網(wǎng)絡攻擊與互聯(lián)網(wǎng)采用了相同的方式,利用域名系統(tǒng)(DNS)來分布惡意軟件����、控制僵尸網(wǎng)絡和收集登錄信息。隨著云計算服務����、BYOD和遠程辦公的增加,攻擊面已經(jīng)超越了傳統(tǒng)的企業(yè)網(wǎng)絡邊界�。
這種設備和網(wǎng)絡的多樣性創(chuàng)造了一個環(huán)境����,企業(yè)必須容納在任何地方漫游的任何設備��。然而���,現(xiàn)在的安全平臺無法應對這樣的情況�。這催生了新的網(wǎng)絡安全平臺:安全云網(wǎng)關(Secure Cloud Gateway�,SCG),安全云網(wǎng)關利用基于DNS的基礎來提供更***的安全性��、提高覆蓋范圍和更深層次的可視性����。
合法的網(wǎng)頁瀏覽只會發(fā)生在兩個協(xié)議(端口)對:HTTP(80)和H TTPS(443)。而惡意軟件偶爾會通過非標準端口來***設備���,僵尸網(wǎng)絡通常使用非web協(xié)議來攻擊網(wǎng)絡和竊取數(shù)據(jù)。安全云網(wǎng)關利用DNS來保護所有端口�、協(xié)議和應用程序。
’現(xiàn)在����,威脅是的�����,但攻擊目標無處不在����。個人設備越來越多地連接到企業(yè)網(wǎng)絡�,而員工經(jīng)常將包含敏感數(shù)據(jù)的企業(yè)設備帶到安全邊界之外。通過利用DNS��,安全云網(wǎng)關可以為設備提供安全保障��,無論這些設備在什么位置�。
網(wǎng)絡威脅的外觀和行為變化無常,不過�,他們通常是源自限定數(shù)量的互聯(lián)網(wǎng)主機,有些網(wǎng)絡攻擊還通常共用相同的犯罪基礎設施����。為了獲取準確的安全情報,安全云網(wǎng)關使用DNS基礎設施和Anycast路由技術來跨互聯(lián)網(wǎng)映射每個連接請求����。
雖然絕大多數(shù)web域名可以被歸為安全或者惡意,但有些互聯(lián)網(wǎng)主機很難分類。這是因為它們同時包含安全和惡意web內(nèi)容����,或者它們的互聯(lián)網(wǎng)來源很可疑。然而��,對每個web連接進行深度檢查會***降低性能��。此外��,重定向每個web連接會降低可管理性����。安全云網(wǎng)關可以識別高風險或可疑域名,并利用DNS重定向來路由它們進行更深度檢查��。
與安全Web網(wǎng)關(SWG)設備或者通過代理發(fā)送web連接的服務不同����,安全云網(wǎng)關只會路由可疑web連接進行深度檢查。這種概念被稱為智能代理��,下面是它的工作原理��。
情境1:一名員工試圖訪問站點#1�,安全云網(wǎng)關已經(jīng)確定該站點是惡意的,根據(jù)對該主機的風險評分��。也許這個域名與已知用于犯罪攻擊的基礎設施有關����,或者該域名總是在其他惡意主機請求后被請求。安全云網(wǎng)關將該IP地址返回到其***頁面���,而不是惡意域名����,從而保護該企業(yè)的網(wǎng)絡和數(shù)據(jù)����。
情境2:員工試圖訪問站點#2,安全云網(wǎng)關持續(xù)分析該站點內(nèi)容主機的互聯(lián)網(wǎng)來源—從空間(例如地理����、網(wǎng)絡)和時間(例如請求量、共同出現(xiàn)率)����。基于已知數(shù)據(jù)和算法風險預測����,安全云網(wǎng)關確定站點#2域名風險很低�����,便會將IP地址直接連接到該站點的主機���。員工在訪問該站點時,不會遇到任何延遲或者干擾�。
情境3:員工試圖訪問站點#3,安全云網(wǎng)關已經(jīng)確定該站點的內(nèi)容主機是高風險�����,并將該IP地址返回到其代理服務器��。代理服務器提供更深度的檢查�,包括檢查互聯(lián)網(wǎng)來源、域名和IP地址�。在這些檢查后,如果內(nèi)容被認為是安全的���,將會被發(fā)送到瀏覽器��,連接員工到該域名��。如果內(nèi)容是惡意的�����,安全云網(wǎng)關發(fā)回阻止訪問頁面����,員工被阻止訪問該惡意域名��。
集成情報與執(zhí)行 有效的安全性同時需要情報和執(zhí)行來抵御***威脅和的攻擊��。沒有即時執(zhí)行的情報將無法阻止惡意軟件或抵御僵尸網(wǎng)絡�����。與此同時���,沒有預測性情報的執(zhí)行也無法阻止相當復雜的攻擊���。安全云網(wǎng)關以新的方式整合了情報和執(zhí)行。
可操作的情報需要相當大的覆蓋范圍和可視性�。安全云網(wǎng)關使用DNS基礎設施,可以收集巨量的數(shù)據(jù)���,這足以預測新興互聯(lián)網(wǎng)的互聯(lián)網(wǎng)來源����,即使二進制文件或者漏洞利用是未知的。這些收集的數(shù)據(jù)能夠反映所有設備的使用模型��,無論這些設備的位置�、所有者類型,無論通過什么端口或協(xié)議��。 與此同時��,執(zhí)行需要具有相當大廣度和深度的安全技術���。使用遞歸DNS�,安全云網(wǎng)關可以跨65535個網(wǎng)絡端口和無線數(shù)量的協(xié)議及應用程序?qū)α髁繄?zhí)行安全政策���。
為了提供***威脅保護�,安全云網(wǎng)關重定向高風險web請求到其智能代理(Intelligent Proxy)��,以執(zhí)行更深的檢查來檢測和阻止隱藏在web會話中的惡意內(nèi)容�����。
不是使用傳統(tǒng)代理服務器或者內(nèi)線架構(gòu),安全云網(wǎng)關采用了基于云計算的基礎設施����,整合多個安全執(zhí)行技術與互聯(lián)網(wǎng)規(guī)模的威脅情報收集功能,這使安全云網(wǎng)關能夠應對不斷變化的攻擊和新出現(xiàn)的威脅�,而不需要**性能和可管理性。
