瞻博网络高级威胁防御云
关于瞻博网络高级威胁防御云
瞻®博网络高级威胁防御云(瞻博网络 ATP 云)是一个安全框架,通过将基于云的威胁检测软件与新一代防火墙系统相结合,保护网络中的所有主机免受不断演变的安全威胁。请参阅 图 1。
瞻博网络 ATP 云通过执行以下任务来保护您的网络:
SRX 系列防火墙提取潜在的恶意对象和文件,并将它们发送到云端进行分析。
已知的恶意文件在感染主机之前会被快速识别并丢弃。
多种技术可识别新的恶意软件,并将其添加到已知的恶意软件列表中。
新发现的恶意软件与已知的命令和控制 (C&C) 站点之间的关联有助于分析。
SRX 系列防火墙可阻止已知的恶意文件下载和出站 C&C 流量。
瞻博网络 ATP 云支持以下模式:
第 3 层模式
点击模式
使用 MAC 地址的透明模式。有关详细信息,请参阅 SRX 系列设备上的透明模式。
安全线路模式(高级透明模式,使用接口直接传递流量,而不是按 MAC 地址传递。有关详细信息,请参阅 了解安全线路。
瞻博网络 ATP 云功能
瞻博网络 ATP 云是基于云的解决方案。云环境灵活且可扩展,共享环境确保每个人都能近乎实时地从新的威胁情报中受益。您的敏感数据即使位于云共享环境中,也会受到保护。当发现新的攻击技术时,安全分析师可以更新他们的防御,并在极短的时间内分发威胁情报。
此外,瞻博网络 ATP 云还提供以下功能:
与 SRX 系列防火墙集成,可简化部署并增强防火墙的抗威胁能力。
使用多种工具组合来防御“零日”威胁,从而对复杂的隐匿威胁提供强大的覆盖。
-
人工智能预测威胁防御是一种智能、快速的恶意软件检测和预防解决方案,无论用户从何处连接,都可以保护您的网络。此解决方案利用基于流的防病毒和基于机器学习的零日威胁检测,保护用户免受恶意软件攻击,并防止恶意软件在您的系统中传播。请参阅 配置基于流的防病毒策略 和 配置基于机器学习的威胁检测。
通过策略增强功能检查入站和出站流量,使用户能够阻止恶意软件、隔离受感染的系统、防止数据外泄和中断横向移动。
高可用性,提供不间断的服务。
可扩展以处理需要更多计算资源的不断增加的负载,增加网络带宽以接收更多客户提交的内容,以及为恶意软件提供大量存储。
提供深度检查、切实可行的报告和内联恶意软件拦截。
用于 C&C 源、允许列表和阻止列表操作以及文件提交的 API。有关详细信息,请参阅 威胁情报开放式 API 设置指南 。
-
域名系统 (DNS)、加密流量洞察 (ETI) 和物联网 (IoT) 安全。有关特定于这些功能的许可信息,请参阅 ATP 云的软件许可证。
图 2 列出了瞻博网络 ATP 云组件。
表 1 简要介绍了每个瞻博网络 ATP 云组件的操作。
元件 |
操作 |
|---|---|
命令和控制 (C&C) 云源 |
C&C 源本质上是一个服务器列表,这些服务器是僵尸网络的已知命令和控制。该列表还包括已知的恶意软件下载来源的服务器。 |
GeoIP 云源 |
GeoIP 源是 IP 地址到地理区域的最新映射。这使您能够过滤往返于世界特定地理位置的流量。 |
受感染的主机云信息源 |
受感染的主机表示本地设备可能受到攻击,因为它们似乎是 C&C 网络的一部分,或者其他设备表现出其他症状。 |
白名单、黑名单和自定义云信息源 |
允许列表只是您信任的已知 IP 地址列表,而阻止列表是您不信任的列表。 |
SRX 系列防火墙 |
提交提取的文件内容进行分析,并在客户网络内检测到 C&C 命中。 基于瞻博网络 ATP 云提供的文件签名数据库执行内联阻止。 |
恶意软件检查管道 |
执行恶意软件分析和威胁检测。 |
内部危害检测 |
检查文件、元数据和其他信息。 |
服务门户 (Web UI) |
图形界面显示有关客户网络内部检测到的威胁的信息。 配置管理工具,客户可以在其中微调可以提交到云中进行处理的文件类别。 |
| 加密流量洞察 |
加密流量洞察可恢复因加密流量而丢失的可见性,而无需承受完全 TLS/SSL 解密的沉重负担。 |
| SecIntel |
以威胁信息源的形式提供精心整理的安全情报,其中包括已知攻击活动中使用的恶意域、URL 和 IP 地址。SecIntel 还使客户能够提供和分发自己的威胁情报,以便进行内联拦截。 |
| 自适应威胁分析 |
根据当前攻击网络的人员和内容自动创建安全情报威胁源,以应对新威胁的持续冲击。自适应威胁分析利用瞻博网络安全服务对端点行为进行分类,并构建自定义威胁情报源,以便用于在多个实施点进行进一步检查或阻止。 |
| DNS 安全性 |
针对利用 DGA 和 DNS 隧道技术的攻击提供威胁防御。防止 DNS 被用来进行 C&C 通信、数据渗漏、网络钓鱼攻击和勒索软件,这些通常使用各种技术利用 DNS。 |
| IoT 威胁防御 | ATP 云提供了一种对物联网设备进行识别和分类的简单方法,从而支持客户控制其网络上的物联网攻击面 |
SRX 系列防火墙如何补救流量
SRX 系列防火墙使用瞻博网络 ATP 云提供的智能功能,通过使用安全策略来修复恶意内容。如果配置了该内容,则安全策略可能会在将内容传送到目标地址之前阻止该内容。
对于入站流量,SRX 系列防火墙上的安全策略会查找特定类型的文件(如 .exe 文件)进行检查。遇到问题时,安全策略会将文件发送到瞻博网络 ATP 云进行检查。SRX 系列防火墙会保存目标客户端中文件的最后几 KB,而瞻博网络 ATP 云则会检查此文件是否已经过分析。如果是这样,则返回一个判定,并且根据文件的威胁级别和用户定义的策略,将文件发送到客户端或阻止。如果云之前未检查过此文件,则当瞻博网络 ATP 云执行详尽分析时,该文件会发送到客户端。如果文件的威胁级别指示恶意软件(具体取决于用户定义的配置),则客户端系统将被标记为受感染的主机,并阻止其出站流量。有关详细信息,请参阅 如何分析和检测恶意软件?。
图 3 显示了客户端使用瞻博网络 ATP 云请求文件下载的示例流程。
| 步 |
描述 |
|---|---|
| 1 |
SRX 系列防火墙后面的客户端系统请求从互联网下载文件。SRX 系列防火墙会将该请求转发到相应的服务器。 |
| 2 |
SRX 系列防火墙接收下载的文件并检查其安全配置文件,以确定是否必须执行任何其他操作。 |
| 3 |
下载的文件类型在必须检查的文件列表中,并发送到云进行分析。 |
| 4 |
瞻博网络 ATP 云之前检查过此文件,并将分析存储在缓存中。在此示例中,文件不是恶意软件,威胁级别判定将发送回 SRX 系列防火墙。 |
| 5 |
根据用户定义的策略和威胁级别判定,SRX 系列防火墙将文件发送到客户端。 |
对于出站流量,SRX 系列防火墙会监控与其接收的 C&C 源匹配的流量,阻止这些 C&C 请求,并将其报告给瞻博网络 ATP 云。提供了受感染主机列表,以便 SRX 系列防火墙可以阻止入站和出站流量。
瞻博网络 ATP 云用例
瞻博网络 ATP 云可用于 SRX 系列部署中的任何地方。参见 图 4
-
园区边缘防火墙 — 瞻博网络 ATP 云可分析从互联网下载的文件并保护最终用户设备。
-
数据中心边缘 — 与园区边缘防火墙一样,瞻博网络 ATP 云可防止受感染的文件和应用恶意软件在您的计算机上运行。
-
分支路由器 — 瞻博网络 ATP 云提供隧道拆分部署保护。隧道分离的缺点是用户可以绕过公司基础架构设置的安全措施。
发 牌
如需了解瞻博网络 ATP 云许可证,请参阅 ATP 云软件许可证。详细信息请参阅产品产品介绍,或联系您的瞻博网络客户团队或瞻博网络合作伙伴。