121
安全雲網關:利用互聯網對抗網絡攻擊
本文講的是 : 安全雲網關:利用互聯網對抗網絡攻擊, 網絡攻擊與互聯網采用了相同的方式,利用域名係統(DNS)來分布惡意軟件、控製僵屍網絡和收集登錄信息。隨著雲計算服務、BYOD和遠程辦公的增加,攻擊麵已經超越了傳統的企業網絡邊界。
這種設備和網絡的多樣性創造了一個環境,企業必須容納在任何地方漫遊的任何設備。然而,現在的安全平台無法應對這樣的情況。這催生了新的網絡安全平台:安全雲網關(Secure Cloud Gateway,SCG),安全雲網關利用基於DNS的基礎來提供更廣泛的安全性、提高覆蓋範圍和更深層次的可視性。
合法的網頁瀏覽隻會發生在兩個協議(端口)對:HTTP(80)和HTTPS(443)。而惡意軟件偶爾會通過非標準端口來感染設備,僵屍網絡通常使用非web協議來攻擊網絡和竊取數據。安全雲網關利用DNS來保護所有端口、協議和應用程序。
現在,威脅是有針對性的,但攻擊目標無處不在。個人設備越來越多地連接到企業網絡,而員工經常將包含敏感數據的企業設備帶到安全邊界之外。通過利用DNS,安全雲網關可以為設備提供安全保障,無論這些設備在什麼位置。
網絡威脅的外觀和行為變化無常,不過,他們通常是源自限定數量的互聯網主機,有些網絡攻擊還通常共用相同的犯罪基礎設施。為了獲取準確的安全情報,安全雲網關使用DNS基礎設施和Anycast路由技術來跨互聯網映射每個連接請求。
雖然絕大多數web域名可以被歸為安全或者惡意,但有些互聯網主機很難分類。這是因為它們同時包含安全和惡意web內容,或者它們的互聯網來源很可 疑。然而,對每個web連接進行深度檢查會顯著降低性能。此外,重定向每個web連接會降低可管理性。安全雲網關可以識別高風險或可疑域名,並利用DNS重定向來路由它們進行更深度檢查。
與安全Web網關(SWG)設備或者通過代理發送web連接的服務不同,安全雲網關隻會路由可疑web連接進行深度檢查。這種概念被稱為智能代理,下麵是它的工作原理。
情境1:一名員工試圖訪問站點#1,安全雲網關已經確定該站點是惡意的,根據對該主機的風險評分。也許這個域名與已知用於犯罪攻擊的基礎設施有關,或者該域名總是在其他惡意主機請求後被請求。安全雲網關將該IP地址返回到其封鎖頁麵,而不是惡意域名,從而保護該企業的網絡和數據。
情境2:員工試圖訪問站點#2,安全雲網關持續分析該站點內容主機的互聯網來源—從空間(例如地理、網絡)和時間(例如請求量、共同出現率)。基於已知數據和算法風險預測,安全雲網關確定站點#2域名風險很低,便會將IP地址直接連接到該站點的主機。員工在訪問該 站點時,不會遇到任何延遲或者幹擾。
情境3:員工試圖訪問站點#3,安全雲網關已經確定該站點的內容主機是高風險,並將該IP地址返回到其代理服務 器。代理服務器提供更深度的檢查,包括檢查互聯網來源、域名和IP地址。在這些檢查後,如果內容被認為是安全的,將會被發送到瀏覽器,連接員工到該域名。 如果內容是惡意的,安全雲網關發回阻止訪問頁麵,員工被阻止訪問該惡意域名。
集成情報與執行
有效的安全性同時需要情報和執行來抵禦高級威脅和有針對性的攻擊。沒有即時執行的情報將無法阻止惡意軟件或抵禦僵屍網絡。與此同時,沒有預測性情報的執行也無法阻止最複雜的攻擊。安全雲網關以新的方式整合了情報和執行。
可操作的情報需要最大的覆蓋範圍和可視性。安全雲網關使用DNS基礎設施,可以收集巨量的數據,這足以預測新興互聯網的互聯網來源,即使二進製文件或者漏洞利用是未知的。這些收集的數據能夠反映所有設備的使用模型,無論這些設備的位置、所有者類型,無論通過什麼端口或協議。
與此同時,執行需要具有最大廣度和深度的安全技術。使用遞歸DNS,安全雲網關可以跨65535個網絡端口和無線數量的協議及應用程序對流量執行安 全政策。為了提供高級威脅保護,安全雲網關重定向高風險web請求到其智能代理(Intelligent Proxy),以執行更深的檢查來檢測和阻止隱藏在web會話中的惡意內容。
不是使用傳統代理服務器或者內線架構,安全雲網關采用了基於雲計算的基礎設施,整合多個安全執行技術與互聯網規模的威脅情報收集功能,這使安全雲網關能夠應對不斷變化的攻擊和新出現的威脅,而不需要犧牲性能和可管理性。
最後更新:2017-10-18 15:04:03