但是,威胁只需成功攻击一次,就能成为明天的头条新闻。如果攻击者或极其复杂的恶意软件设法在您的网络中蔓延,却又发现不了,该怎么办?
最严重、最有新闻价值的漏洞是攻击者渗透到组织的生态系统,然后在未被发现的情况下自由运行多年。受影响的组织根本不知道漏洞已入侵。
这是因为许多网络和安全团队都在努力实现威胁活动的充分可视性。他们不确定他们的安全工具是否向他们呈现了威胁的全貌。如果没有出色的可视性,他们无法主动在威胁造成损害之前迅速检测并消除它们。
您是否曾询问过防火墙可以在哪些方面提供帮助?
在本篇文章中,我们将探讨作为安全防御核心组件的思科下一代防火墙 (NGFW) 如何提供出色的可视性,以快速检测并阻止威胁。
广泛而深入的可视性——见树又见林
要获得良好的可视性,首先要有更多双眼睛监视扩展网络中的更多位置。因为威胁可以通过网络、终端、Web、邮件等多个 “攻击媒介” 发起攻击。监视的区域越多,迅速抵御攻击的可能性就越大。
这正是为什么思科 NGFW 可帮助您深入洞悉用户、主机、网络和基础设施中的遥感勘测和潜在恶意文件活动。思科 NGFW(尤其在利用更广泛的思科安全产品生态系统的资源时)可以显示用户、应用协议、文件传输、Web 应用,跨命令和控制服务器、操作系统、路由器和交换机、网络服务器、客户端应用、移动设备等的主动威胁。
使用来自 Firepower 管理中心 (FMC) 的截图,可以快速查看信息,对潜在威胁进行全面、快速的调查。
通过 “感染指标”,防火墙已检测到某些主机可能受到感染的行为证据,确定最有可能受感染的主机的优先顺序,然后提交给管理员。这是安全团队 “点击” 并开始调查的绝佳场所。
在 “网络信息” 和 “操作系统” 下,思科 NGFW 检测在网络上运行的操作系统(不需要终端代理)。它表明某些设备在网络上运行 Windows XP。漏洞较多的旧版操作系统是一项风险因素,您可以快速地深入了解以发现相应设备,并决定是升级还是停用这些设备。
感染指标和网络信息
应用协议菜单显示在网络上运行的应用,以便您决定实施哪些控制措施。思科 NGFW 能够根据风险和业务相关性对应用进行排名,从而快速轻松地降低应用的风险。如果应用的风险较高且业务相关性较低,则可能是很好的阻止对象。双击饼图中的任何应用,可以查看每个应用的更多信息。
应用协议信息
思科 NGFW 还配备由 Threat Grid 提供支持的集成沙盒技术,该技术可根据数百万个恶意软件样本和数十亿个恶意软件工件来分析整个环境中的文件和可疑行为。向您的安全团队提供有关恶意软件的类型、它正在执行的操作及其对组织构成的威胁程度等说明。
安全团队甚至可以安全地与恶意软件样本进行交互,以直接观察其行为。所有这些都可以让您的团队更快地了解威胁并做出响应。
动态恶意软件分析
持续分析——始终观察网络的实际情况
可视性不仅仅是单个时间点的文件活动快照。可视性必须持续且流畅,始终观察网络和文件活动,以便快速发现隐蔽的攻击,并为您提供了解攻击所需的情景。
思科 NGFW 与思科高级恶意软件防护 (AMP) 技术集成后,不仅可以在入口点检查文件和网络流量,还可以在文件的整个生命周期内持续分析文件行为。这样,您便可以深入了解文件正在执行的操作及其行为方式,从而了解威胁从边缘到终端的整个生命周期。您可以看到威胁的来源、所处的位置及其正在执行的操作,并自动阻止威胁。
即使文件在首次检查后被视为 “良好” 或 “未知”,无论文件的处置情况如何, AMP 技术都会持续关注文件活动。它可以自动遏制潜在威胁,并在将来检测到恶意意图或行为时向您发出警报。
借助这一自动执行的追溯功能,如果某个文件表现出一系列可能表示恶意意图的行为,或者我们的思科 Talos 情报云收到有关文件的新信息,思科 NGFW 会改变根据最初的分析结果做出的判断。
此情报可能直接来自思科 Talos 研究团队,也可能来自于思科 AMP 社区中将系统上的相同文件视为恶意文件的其他用户。
持续分析和追溯性检测
这种持续方法已被证明可以大幅减少高级威胁的检测时间。思科将检测时间或 TTD 定义为从发生入侵到识别威胁之间的这段时间。虽然思科 NGFW 能够在几秒或几分钟内检测到大多数威胁,但对于真正的高级威胁,思科的平均 TTD 为 4.6 小时,而业内的平均水平为 100 天以上。
可视性优先级和自定义
您可能会想:“可视性越高,我们就能越快地检测、发现并阻止威胁。思科提供的可视性太出色了。”
这就是为什么思科 NGFW 会对向您显示的信息进行优先排序和简化,并在适当的时间向适合的受众提供适当的信息。管理和调查变得更简单、更有效、更高效,使您的团队能够灵活地得出结论并更快地应对攻击。
使用简单的威胁评分系统确定威胁的优先顺序,确保您首先解决最紧迫的问题。即使不提供关联或情景信息,管理员也不会因一般的威胁警报而感觉不堪重负。相反,系统会按照 “感染指标” 对威胁进行整理,将一处的单个威胁与系统中其他位置的相关或重复的恶意软件联系起来。
可以将多个恶意软件识别为同一攻击的组成部分,因此,当思科 NGFW 在一个位置发现一个威胁时,它会自动阻止、遏制并修复同一个攻击中的所有相关恶意软件——发现一次,阻止全部。
为进一步实现降低解决方案开销和减少浪费时间的目标,还可以对管理控制台进行自定义。您可以根据哪些应用或设备对您的企业最重要,决定在摘要控制面板上显示哪些选项卡和信息。
此管理员决定对网络活动、威胁和入侵事件保持最敏锐的关注,如以下三个选项卡所示。在 “网络流量” 选项卡中,管理员按应用风险和业务相关性、排名靠前的 Web/服务器/客户端应用和操作系统对流量的优先级进行排序。自定义控制面板后,它们可用于每天、每周或每月生成报告。
管理自定义
您的防火墙能否为您提供前所未有的可视性,以便快速发现并阻止威胁?思科防火墙可以做到。
在下一篇文章中,我们将探讨自动化和集成如何帮助您的组织节省时间、降低复杂性并提高工作的智能化程度。毫无疑问,您的防火墙也可以做到。
领取专属 10元无门槛券
私享最新 技术干货