江苏龙网

  1. 首页 > 资讯 > 科技 > >

FreeBuf■SASE是一个什么样的黑科技( 七 )


用于识别通过网络传输的文件的真实类型 , 而不考虑它的文件扩展名或内容类型头(在HTTP/S传输的情况下) 。 平台使用此功能来检测所有潜在的高风险文件类型 , 预防了由攻击者或错误配置导致的Web应用程序技术被绕过 。 IPS也使用这个引擎 , 它在流分析期间提供了更多的上下文 , 并且是检测恶意网络行为的关键因素 。
3)恶意软件检测与预测
首先 , 基于签名和启发式的检查引擎 , 根据全球最新威胁情报数据库随时保持更新 , 扫描传输中的文件 , 以确保对已知的恶意软件的有效保护 。
其次 , 与行业领导者SentinalOne合作 , 利用机器学习和人工智能来识别和阻止未知的恶意软件 。 未知的恶意软件包括0day , 或更为常见的目的是逃避基于签名检查引擎的已知威胁的多态变种 。 有了签名和基于机器学习的保护 , 客户数据具备隐私保护 , 因为平台不与基于云的存储库共享任何东西 。
此外 , 客户有能力配置反恶意软件服务 , 或者监测或者阻止 , 为特定的文件在一段时间的设置例外 , 也可以实现 。
IPS
入侵防御系统(IPS)检查入站和出站、广域网和互联网流量 , 包括SSL流量 。 IPS可以在监视模式(IDS)下运行 , 而不执行阻塞操作 。 在IDS模式下 , 将评估所有流量并生成安全事件 。 IPS有多层保护组成 。
1)IPS保护引擎组件
行为特征
IPS会寻找偏离正常或预期行为的系统或用户 。 通过在多个网络使用大数据分析和深度流量可视化来确定正常行为 。 例如,发出到一个包含可疑TLD的未知URL的HTTP连接 。 经过研究室分析后,这类流量可能是恶意流量 。
名誉反馈(Reputaion Feeds)
利用内部和外部的情报反馈 , IPS可以检测或防止受威胁或恶意资源的入站或出站通信 。 Cato研究室分析许多不同的反馈 , 针对云中的流量进行验证 , 并在将它们应用于客户生产流量之前对它们进行过滤以减少误报 。 反馈每小时更新一次 , 不需要用户担心 。
协议批准
验证包与协议的一致性 , 减少使用异常流量的攻击面 。
已知漏洞
IPS可以防止已知的CVE , 并可以快速适应 , 将新的漏洞合并到IPS的DPI引擎中 。 这种能力的一个例子是IPS能够阻止利用永恒之蓝漏洞在组织内广泛传播勒索软件 。
恶意软件通讯
基于名誉反馈和网络行为分析 , 可以阻止C&C服务器的出站流量 。
定位
IPS执行客户特定的地理保护政策 , 根据源和/或目的地国家选择性地停止通信 。
网络行为分析
能检测并防止南北向网络扫描 。
平台中IPS的一个独有特点是 , 它是作为一种服务提供的 , 不需要客户的参与 。 研究室负责更新、优化和维护内部开发的IPS签名(基于对客户流量的大数据收集和分析) , 以及来自外部的安全反馈 。 平台支持签名流程 , 因此客户不必平衡防护和性能 , 以避免在处理负载超过可用容量时进行意外升级 。
安全事件API
平台持续收集网络和安全事件数据 , 用于故障排除和事件分析 。 一年的数据被默认保存 , 管理员可以通过Cato管理应用程序访问和查看这些数据 。 允许客户导出事件日志文件(JSON或CEF格式) , 以便与SIEM系统集成或存储在远程位置 。 日志文件存储在安全的位置 , 每个帐户与其他帐户相互独立 。
威胁检测与响应管理
MDR使企业能够将检测受危害端点的资源集中度和技术依赖性过程交给平台SOC团队 。 平台无缝地将完整的MDR服务应用于客户网络 。 自动收集和分析所有的网络流量 , 验证可疑活动 , 并向客户通知被破坏的端点 。 这就是网络和安全聚合的力量 , 简化了各种规模企业的网络保护 。

FreeBuf■SASE是一个什么样的黑科技
本文插图

MDR服务能力
1)零痕迹网络可视化


推荐阅读


上一篇:「手机」市场对苹果新手机有点不买账

下一篇:「手机大魔王」小米往日旗舰机今降至“红米价”!第一批用户直呼买早了