NETSCOUT AED位于网络边缘的独特位置,它在防火墙之外,位于企业和互联网之间。为什么这是一个重要的位置?通过阅读下文您将了解AED重新定义网络安全法则的五种方式,以及它如何成为抵御多种类型的入站和出站威胁的第一道也是最后一道防线。 1.AED是专为新时代的互联网威胁而打造的。随着企业网络架构发生变化,攻击技术变得越来越复杂和持久。IHS Markit网络安全研究总监Jeff Wilson认为:“数据中心和网络架构已经向边缘分布,这让传统的边缘防护措施倍感压力。” 如今的攻击活动将许多对象作为攻击目标,攻击的原因更是多种多样,从地缘政治动荡到知识产权窃取,可谓无所不包。攻击者经常将供应链作为攻击渠道,这种策略让他们能够通过合作伙伴和供应商之间错综复杂的关系对主要目标发起攻击。 威胁发起者持续扩张,并将自己的功能变为攻击武器,传统的恶意软件增加了蠕虫模块,从而让恶意软件能够更快、更轻松地进行扩散。例如,在“NotPetya”攻击中,威胁发起者将后门程序植入到一款热门的乌克兰会计软件包中。这款恶意软件最初针对的是乌克兰,导致80多家企业受到影响。之后它迅速扩散到了法国、德国、意大利、波兰、英国、俄罗斯和美国。 这些攻击在全世界造成了严重的商业损失,导致联邦快递等全球性组织、航运巨头马士基和消费产品巨头亿滋国际利润下降,造成了数亿万的收入损失。 AED是专为防御这种互联网规模的攻击而打造的。IHS的Wilson补充道:“NETSCOUT AED将无状态过滤、严格的自定义威胁情报管理和第三方情报的摄取等功能巧妙地结合在一起,使其阻止出站威胁的能力与多年来阻止入站DDoS威胁一样强大。” 2.AED将防护延伸到防火墙之外。下一代防火墙、入侵预防解决方案和负载均衡器等传统的边缘安全设备容易受到僵尸网络支持的状态耗尽攻击。实际上,NETSCOUT的《第13次年度全球基础设施安全报告》(WISR)发现,52%的受访企业表示在DDoS攻击期间防火墙出现故障或导致网络中断。 AED部署在这些解决方案之前,可以保护它们免受旨在破坏其可用性的DDoS攻击。NETSCOUT的无状态数据包处理引擎可以检测和缓解大部分DDoS威胁,无需跟踪任何会话状态。如果需要跟踪,AED只在短时间内存储极少的信息。因此,AED可以抵挡针对性攻击,这些攻击会耗尽其他安全产品中的状态表,并威胁可用性。 3.AED阻止入站和出站威胁。除了保护边缘解决方案免受DDoS攻击等基于可用性的威胁,AED还加入一个执行层,阻止到已知可疑终端的通信。考虑到攻击的速度和规模,无状态设备最好将这些通常称为威胁指标(IoC)的声誉列表应用到操作中。在边缘检测和阻止命令&控制通信需要互联网规模的无状态数据包处理能力。AED是专为应对间谍情报技术不断更新的攻击者而打造的一款设备,可以降低有状态设备在执行其主要功能之外的其他功能时的性能负载。 4.自动威胁缓解。借助ATLAS Intelligence Feed (AIF)的威胁情报,AED的功能得以增强。由NETSCOUT的ATLAS安全工程和响应团队(ASERT)开发的AIF加入地理位置数据,可以自动识别来自已知僵尸网络和恶意软件的攻击,同时确保自动交付针对新型威胁更新的情报,无需升级软件。 为了扩展执行范围,AED支持多种标准,例如适用于第三方威胁情报摄取的STIX/TAXII。它还提供稳健的REST API,从而将威胁检测和阻止遥测技术集成到现有的安全操作工作流程和管理工具中。 5.AED提供可执行的威胁情报。NETSCOUT认为,有效的威胁情报不仅可以识别威胁,还可以提供理解和记录攻击基础架构、方法和相关指标所需的环境,从而帮助安全专家更快做出安全决策并增强信心。基于情景的威胁情报不仅能在IoC和已知威胁之间建立联系,还能通过当前数据关联似乎不相关的入站/出站通信,从而发现目标活动。借助这些数据,安全专家可以了解更广阔的威胁形势,从而获得更好的机会将入站恶意流量与出站通信快速联系起来。这些威胁情报对于快速检测精心设计的僵尸网络型攻击活动的相关组件至关重要,还可以帮助安全专家快速发现和阻止攻击,防止造成真正损失。 要详细了解新时代的互联网攻击,请参阅NETSCOUT的《威胁情报报告》。关于作者:徐开勇(George Tsui) :NETSCOUT Arbor中国大陆和香港地区总经理徐开勇(George Tsui)先生现任NETSCOUT Arbor中国大陆和香港地区总经理。他的主要职责包括在该地区管理和开发渠道销售网络,以及面向服务提供商和企业级市场制定销售策略和市场开发计划。加入NETSCOUT Arbor之前,他曾任英国电信公司区域总监,管理大中华区的销售渠道业务和运营,全面负责企业损益、卓越运营以及客户满意度。加入英国电信公司之前,他曾在香港电讯和Infonet香港公司担任不同的高级职务。徐开勇先生在全球电信/ ICT行业拥有超过24年的丰富经验,其关注领域及专长包括渠道合作伙伴/联盟开发、销售和商业管理。徐开勇先生在香港办公,拥有英国诺丁汉大学(University of Nottingham)电气与电子工程学士学位。
2668 篇文章