上篇內(nèi)容我們講到 “選擇下一代防火墻的 5 大實用技巧”，其中第一條便是深度的應(yīng)用可視化與控制，那么究竟如何落地stealth？今天專家將繼續(xù)深挖，探討如何借助思科 Stealthwatch 消除網(wǎng)絡(luò)安全的盲區(qū)stealth！

　　首先了解：網(wǎng)絡(luò)安全的盲區(qū)是怎樣形成的？

　　在網(wǎng)絡(luò)邊界的安全設(shè)備中，例如新一代防火墻 NGFW，能夠提供穿越設(shè)備的各種信息；但對于網(wǎng)絡(luò)內(nèi)部的橫向訪問流量，由于其不經(jīng)過網(wǎng)絡(luò)邊界，所以無法在邊界安全設(shè)備上呈現(xiàn)出來，這就造成了內(nèi)網(wǎng)安全的盲區(qū)。那么內(nèi)網(wǎng)到底發(fā)生了什么？如何做到內(nèi)網(wǎng)行為的可視化？

　　思科 Stealthwatch應(yīng)運而生

　　情景感知信息的共享是構(gòu)建架構(gòu)式安全的關(guān)鍵，這其中不僅僅包含邊界安全的可視化、終端安全的可視化，同時還需要關(guān)注內(nèi)網(wǎng)流量和訪問行為的可視化。

思科 Stealthwatch 網(wǎng)絡(luò)可視化分析平臺利用 Netflow 和現(xiàn)有網(wǎng)絡(luò)基礎(chǔ)設(shè)施中的其stealth他態(tài)勢感知數(shù)據(jù)，以快捷高效的方式將整個網(wǎng)絡(luò)轉(zhuǎn)化為一個傳感器網(wǎng)，通過基于行為的自動化學(xué)習(xí)和關(guān)聯(lián)建模分析，能夠快速檢測各種異常流量和行為，包括零日惡意軟件、分布式拒絕服務(wù) (DDoS) 攻擊、內(nèi)部威脅和高級持久性威脅 (APT)、以及網(wǎng)絡(luò)分段訪問違規(guī)等，有效的解決了網(wǎng)絡(luò)安全盲區(qū)的難題。

　　思科 Stealthwatch 能夠在多個應(yīng)用場景中，實現(xiàn)有效的網(wǎng)絡(luò)可視化與安全防范：

移動辦公網(wǎng)絡(luò)——提高業(yè)務(wù)的可視化能力，簡化網(wǎng)絡(luò)分段管理，快速檢測和定位威脅。

分支機構(gòu)——加快網(wǎng)絡(luò)對威脅的響應(yīng)能力，擴展分支的可視化和監(jiān)控能力，預(yù)防安全威脅的橫向移動。

數(shù)據(jù)中心——保護重要信息，簡化策略執(zhí)行，實現(xiàn)訪問策略的梳理，提高數(shù)據(jù)中心的事件響應(yīng)能力。

云環(huán)境——提高云端的可視化能力，涵蓋云端的分段訪問策略，快速識別威脅和采取行動。

　　思科 Stealthwatch 實現(xiàn)了從邊界安全、終端安全和內(nèi)網(wǎng)安全完整的集成，真正做到完整的可視化架構(gòu)式防御

　　思科 Stealthwatch，讓勒索軟件無處遁形

　　前段時間大肆傳播的勒索軟件 WannaCry 使不少用戶受到了感染，由于 WannaCry 采用蠕蟲病毒的傳播方式在網(wǎng)絡(luò)中橫向傳播，導(dǎo)致傳播范圍巨大。

　　對此，思科 Stealthwatch 自有妙招！

　　借助網(wǎng)絡(luò)設(shè)備的 Flow 記錄，基于大數(shù)據(jù)分析和安全分析算法，專門跟蹤和報告內(nèi)部主機計算機之間以及與互聯(lián)網(wǎng)上主機之間的 SMB 流量，及時發(fā)現(xiàn)網(wǎng)絡(luò)操作員可以監(jiān)控網(wǎng)絡(luò)內(nèi)的 SMB 活動！

　　簡單的說，針對勒索軟件 WannaCry，思科 Stealthwatch 的防御分為三個主要階段：

① 傳播檢測

勒索軟件 WannaCry 一旦感染主機進(jìn)入網(wǎng)絡(luò)后，會在網(wǎng)絡(luò)內(nèi)部橫向傳播（從主機到主機），以試圖感染更多的主機。思科 Stealthwatch 能夠檢測到橫向訪問行為，包括相同子網(wǎng)內(nèi)部的異常訪問行為：

任意偵察和掃描活動，尤其是相同子網(wǎng)內(nèi)的主機的訪問行為，都會被 Stealthwatch 跟蹤、監(jiān)控和分析。

利用蠕蟲傳播檢測報告功能，可以跟蹤并關(guān)聯(lián)成功聯(lián)接到外部 C&C 主機的掃描活動。（WannaCry 與其他蠕蟲病毒都采用了類似的異常行為）

② 關(guān)聯(lián)分析

　　思科Stealthwatch將關(guān)聯(lián)在特定主機計算機上發(fā)現(xiàn)到的異常行為，并根據(jù)每次觀察所得的頻率和次數(shù)將該主機的 IP 地址判定為可疑主機。然后，Stealthwatch 會針對每個主機 IP 地址，基于一個指數(shù)累積這些評分，然后發(fā)出名為 “威脅指數(shù)”（Concern Index）的告警信息。威脅指數(shù)數(shù)值越高，表明主機參與惡意訪問行為的可能性越大。

③ 定位與阻止

　　通過使用思科 Stealthwatch 管理中心的儀表板，可以輕松建立一份簡單的報告，列出所有存在異常行為和可能被感染的系統(tǒng)。借助集成的思科身份服務(wù)引擎（Identity Service Engine），之后可以隔離可疑計算機，阻止 WannaCry 進(jìn)一步傳播！

　　有了思科 Stealthwatch 助stealth你消除網(wǎng)絡(luò)安全盲區(qū)，真正做到讓勒索軟件無處遁形！

　　今天的知識點都 Get 了嗎？有哪些疑問和想法想與專家探討？歡迎在下方留言區(qū)留言，專家會及時給予答復(fù)！

　　溫故而知新

　　① 思享家開篇：探討思科架構(gòu)式安全，如何開啟安全新篇章！

　?、?從三大基石、四個維度理解思科架構(gòu)式安全

　?、?當(dāng)網(wǎng)絡(luò)攻擊進(jìn)入常態(tài)化，架構(gòu)式安全360°保你周全！

　?、?選擇下一代防火墻的 5 大實用技巧！

　　參與方式在這里！??！

“思享家”匯聚思科資深專家，旨在與粉絲分享、交流和探討思科的觀點、技術(shù)以及行業(yè)領(lǐng)域的熱門話題。在這里您得到的不只是答案，更是一個前所未有的思科行業(yè)專家團隊！

　　如有其它問題與建議，也請直接在下方留言區(qū)回復(fù)，小編時刻期待你的參與！

-廣告-

　　點擊“閱讀原文” ，借助我們專注于威脅防御的下一代防火墻設(shè)備，輕松阻止威脅并實時掌握網(wǎng)絡(luò)動態(tài)，同時降低成本。