黑客攻防,一个看似神秘,但却必不可缺的领域。近期,全球网络与安全融合领域领导者Fortinet(Nasdaq:FTNT),开启了Fortinet DEMO DAY系列实战攻防演练线上直播,让人人都能零距离观摩黑客是如何“开黑”、破坏,以及Fortinet系列产品是如何进行见招拆招、一一化解的!
在第一期中,Fortinet攻防专家团队成员庄喆皓在进行黑客攻防演示后,与在线观众进行了深入的问答互动,以下是大家关注的七大相关问题与解答:
问题一、暴力破解和撞库攻击的区别?
一般可能会被认为二者是合一的。但是当深入了解后,会发现这两者存在一定的相似度,但是又有些许差异。
暴力破解其实更像是一种无差别攻击,对目标站点并没有一个很清晰的概念。但是撞库攻击更类似 APT 攻击,这意味它的攻击一定是目标明确的。比如,撞库攻击企业OA,与暴力破解简单粗暴的使用root、admin、admin123等简单弱口令不同的是,撞库攻击会下很多功夫了解目标。
这就包括企业在公网上发布的招聘、售后、营销等相关的邮箱、账号等信息,并建立较为明确的邮箱、账户库。同时,它可能并不会直接使用互联网上下载的通用密码字典,常见的是会加入匹配目标企业缩写、人名、企业名字等等相关的密码组合规则。
问题二、Fortinet如何与第三方的产品联动?
首先,诸如FortiAnalyzer等产品和方案,协同联动最佳的必然是Fortinet自有产品。但是,如果第三方有开放API,Fortinet相关产品也能够进行对接联动。比如,FortiSOAR就可以通过 API 对接第三方,根据事件的不同类型匹配Playbook剧本进行对应的处置。
问题三、FortiSIEM可否替代FortiAnalyzer?
首先我认为这两者是一个子集、包含的关系。SIEM其实包含FortiAnalyzer的功能,其次,FortiSIEM不单可以兼容Fortinet自己的产品,像FortiGate、FortiWeb、FortiAnalyzer、SOC 等,同时它也可以兼容第三方产品,主流的像思科、赛门铁克等产品。
但是FortiAnalyzer不一样,它日志分析较SIEM弱,只能够对Fortinet体系内的产品做日志分析,它没有办法像 SIEM 一样海纳百川,可以对接多个其他厂商的产品。
这就是二者的关系。FortiAnalyzer和SOAR有点相像,可以理解为FortiAnalyzer是一个集成了 SIEM 和 SOAR 的一款轻量级的、更针对于Fortinet产品的产品。
问题四、如何体现FortiWeb的产品价值?
对于过去没有任何 Web 防护的企业,部署FortiWeb如何体现它的WAF价值?虽然每个企业可能会不太一样,每个行业也不太一样,但仍有可深入的空间:
通过漏洞扫描前后对比。这只是一个表象,因为漏扫要讲究客观性,确实部署了FortiWeb之后,漏洞数量直接降低,这种前后数据对比是很客观。
但是漏扫是一个预防性的手段,它并不是一个事中干预性的操作。所以,对于部署FortiWeb后,漏洞扫描的结果前后对比可以说有一定的参考意义,但却不能完全的体现这个产品的真实价值。
关键点一,FortiWeb有没有影响到正常的业务转发?很多时候部署安全产品就意味着一定会跟业务部门打交道,所以我们首先要去判断部署设备对业务产生的影响到底有多大,如果对业务产生的影响很小,就像Fortinet的很多产品采用高性能自研ASIC芯片,对业务的影响是微乎其微的。即首先保证了业务的连续性,使得业务的正常转发不被影响,然后再谈防护价值。
关键点二,通过定期漏扫、渗透测试来检验部署的安全防护设备有没有起到安全防护作用。安全部门要体现价值确实存在一定难度,但并不是完全无办法。除了漏扫、渗透测试,企业也可以定期开展红蓝对抗,这样部署的WAF更能够通过可视化以及防护数据体现价值。
一旦红蓝对抗成为常态,企业的CEO、CFO会看到每年受到的攻击频次逐渐下降。就如以往每年大概要处理 100 件安全事件,或者是这 100 个事件要造成多大的损失,现在部署了WAF,并常态化红蓝对抗,安全事件降低到多少、损失降低到多少都可以换算成部署WAF的防护价值。
问题五、FortiAnalyzer Playbook 有没有相应的模板?
FortiAnalyzer Playbook 其实是轻量化、非常简单的,我们甚至不称之为模板,因为模板其实显得更重一点。千言万语不如亲自体验,我们会设置一些不同的攻防场景,欢迎有测试意向的企业联系我们通过实际测试来体验。
问题六、FortiWeb 转发和 Nginx转发哪个更强?
其实二者不是同一个类别,如果单论转发性能,一定是FortiWeb更强。但是大部分的 Nginx 都是部署在服务器上,它只是服务器上的一个组件。FortiWeb除了虚拟化部署以外,还支持硬件设备,这种模式其实是有硬件加速卡的,能够加速转发性能,特别是 https 的性能。而 Nginx是 X86 架构,非常依赖于底层的 X86 平台的性能,所以我认为FortiWeb 更强。虽然很难通过具体指标去衡量,但是从技术架构设计角度,其实是可以分析出来强弱。
问题七、FortiWeb如何保护Exchange Server?
FortiWeb主要保护的不是邮件服务器,主要保护的还是对外发布站点,所以,对于邮件服务器,FortiWeb一定是保护的是邮件服务器的前端页面,例如Exchange的OWA这种前端页面,而不是保护具体的邮件流。
Fortinet将在第二期DEMO实战攻防中为您演示专业邮件安全网关FortiMail如何周密防护企业邮件内外安全,欢迎关注!