上篇內(nèi)容我們講到 “選擇下一代防火墻的 5 大實用技巧”,其中第一條便是深度的應(yīng)用可視化與控制,那么究竟如何落地stealth?今天專家將繼續(xù)深挖,探討如何借助思科 Stealthwatch 消除網(wǎng)絡(luò)安全的盲區(qū)stealth!
首先了解:網(wǎng)絡(luò)安全的盲區(qū)是怎樣形成的?
在網(wǎng)絡(luò)邊界的安全設(shè)備中,例如新一代防火墻 NGFW,能夠提供穿越設(shè)備的各種信息;但對于網(wǎng)絡(luò)內(nèi)部的橫向訪問流量,由于其不經(jīng)過網(wǎng)絡(luò)邊界,所以無法在邊界安全設(shè)備上呈現(xiàn)出來,這就造成了內(nèi)網(wǎng)安全的盲區(qū)。那么內(nèi)網(wǎng)到底發(fā)生了什么?如何做到內(nèi)網(wǎng)行為的可視化?
思科 Stealthwatch應(yīng)運而生
情景感知信息的共享是構(gòu)建架構(gòu)式安全的關(guān)鍵,這其中不僅僅包含邊界安全的可視化、終端安全的可視化,同時還需要關(guān)注內(nèi)網(wǎng)流量和訪問行為的可視化。
思科 Stealthwatch 網(wǎng)絡(luò)可視化分析平臺利用 Netflow 和現(xiàn)有網(wǎng)絡(luò)基礎(chǔ)設(shè)施中的其stealth他態(tài)勢感知數(shù)據(jù),以快捷高效的方式將整個網(wǎng)絡(luò)轉(zhuǎn)化為一個傳感器網(wǎng),通過基于行為的自動化學(xué)習(xí)和關(guān)聯(lián)建模分析,能夠快速檢測各種異常流量和行為,包括零日惡意軟件、分布式拒絕服務(wù) (DDoS) 攻擊、內(nèi)部威脅和高級持久性威脅 (APT)、以及網(wǎng)絡(luò)分段訪問違規(guī)等,有效的解決了網(wǎng)絡(luò)安全盲區(qū)的難題。
思科 Stealthwatch 能夠在多個應(yīng)用場景中,實現(xiàn)有效的網(wǎng)絡(luò)可視化與安全防范:
移動辦公網(wǎng)絡(luò)——提高業(yè)務(wù)的可視化能力,簡化網(wǎng)絡(luò)分段管理,快速檢測和定位威脅。
分支機構(gòu)——加快網(wǎng)絡(luò)對威脅的響應(yīng)能力,擴展分支的可視化和監(jiān)控能力,預(yù)防安全威脅的橫向移動。
數(shù)據(jù)中心——保護重要信息,簡化策略執(zhí)行,實現(xiàn)訪問策略的梳理,提高數(shù)據(jù)中心的事件響應(yīng)能力。
云環(huán)境——提高云端的可視化能力,涵蓋云端的分段訪問策略,快速識別威脅和采取行動。
思科 Stealthwatch 實現(xiàn)了從邊界安全、終端安全和內(nèi)網(wǎng)安全完整的集成,真正做到完整的可視化架構(gòu)式防御
思科 Stealthwatch,讓勒索軟件無處遁形
前段時間大肆傳播的勒索軟件 WannaCry 使不少用戶受到了感染,由于 WannaCry 采用蠕蟲病毒的傳播方式在網(wǎng)絡(luò)中橫向傳播,導(dǎo)致傳播范圍巨大。
對此,思科 Stealthwatch 自有妙招!
借助網(wǎng)絡(luò)設(shè)備的 Flow 記錄,基于大數(shù)據(jù)分析和安全分析算法,專門跟蹤和報告內(nèi)部主機計算機之間以及與互聯(lián)網(wǎng)上主機之間的 SMB 流量,及時發(fā)現(xiàn)網(wǎng)絡(luò)操作員可以監(jiān)控網(wǎng)絡(luò)內(nèi)的 SMB 活動!
簡單的說,針對勒索軟件 WannaCry,思科 Stealthwatch 的防御分為三個主要階段:
① 傳播檢測
勒索軟件 WannaCry 一旦感染主機進(jìn)入網(wǎng)絡(luò)后,會在網(wǎng)絡(luò)內(nèi)部橫向傳播(從主機到主機),以試圖感染更多的主機。思科 Stealthwatch 能夠檢測到橫向訪問行為,包括相同子網(wǎng)內(nèi)部的異常訪問行為:
任意偵察和掃描活動,尤其是相同子網(wǎng)內(nèi)的主機的訪問行為,都會被 Stealthwatch 跟蹤、監(jiān)控和分析。
利用蠕蟲傳播檢測報告功能,可以跟蹤并關(guān)聯(lián)成功聯(lián)接到外部 C&C 主機的掃描活動。(WannaCry 與其他蠕蟲病毒都采用了類似的異常行為)
② 關(guān)聯(lián)分析
思科Stealthwatch將關(guān)聯(lián)在特定主機計算機上發(fā)現(xiàn)到的異常行為,并根據(jù)每次觀察所得的頻率和次數(shù)將該主機的 IP 地址判定為可疑主機。然后,Stealthwatch 會針對每個主機 IP 地址,基于一個指數(shù)累積這些評分,然后發(fā)出名為 “威脅指數(shù)”(Concern Index)的告警信息。威脅指數(shù)數(shù)值越高,表明主機參與惡意訪問行為的可能性越大。
③ 定位與阻止
通過使用思科 Stealthwatch 管理中心的儀表板,可以輕松建立一份簡單的報告,列出所有存在異常行為和可能被感染的系統(tǒng)。借助集成的思科身份服務(wù)引擎(Identity Service Engine),之后可以隔離可疑計算機,阻止 WannaCry 進(jìn)一步傳播!
有了思科 Stealthwatch 助stealth你消除網(wǎng)絡(luò)安全盲區(qū),真正做到讓勒索軟件無處遁形!
今天的知識點都 Get 了嗎?有哪些疑問和想法想與專家探討?歡迎在下方留言區(qū)留言,專家會及時給予答復(fù)!
溫故而知新
① 思享家開篇:探討思科架構(gòu)式安全,如何開啟安全新篇章!
?、?從三大基石、四個維度理解思科架構(gòu)式安全
?、?當(dāng)網(wǎng)絡(luò)攻擊進(jìn)入常態(tài)化,架構(gòu)式安全360°保你周全!
?、?選擇下一代防火墻的 5 大實用技巧!
參與方式在這里!??!
“思享家”匯聚思科資深專家,旨在與粉絲分享、交流和探討思科的觀點、技術(shù)以及行業(yè)領(lǐng)域的熱門話題。在這里您得到的不只是答案,更是一個前所未有的思科行業(yè)專家團隊!
如有其它問題與建議,也請直接在下方留言區(qū)回復(fù),小編時刻期待你的參與!
-廣告-
點擊“閱讀原文” ,借助我們專注于威脅防御的下一代防火墻設(shè)備,輕松阻止威脅并實時掌握網(wǎng)絡(luò)動態(tài),同時降低成本。