【51CTO.com原創(chuàng)稿件】作為全球首先提出下一代防火墻概念的公司，Palo Alto Networks目前在業(yè)界也仍是最具行業(yè)標(biāo)桿代表性的防火墻提供者。近日，Palo Alto Networks在中國正式發(fā)布了自主研發(fā)的下一代安全平臺“Palo Alto Networks PAN-OS 8.0版”。

Palo Alto Networks 大中華區(qū)總裁陳文俊

攻擊防御需從四方面做起

眾所周知，傳統(tǒng)的防火墻就是基于端口防護(hù)的。隨著技術(shù)的發(fā)展和應(yīng)用的發(fā)展，僅通過網(wǎng)絡(luò)端口防御已經(jīng)遠(yuǎn)遠(yuǎn)不夠?，F(xiàn)在，需要在七層里防護(hù)能夠做的更完備，無論是針對已知的威脅還是未知的威脅。Palo Alto Networks 大中華區(qū)總裁陳文俊認(rèn)為，面對日益嚴(yán)峻的網(wǎng)絡(luò)威脅，要想進(jìn)行有效的威脅防御，需要從可視化、減少攻擊面、防御已知威脅和未知威脅四個方面進(jìn)行防護(hù)，減少攻擊成功率。

首先，在可視化方面，要實現(xiàn)對網(wǎng)絡(luò)、移動終端和云端的可視化，做到對從應(yīng)用進(jìn)來、從云進(jìn)來、從打包流量進(jìn)來我們都有手段看得見，能看見就能防。其次，攻擊面多則受攻擊的機(jī)會也多，因為黑客是團(tuán)體作戰(zhàn)發(fā)起攻擊成本低，對于企業(yè)來說攻擊面越寬，黑客攻擊的范圍越廣，導(dǎo)致企業(yè)很難防護(hù)。另外，攻擊成本低更容易發(fā)動攻擊，黑客獲益機(jī)會越大。最后，檢測不出的威脅最可怕，因此不但要做好已知威脅防護(hù)也應(yīng)做好未知威脅的防護(hù)。

陳文俊表示，針對未知威脅，Palo Alto Networks通過智能云與全球所有的客戶設(shè)備同步，如果發(fā)現(xiàn)最新的威脅，可在五分鐘之內(nèi)通知到部署在全球各地的設(shè)備中，做好防護(hù)。另外，Palo Alto Networks還采用機(jī)械學(xué)習(xí)、AI、行為分析等多種手段，實現(xiàn)未知威脅的防御。

下一代安全平臺PAN—OS 8.0的五大創(chuàng)新升級: 云安全為重中之重

[[188673]]

Palo Alto Networks 大中華區(qū)技術(shù)總監(jiān)耿強(qiáng)

并基于以上四個層面， PAN-OS 8.0版實現(xiàn)了云安全、多元威脅防御、憑證盜竊防御、規(guī)范化管理、全新硬件的五大創(chuàng)新升級。

云安全：PAN-OS 8.0版最重要的創(chuàng)新就在云安全，它提供了AWS、Azure、NSX、ESXi、Hyper-V、KVM等多種云服務(wù)，能夠為企業(yè)在各個環(huán)節(jié)提供一致的安全防御級別。Palo Alto Networks 大中華區(qū)技術(shù)總監(jiān)耿強(qiáng)表示，為了能夠更好的幫助客戶在云上更好的運維，防御威脅入侵，Palo Alto Networks實現(xiàn)了云上擴(kuò)展并支持自動化安全防御。在VM虛擬化的應(yīng)用上，提供最佳性能和覆蓋范圍。在公有云上，平臺良好的擴(kuò)展性可與AWS和Azure服務(wù)的完美集成。其中，在 Azure拓展方面，可與App Gateway和 Load Balancer 實現(xiàn)集成;在AWS拓展方面，與Auto Scaling 和 ELB/ALB實現(xiàn)集成，可實現(xiàn)安全的動態(tài)擴(kuò)展，且與工作負(fù)載無關(guān)，無縫支持CloudWatch。同時，針對SaaS應(yīng)用，新版本對SaaS使用情況有了更深度的理解，能夠生成更詳細(xì)的報告，為用戶提供準(zhǔn)確和及時的安全信息。

多元威脅防御：談到安全防御問題，耿強(qiáng)先向記者解釋了關(guān)于虛擬逃逸的問題，當(dāng)黑客將惡意軟件放進(jìn)虛擬環(huán)境后，他會嘗試分析企業(yè)的系統(tǒng)和硬件，然后進(jìn)行滲透嘗試入侵動作。但是，如果他發(fā)現(xiàn)這是一個開源沙箱環(huán)境時，惡意軟件將會放棄攻擊行為。因為，黑客知道安全廠商都會用沙箱技術(shù)。但是，雖然沒有發(fā)起攻擊，但是惡意軟件仍然存在。那么，我們該如何針對這種逃逸的惡意軟件進(jìn)行進(jìn)一步的防御呢?2016年年終，Palo Alto Networks曾推出PAN-OS 7.1版，采用靜態(tài)分析的方式，對已知滲透入侵、惡意軟件及其最新變種進(jìn)行檢測;在未知威脅方面，采用動態(tài)分析的方式對零日攻擊和惡意軟件快速顯示。此次新版本的發(fā)布，Palo Alto Networks獨立開發(fā)的一套虛擬環(huán)境，在動態(tài)分析方面實現(xiàn)了100%定制型反逃逸惡意軟件分析環(huán)境，并且通過啟發(fā)式引擎將高逃逸性可以文件動態(tài)導(dǎo)向裸機(jī);然后進(jìn)行裸機(jī)分析，在純化硬件環(huán)境下誘發(fā)惡意軟件，檢測出全部虛機(jī)感知型惡意軟件。

憑證盜竊防御：憑證盜竊是網(wǎng)絡(luò)攻擊者威脅和操縱企業(yè)以獲取寶貴資產(chǎn)的常見手段之一。傳統(tǒng)用來阻止憑證釣魚的方法都是最基本的、需要人工手動并且數(shù)量極其有限，主要依賴培訓(xùn)員工在遇到釣魚網(wǎng)站時能對其進(jìn)行識別。Palo Alto Networks現(xiàn)推出業(yè)內(nèi)首個多元化、可擴(kuò)展和自動化技術(shù)，可有效防止基于憑證的攻擊發(fā)生。PAN-OS 8.0版主要實現(xiàn)了自動識別和阻截釣魚網(wǎng)站、阻止用戶提交憑證到釣魚網(wǎng)站、防止使用被盜憑證的憑證防盜功能。目前，Palo Alto Networks下一代防火墻就可防止憑證被盜和濫用，輔助其他惡意軟件及威脅防護(hù)產(chǎn)品，保障應(yīng)用程序的啟用功能，從而擴(kuò)展企業(yè)客戶防御網(wǎng)絡(luò)攻擊的能力。

規(guī)范化智能管理： PAN-OS 8.0通過中央管理，將7000系列和端點的日志整合到中央管理上，當(dāng)WildFire、威脅日志發(fā)現(xiàn)鏈接(客戶端IP)警報，可對應(yīng)現(xiàn)有策略做精細(xì)的日志過濾、NGFW自動操作等自動安全操作，這就說明這個IP是一個感染的，這樣的用戶出現(xiàn)這樣的問題的時候，就強(qiáng)制他做雙重認(rèn)證的動作。同樣這樣的日志和關(guān)聯(lián)不僅在我們的中央系統(tǒng)，也可以在其他方面來做。

全新硬件：云端部署和高流量對硬件提出了更高的性能要求，為此， Palo Alto Networks共發(fā)布了6款全新硬件平臺，包括三款高端PA—5200，兩款中端PA—800，以及一款入門級PA—220。在性能上，實現(xiàn)了高達(dá)10倍的性能和容量提升，最多可增加35倍的SSL會話容量。在加密流量的解密上，實現(xiàn)了高達(dá)10倍的解密性能提升，更高的端口密度，靈活的I/O和硬件彈性，前端到后端冷卻設(shè)計升級。

采訪結(jié)束，在與耿強(qiáng)的交流時，他向記者表示，此次下一代安全平臺發(fā)布單就安全升級來說，最突出的就是針對逃逸和C2服務(wù)器的防御。過去，企業(yè)安全研究人員存在對網(wǎng)絡(luò)流量的分析難以完全覆蓋，且人力不足等情況。C2服務(wù)器的有效載荷簽名對安全人員的防護(hù)工作至關(guān)重要，但是企業(yè)卻不得不在安全防護(hù)的速度和質(zhì)量間權(quán)衡。因此，在C2服務(wù)器規(guī)?；烙矫妫乱淮踩脚_著重提升了企業(yè)安全分析師的工作效率。平臺中整合了專用的有效載荷簽名生成引擎，通過云端沙箱和威脅情報云，對C2服務(wù)的有效載荷自動提取并全球更新，以實現(xiàn)對內(nèi)網(wǎng)存在的攻擊者C2服務(wù)器訪問請求和連接流量實現(xiàn)更快速的中斷和響應(yīng)。

云計算時代，作為一家老牌的安全廠商，Palo Alto Networks因勢而動，順勢而為。依托先進(jìn)技術(shù)，Palo Alto Networks產(chǎn)品始終針對應(yīng)用層開展防護(hù)，產(chǎn)品逐漸從下一代防火墻升級到一體化的下一代安全平臺PAN-OS 8.0版。該版本非常注重云安全防護(hù)功能的創(chuàng)新實現(xiàn)，對公有云、私有云、SaaS應(yīng)用均可做安全防御，以外還實現(xiàn)了如可視化、增強(qiáng)自動化、行為分析、機(jī)器學(xué)習(xí)能力等70多個全新功能，無論從網(wǎng)絡(luò)端還是云端都能為客戶提供有效的安全防護(hù)。

【51CTO原創(chuàng)稿件，合作站點轉(zhuǎn)載請注明原文作者和出處為51CTO.com】