Site icon Sophos News

新一代防火牆事件回應的問題

Firewall

23/01/2018 作者:CHRIS MCCORMACK

正如我在最近關於《新一代防火牆保護》文章中所談到的,網路攻擊正變得越來越複雜。

與以金錢為動機的勒索軟體不同 (因為它必須非常明顯且擾人),許多進階型威脅都是非常隱密的。這些 APT (進階型持續威脅) 專為不引人注意地滲透目標所設計,通常都會利用設備或系統的弱點。站穩據點後,它們就可以擴散到受駭網路的各個角落,悄悄地外洩敏感資料或在不被發現的情況下執行其他惡意的動作。

您可能會驚訝地發現,在任何時候,大多數的組織網路上都存在著一些已經遭駭的系統,而且自己幾乎毫無所悉。這是一個普遍而廣泛的問題。因此調查發現 74% 的資料外洩事件在 6 個月或更久的時間內未被發現一點都不奇怪。

隱匿性的 APT 和擾人的勒索軟體變種通常會盡可能地使用各種複雜技術來傳播和感染更多目標系統。所以,即使擁有適當的保護來防止攻擊者站穩據點非常重要,但若入侵已經發生,那麼就必須採取行動以防止其擴散。

相互通訊是關鍵。但不幸的是,大多數 IT 安全系統並無法相輔相成,在識別威脅後與其他系統共用資訊方面做得很差。它們的設計目的都是作為單點解決方案,無法兼顧多層式防禦的其他功能。IT 安全產品之間無法共用威脅情報、惡意活動或健康狀況,而且大多數產品都沒有任何自動協作回應的機制。

您可能正在研究並認為 SIEM (安全資訊和事件管理) 工具會是答案 (甚至您已經部署了)。儘管它們的設計目的是將資料收集並整理到一個檢視中,但它們通常無法找出重要資訊並以網路管理員可以理解或採取行動的方式呈現。即使它們提供了某個程度的可操作性,系統管理員仍然得要採取手動操作。

如果您的新一代防火牆實際上可與其他 IT 安全產品 (例如端點) 交談,立即識別處於危險、遭駭和攻擊中的系統,然後自動隔離它們直到威脅被清理,這不是很好嗎?

是的,當然是。

不幸的是,大多數防火牆連識別網路上出現的威脅都辦不到,更談不上能夠如何進行回應。

請參閱我們的最新《同步安全白皮書》,看看我們的 XG Firewall 和 Sophos 端點如何提供一個簡潔的解決方案,以節省您修補安全事件的時間,並協助阻擋進行中的攻擊。

 

英文原文:  https://news.sophos.com/en-us/2018/01/23/the-problem-with-next-gen-firewall-incident-response/

(本博文為翻譯本,內容以英文原文為準)

Exit mobile version