上篇内容我们讲到 “选择下一代防火墙的 5 大实用技巧”,其中第一条便是深度的应用可视化与控制,那么究竟如何落地?今天专家将继续深挖,探讨如何借助思科 Stealthwatch 消除网络安全的盲区!
首先了解:网络安全的盲区是怎样形成的?
在网络边界的安全设备中,例如新一代防火墙 NGFW,能够提供穿越设备的各种信息;但对于网络内部的横向访问流量,由于其不经过网络边界,所以无法在边界安全设备上呈现出来,这就造成了内网安全的盲区。那么内网到底发生了什么?如何做到内网行为的可视化?
思科 Stealthwatch应运而生
情景感知信息的共享是构建架构式安全的关键,这其中不仅仅包含边界安全的可视化、终端安全的可视化,同时还需要关注内网流量和访问行为的可视化。
思科 Stealthwatch 网络可视化分析平台利用 Netflow 和现有网络基础设施中的其他态势感知数据,以快捷高效的方式将整个网络转化为一个传感器网,通过基于行为的自动化学习和关联建模分析,能够快速检测各种异常流量和行为,包括零日恶意软件、分布式拒绝服务 (DDoS) 攻击、内部威胁和高级持久性威胁 (APT)、以及网络分段访问违规等,有效的解决了网络安全盲区的难题。
思科 Stealthwatch 能够在多个应用场景中,实现有效的网络可视化与安全防范:
移动办公网络——提高业务的可视化能力,简化网络分段管理,快速检测和定位威胁。
分支机构——加快网络对威胁的响应能力,扩展分支的可视化和监控能力,预防安全威胁的横向移动。
数据中心——保护重要信息,简化策略执行,实现访问策略的梳理,提高数据中心的事件响应能力。
云环境——提高云端的可视化能力,涵盖云端的分段访问策略,快速识别威胁和采取行动。
思科 Stealthwatch 实现了从边界安全、终端安全和内网安全完整的集成,真正做到完整的可视化架构式防御
思科 Stealthwatch,让勒索软件无处遁形
前段时间大肆传播的勒索软件 WannaCry 使不少用户受到了感染,由于 WannaCry 采用蠕虫病毒的传播方式在网络中横向传播,导致传播范围巨大。
对此,思科 Stealthwatch 自有妙招!
借助网络设备的 Flow 记录,基于大数据分析和安全分析算法,专门跟踪和报告内部主机计算机之间以及与互联网上主机之间的 SMB 流量,及时发现网络操作员可以监控网络内的 SMB 活动!
简单的说,针对勒索软件 WannaCry,思科 Stealthwatch 的防御分为三个主要阶段:
① 传播检测
勒索软件 WannaCry 一旦感染主机进入网络后,会在网络内部横向传播(从主机到主机),以试图感染更多的主机。思科 Stealthwatch 能够检测到横向访问行为,包括相同子网内部的异常访问行为:
任意侦察和扫描活动,尤其是相同子网内的主机的访问行为,都会被 Stealthwatch 跟踪、监控和分析。
利用蠕虫传播检测报告功能,可以跟踪并关联成功联接到外部 CC 主机的扫描活动。(WannaCry 与其他蠕虫病毒都采用了类似的异常行为)
② 关联分析
思科Stealthwatch将关联在特定主机计算机上发现到的异常行为,并根据每次观察所得的频率和次数将该主机的 IP 地址判定为可疑主机。然后,Stealthwatch 会针对每个主机 IP 地址,基于一个指数累积这些评分,然后发出名为 “威胁指数”(Concern Index)的告警信息。威胁指数数值越高,表明主机参与恶意访问行为的可能性越大。
③ 定位与阻止
通过使用思科 Stealthwatch 管理中心的仪表板,可以轻松建立一份简单的报告,列出所有存在异常行为和可能被感染的系统。借助集成的思科身份服务引擎(Identity Service Engine),之后可以隔离可疑计算机,阻止 WannaCry 进一步传播!
有了思科 Stealthwatch 助你消除网络安全盲区,真正做到让勒索软件无处遁形!
今天的知识点都 Get 了吗?有哪些疑问和想法想与专家探讨?欢迎在下方留言区留言,专家会及时给予答复!
温故而知新
① 思享家开篇:探讨思科架构式安全,如何开启安全新篇章!
② 从三大基石、四个维度理解思科架构式安全
③ 当网络攻击进入常态化,架构式安全360°保你周全!
④ 选择下一代防火墙的 5 大实用技巧!
参与方式在这里!!!
“思享家”汇聚思科资深专家,旨在与粉丝分享、交流和探讨思科的观点、技术以及行业领域的热门话题。在这里您得到的不只是答案,更是一个前所未有的思科行业专家团队!
如有其它问题与建议,也请直接在下方留言区回复,小编时刻期待你的参与!
-广告-
点击“阅读原文” ,借助我们专注于威胁防御的下一代防火墙设备,轻松阻止威胁并实时掌握网络动态,同时降低成本。