自1996年成功研制出我国第一套自主版权的防火墙系统以来,天融信始终踏浪中国防火墙领域改革热潮,见证了我国防火墙从无到有、从有到好的发展史。如今天融信已发布下一代防火墙3.6版本(简称NGFW3.6),可在纷繁复杂的威胁信息中抽丝剥茧、理清头绪,凭“三步”从容应对网络安全威胁:局部切入,开展事件聚焦;全盘谋划,进行事件关联;最终勾勒出威胁全景,实现威胁的全方位可视、可知、可控。
事件聚焦
Q:防火墙模块增加、监控面扩大意味着数据量大幅增长,数据未经整合零散分布在各个安全模块。出现网络安全事件时,网络安全管理员需要从各模块产生的数据中搜集与事件相关的佐证信息,耗时费力。如何解决?
A:天融信NGFW3.6整合各模块数据,针对选定的安全事件提供多维度信息,进行事件聚焦,解决防火墙各模块孤军作战、无法将数据汇聚一处呈现事件全貌等问题,从而降低运维难度,提高易用性。
事件详情及处置:
显示各模块上报的安全事件详细信息,提供一键处置功能。
行为分析:
通过行为基线实现对资产的行为分析。主动学习目的地址的访问流量、访问次数,利用内置模型生成基线。管理员通过对比基线与实际行为,及时发现异常。
留存取证:
提供报文的关键字段作为佐证,并可一键留存。
事件关联
Q:近年来网络攻击逐渐呈现出协同、多阶段的特点,一套完整的攻击往往需要运用多种技术与战术,从发现漏洞、资源侦查到攻破系统获取控制权,再到横向移动造成更多破坏是一个复杂过程,而单一安全事件、网络流量和报文均仅能反映某一时间点的系统状态和网络安全事件,无法串联整个攻击过程从而进行描述。此类问题又该如何解决?
A:如果将事件聚焦看作对某一网络安全事件的全方位剖析,事件关联则是利用同一攻击在不同阶段留下的蛛丝马迹(网络安全事件、网络行为),寻找不同事件之间的关联。天融信NGFW3.6从攻击者、受害者视角出发,借助关联分析引擎统筹考虑,力图还原攻击全过程。
攻击者视角:
同一攻击者往往不会止步于单次攻击,而是进行一系列攻击以达成目的,因此从攻击者视角出发,整合与之相关的所有攻击事件,构建攻击链,有助于用户发掘攻击者最终目的,判断攻击进展情况,从而做出针对性防护。
受害者视角:
受自身特性、安全性等因素影响,系统中某些设备更容易成为攻击者目标,因此从受害资产角度出发,利用资产管理模块提供的资产信息,结合该资产的网络安全事件判断其当前所处状态、风险等级,便于对资产进行合理防护。
攻击者视角和受害者视角一定程度上诠释了不同事件之间的关联,为减少运维人员负担,进一步挖掘事件关联呈现攻击全貌,天融信NGFW3.6借助关联分析引擎自动对事件进行关联分析。它以时间为横轴,威胁处置分层阶段为纵轴,将安全事件(如:IPS、WAF、僵木蠕)以及行为记录(异常控制检测、代理检测、行为基线异常)进行关联分析,依照ATT&CK框架构建完整攻击链,直观显示攻击全过程,协助运维人员攻击回溯。
威胁全景
Q:单一安全事件和彼此之间具有关联的事件集呈现的是系统局部情况,而且由于是历史数据,无法实时描述系统整体状态,如何提取、融合各模块重点数据,实时呈现系统整体安全态势?
A:天融信NGFW3.6全新推出了威胁地图功能,融合地理信息数据和安全事件数据,展示攻击来源地理分布图;进行安全事件实时播报,协助用户在复杂多变的网络环境中及时掌握系统状态;采集并整合系统网络安全状态相关的态势要素,如安全事件、网络资产状态,并从攻击数量趋势、攻击源数量排行榜、风险资产统计等维度呈现威胁全景,从而实现网络安全风险的全方位可视、可知、可控,为安全事件的预防、实时监测和处置提供支持。
天融信提出了面向后NGFW时代防火墙产品发展的“五化”理念,即“智能化、平台化、协同化、多态化、行业化”,致力于利用主被动探测、机器学习、关联分析等技术,满足多业态多行业细分需求,目前已推出车载防火墙、工控防火墙等一系列产品。未来,天融信也将不断推动防火墙产品全场景的布局与落地,助力防火墙产品从标准化、同质化的状态向精准匹配客户场景和差异化竞争的方向发展。
(文章来自天融信,如有违权请联系删除!)
|
|
|
|
|
|
|
|
|
版权说明:论坛帖子主题均由合作第三方提供并上传,若内容存在侵权,请进行举报
私信
