CheckPoint如何帮助企业加强网络安全
随着目前网络安全问题日益增多,传统的网络防护手段已经无法保证企业的网络安全,当今,
每天都有超过10W的电脑病毒变种,在病毒数量呈几何倍数增长的情况下,传统的防护手
段只能对一直的漏洞或已知的病毒做一定的防护,而现在,有大量的利用0day的未知威胁
的一些攻击手段越来越多。
从黑客的攻击行为来分析,最早的黑客攻击多是炫耀式的行为,而如今,多是以经济利益为
驱动,近年来最典型的例子就是今年5月的wanncry勒索病毒事件。现在黑客攻击的方式
也越来越隐蔽。
有相关行业专家表示:杀毒软件已死,传统的杀毒软件只能识别出45%的网络病毒,所以
效果不佳。因为现在很多病毒都是变种,传统的安全防御的产品很多事基于Siganture,它
只能够在病毒产生之后一段时间才能被安全厂商收集到信息,进而更新相关漏洞;那么,针
对这些未知的威胁,应该如何防护;企业该如何检测网络服务器内是否存在未知威胁。
面对这些情况,我们应该如何选择正确的解决方案?
多层次的威胁防御
在多层次威胁防御的基础上,我们还需要一个手段去防止未知的一些恶意软件,这个新的技
术就是威胁仿真(ThreatEmulation),这种技术可以理解成一种沙盒技术,不过它和沙盒
技术还是有一些区别。
CheckPoint多层次的威胁防御体系是怎样的呢?
它从最基本的FireWall开始,在安全设备上可以启用IPSanti-virus防病毒、Anti-Bot防
僵尸网络等等功能,就可以对已知的威胁进行阻挡;针对未知威胁,CheckPoint推出了一
个新的安全刀片:ThreatEmulation。
通过这个威胁仿真可以去防止到一些未知的威胁,包括0day的威胁,另外还有针对DDOS
攻击的防护设备,这些都结合到CheckPoint威胁云,可以做到实时更新最新的Signature,
另外,一些未知的安全威胁也可以快速的传到威胁云里面,在云端进行一个探测。
CheckPoint针对未知的安全威胁是如何做的
主要分为以下四个步骤:
第一,收到可疑文件之后,CheckPoint产品会识别文件里面的一些特征,如果是已知威胁,
就直接回阻断掉;如果是一些未知威胁,CheckPoint就会把可疑文件,发送到安全设备的
虚拟沙盒里面;
这么做的好处就是首先是不需要改变我们基础的网络架构,CheckPoint的威胁仿真有基
于云端的服务,也就说明,可疑只需要购买相关的云端服务就可以把我们的这些文件上传到
CheckPoint云端去处理,也可以在本地进行检测,因为有的企业基于安全的考虑,不想把
公司的相关数据上传到云端,这就需要在本地设备进行相关的检测。
第二,CheckPoint威胁仿真可以识别到电子邮件的附件和下载的文件;
第三,CheckPoint会发送这个文件到虚拟沙盒之中,然后把这个文件放到模拟仿真的环境
中去打开,来检测文件中有没有异常。
第四,当仿真手段检测到一个恶意软件的时候,就可以实现在线阻止,同时上传到云端,共
享到CheckPoint在全球的设备,这样CP在全球的设备都可以识别出这一个恶意软件,并
对其加以防护。
|
|
