沟通,我问他们,你们为什么要用防火墙?它能为你们做什么呢?几乎没有人可以给出一个正确的答案。"Zuk说,"我问他们,如果你们将防火墙从网络中移出会发生什么,他们最终总结说,他们的安全状态不会发生改变,就算防火墙被移出。"
银行与其他企业一样,使用同样的防火墙技术。防火墙已经不再是简单地端口控制器(它可以识别或者屏蔽或支持基于与IP端口号的流量);端口号会告诉你,这些流量是来自网络浏览还是电子邮件。
今天的技术包括状态防火墙,可以跟踪网络连接,例如TCP或UDP。换言之,一个状态防火墙可连续分析每一个包,且不是孤立的。
入侵检测和防护技术,让系统可以检查每个包中是否含有恶意软件。代理服务器还被设置在网络服务器的前端,他们可以减低负载也可以作为过滤器,屏蔽恶意软件的攻击。
然而,每一项技术都需要一个单独的操作台,每个都需要进行安装,使用电源和进行管理,所以增加了操作支出。
"防火墙的作用并不大,因为他们除了管理端口外能做到的事情不多。在过去的7年中,防火墙一直没有改进多少,因此用户投资再多的钱在防火墙上也是无用。"Zuk说。
安全厂商赛门铁克的Tony Osborn不同意这一观点,他说,在防御攻击方面防火期的一线防护作用仍很重要。而防火墙覆盖的范围"已经被重新确定,扩大到雇员和企业的用户范围。"最后的结果是,企业需要把他们的安全嵌入到企业政策之中,他说。
防火墙的问题只是很多问题中的一部分,Zuk说。"安全行业是建立在这样的一个公理上的,那就是安全厂商必须要解决非常具体的问题,每个具体的问题都要用最好的技术来解决。"他说。但是,Zuk说,企业应该期待的是更加全面的安全技术。
安全分析和研究人员Jan Guldentops赞同Zuk的观点,防火墙不能全面地保护银行的安全。但是他说,更好的防火墙技术是可以解决这些问题的。
"他是对的但他也是错的。"Guldentops说,"你不能再通过端口来识别流量,因此你需要应用程序的报告来查看连接和知晓发生了什么。"
"那么问题就转移到了边界安全方面。从来就没有什么网络边界,不法分子也从来都不在所谓的外面世界,他们是与你信任的人混在一起的。所以你才会遇到数据泄漏的事情,这就构成了看起来合法的流量。"
Guldentops表示,这个过程需要更高一层的水平。"我们从过滤端口开始,然后又使用状态检测防火墙,随后我们增加了入侵检测系统,现在我们需要应用程序报告。下个级别意味着你需要一个更智能的防火墙。"他说。
