融合端点安全的防火墙是噱头还是未来方向?
应对新威胁,防火墙融合端点安全成趋势
多年来,边界上的防火墙一直充当着网络体系中的 道关卡,如同家里的大门,把控着 道安全关口。随着网络威胁日益趋于复杂化、高隐蔽性,防火墙凭借着部署位置的先天优势,慢慢发展为不单单只具备控制能力,而是通过融合各类安全模块和各类智能数据,不断提升其防护力,以应对新威胁局势的变化。
然而即使防护力能够得以持续提升,其本质上主要起到减少自身弱点、缩小受攻击面、并且拦截外部攻击的作用,但对于内部网络的风险,依然难以有效处置。
以内部失陷主机为例,防火墙具备深度识别恶意网络行为的能力,却只能在边界告警和封堵。 常见的处置失陷方式是通过防火墙告警事件中的主机信息,寻找对应的失陷主机,借助第三方处置工具进行全盘病毒查杀。但大部分第三方处置工具只能检测发起恶意行为的进程,遇到调用正常系统程序执行恶意行为往往不能处置彻底。而防火墙基于网络行为检测能到恶意外联,继而不断发出告警信息。
面对上述问题,可以发现,如果加强防火墙在端点侧的数据获取和控制能力,能够真正实现安全事件的 终分析与处置闭环。因此融合端点安全的防火墙自然而然成为了新时期对抗威胁的不二法门。
国际著名信息技术研究和分析公司Gartner在分析报告《How to Decide Whether Endpoint and Network Security Integration Is a Feature or a Fad》(《融合端点安全的防火墙是噱头还是未来方向?》)中提到,融合端点安全的防火墙方案有如下优势:
1、网端融合可降低解决方案的拥有成本,并提供更好的威胁检测和自动修复功能。
2、自动化,减少事件响应时间和事件解决时间。
融合端点安全的防火墙能做到哪些?
1、多维举证判定失陷主机,提供有效闭环处置组件。
以深信服下一代防火墙AF为例,其基于失陷主机遭受攻击和发起行为进行统计分析,并关联云端安全数据和能力,通过时间区间、地理位置等多维举证失陷用户,并针对内网失陷用户之后的访问请求进行重定向断网,推送杀毒通知和端点组件EDR,在失陷主机没有接入端点组件EDR前,拒绝提供网络服务。
▲多维举证失陷
2、融合终端组件举证恶意网络行为进程链,同类威胁智能免疫。
在安全事件处置时,传统处置方法无法找到产生问题的具体原因,存在处置不彻底、反复发作的问题。
深信服下一代防火墙AF通过网络跟端点数据定位流量特征,通过网络捕获的恶意网络行为在终端定位进程及相关文件,云端聚合多数据分析下发处置,网端云联动分析,基于进程链举证处置失陷,定位真实的攻击源头处置。并针对同类型的威胁进行智能免疫,避免失陷问题反复发作,快速简单有效地进行响应。此外,下一代防火墙AF全程跟踪归档EDR在端点上的分析和处置过程及结果。
▲进程链举证恶意网络行为
整体而言,下一代防火墙联合终端组件EDR 举证风险,有效处置失陷威胁,并能基于以往处置动作,自动化地持续对抗威胁,给用户来带简单有效的安全体验,通过敏捷的安全架构,在网络边界与终端边界提供安全能力,在风险的各条入侵路径做好安全措施。