2019-11-14 11:47:05
來源:深信服科技
應對新威脅,防火墻融合端點安全成趨勢
多年來,邊界上的防火墻一直充當著網絡體系中的第一道關卡,如同家里的大門,把控著第一道安全關口。隨著網絡威脅日益趨于復雜化、高隱蔽性,防火墻憑借著部署位置的先天優勢,慢慢發展為不單單只具備控制能力,而是通過融合各類安全模塊和各類智能數據,不斷提升其防護力,以應對新威脅局勢的變化。
然而即使防護力能夠得以持續提升,其本質上主要起到減少自身弱點、縮小受攻擊面、并且攔截外部攻擊的作用,但對于內部網絡的風險,依然難以有效處置。
以內部失陷主機為例,防火墻具備深度識別惡意網絡行為的能力,卻只能在邊界告警和封堵。最常見的處置失陷方式是通過防火墻告警事件中的主機信息,尋找對應的失陷主機,借助第三方處置工具進行全盤病毒查殺。但大部分第三方處置工具只能檢測發起惡意行為的進程,遇到調用正常系統程序執行惡意行為往往不能處置徹底。而防火墻基于網絡行為檢測能到惡意外聯,繼而不斷發出告警信息。
面對上述問題,可以發現,如果加強防火墻在端點側的數據獲取和控制能力,能夠真正實現安全事件的最終分析與處置閉環。因此融合端點安全的防火墻自然而然成為了新時期對抗威脅的不二法門。
國際著名信息技術研究和分析公司Gartner在分析報告《How to Decide Whether Endpoint and Network Security Integration Is a Feature or a Fad》(《融合端點安全的防火墻是噱頭還是未來方向?》)中提到,融合端點安全的防火墻方案有如下優勢:
1、網端融合可降低解決方案的擁有成本,并提供更好的威脅檢測和自動修復功能。
2、自動化,減少事件響應時間和事件解決時間。
融合端點安全的防火墻能做到哪些?
1、多維舉證判定失陷主機,提供有效閉環處置組件。
以深信服下一代防火墻AF為例,其基于失陷主機遭受攻擊和發起行為進行統計分析,并關聯云端安全數據和能力,通過時間區間、地理位置等多維舉證失陷用戶,并針對內網失陷用戶之后的訪問請求進行重定向斷網,推送殺毒通知和端點組件EDR,在失陷主機沒有接入端點組件EDR前,拒絕提供網絡服務。
▲多維舉證失陷
2、融合終端組件舉證惡意網絡行為進程鏈,同類威脅智能免疫。
在安全事件處置時,傳統處置方法無法找到產生問題的具體原因,存在處置不徹底、反復發作的問題。
深信服下一代防火墻AF通過網絡跟端點數據定位流量特征,通過網絡捕獲的惡意網絡行為在終端定位進程及相關文件,云端聚合多數據分析下發處置,網端云聯動分析,基于進程鏈舉證處置失陷,定位真實的攻擊源頭處置。并針對同類型的威脅進行智能免疫,避免失陷問題反復發作,快速簡單有效地進行響應。此外,下一代防火墻AF全程跟蹤歸檔EDR在端點上的分析和處置過程及結果。
▲進程鏈舉證惡意網絡行為
整體而言,下一代防火墻聯合終端組件EDR精確舉證風險,有效處置失陷威脅,并能基于以往處置動作,自動化地持續對抗威脅,給用戶來帶簡單有效的安全體驗,通過敏捷的安全架構,在網絡邊界與終端邊界提供安全能力,在風險的各條入侵路徑做好安全措施。
秉持“面向未來、有效保護”的安全理念,深信服下一代防火墻一直以“融合安全,簡單有效”的價值主張,不斷進行技術更新,通過更進一步的融合端點安全,更簡單且有效地幫助用戶抵御安全威脅,為用戶業務提供全生命周期保護!
