看看Palo Alto Networks下一代安全平臺的主要亮點在哪裡？

星期六，四月1，2017

上周，業界知名下一代防火牆廠商Palo Alto Networks在中國正式發佈了其下一代安全平臺PAN-OS 8.0版本的新增功能。此次版本更新共有70多個全新安全功能引入，覆蓋憑證洩露、惡意軟件分析、雲安全等領域。

今年2月初，安全牛發佈過一篇關於此次版本更新和硬體陞級（提高對SSL流量的解密分析效能）的簡短報導（《Palo Alto大動作新型防火牆上線》）。而本文將聚焦PAN-OS 8.0在反釣魚、憑證數據攔截、多元威脅防禦等領域，為其下一代防火牆和雲端沙箱（WildFire）這兩款安全產品的帶來的重要能力提升。

一、反釣魚

個人憑證洩露的原因，經常是員工收到迷惑性郵件而誤入釣魚網站，主要防範思路是通過釣魚連結識別，用戶憑證數據攔截以及網路層多因數認證這三種方式，在憑證洩露的前、中、後期三個階段實現對企業關鍵系統和敏感數據的存取控制。

在釣魚連結識別方面，各家安全廠商思路比較一致，均為依賴其自身積累或接入協力廠商威脅情報庫對可疑連結進行査詢，匹配成功後進行告警。Palo Alto Networks方案的覈心有二，一是雲端沙箱的快速檢測和與其下一代防火牆產品聯動並自動化響應。二是無差別共亯全球所有Palo Alto Networks客戶所遇到的威脅數據。PAN-DB每隔5分鐘便會自動對其全球部署的所有設備進行惡意軟件、釣魚連結等數據的更新，阻斷用戶對這些網站的訪問請求。

二、憑證數據攔截

如果用戶已經將憑證提交，網絡層面的流量攔截則會是發生洩露前的唯一希望。

在用戶已經訪問釣魚網站並進行憑證提交時，下一代防火牆可以識別網路流量中用戶憑證數據的傳輸路徑，並根據策略進行告警甚至阻斷，封锁憑證外泄。

但是，近兩年的安全態勢表明，數據洩露不可避免。光是及時察覺並確認哪些數據已經洩露，企業僅憑一己之力就已經很難做到。除了定期監測公網甚至黑市的數據洩露情况外，企業也必須做好內部員工憑證洩露後被網絡犯罪者濫用的準備。

三、下一代防火牆的多因數認證

如果已洩露內部員工憑證被攻擊者惡意使用，那麼對內部系統或敏感數據的訪問進行多因數認證，是現時加强存取控制的最有效手段。

但是，考慮到企業複雜且高效的辦公環境，如果將所有內部系統或關鍵雲端應用均強制進行多因數認證，重複操作不僅會讓員工的工作變得低效，企業還要蒙受人力成本的損失。這也是企業最不想看到的，所以企業多會選擇放弃這項安全性原則，或者只針對某些關鍵業務系統的特權帳號進行嚴加管控。

此次PAN作業系統的更新，要通過下一代防火牆的一次性多因數認證對高危用戶的訪問行為進行控制。

為了將下一代防火牆作為代理並執行其內寘的多因數認證策略，免去員工多應用分別認證的複雜性，Palo Alto Networks分別在網絡級別、身份驗證及身份管理框架上，與多個下一代身份訪問管理供應商，如Okta、PingIdentity等進行策略執行工具的綜合，並進行集中式策略配寘和管理。在安全性和用戶體驗便捷性的衝突中，此次Palo Alto Networks似乎找到了一個更為恰當的平衡點。

四、多元威脅防禦

在威脅防禦方面，此次PAN-OS能力提升的亮點集中在防虛機逃逸、自動化的C2服務器簽名生成以及與業界協力廠商威脅情報的集成這三方方面。

1.裸機分析防虛機逃逸

幾乎業內任何一家安全廠商都是從普通的開源虛擬化技術起家，所以雖然科技複雜，但是對於有利可圖的攻擊者而言，對部分安全廠商虛機實現逃逸並不是件難事。

從2016年起，Palo Alto Networks便在其雲端沙箱（WildFire）的靜態分析能力中引入了機器學習，以發現已知惡意軟件的變種；之後實現的動態分析能力，則側重於對未知威脅和零日攻擊的揭示。而此次其下一代安全平臺PAN-OS的8.0更新版本，則在動態分析能力中引入100%定制化反逃逸惡意軟件分析程式的同時，還試圖通過“啟發式引擎”將那些具備高逃逸性的惡意軟件導入純化硬體環境（裸機）並誘發其攻擊行為，以提升其沙箱對惡意軟件反逃逸檢測能力。

2. C2服務器簽名自動生成

除了加入反虛機逃逸檢測能力外，此次更新還在C2服務器規模化防禦方面，著重提升了企業安全分析師的工作效率。

過去，企業安全研究人員存在對網路流量的分析難以完全覆蓋，且人力不足等情况。C2服務器的有效載荷簽名對安全人員的防護工作至關重要，但是企業卻不得不在安全防護的速度和質量間權衡。

而Palo Alto Networks在其安全平臺中綜合了專用的有效載荷簽名生成引擎，通過雲端沙箱和威脅情報雲，對C2服務的有效載荷自動選取並全球更新，以實現對內網存在的攻擊者C2服務器訪問請求和連接流量實現更快速的中斷和響應。

3.平臺化的威脅情報集成以及與本地設備聯動

AutoFocus是Palo Alto Networks的一個彙集全球威脅情報的平臺。客戶可以從其上獲得最新的IOC資訊。同時AutoFocus還是一個專家分析服務平臺，可以幫助匯總安全事件並分析攻擊行為、評估影響。

利用MineMeld，協力廠商供應商可以將其威脅情報與AutoFocus平臺進行無縫集成，並和用戶側Palo AltoNetworks設備或其它協力廠商安全廠商（如：Splunk）進行自動化的聯動防護；而企業安全運維團隊也可以通過AutoFocus平臺獲取多個資料來源，加速全部威脅情報的整理分析，創建自定義欄位，自動快速變更其下一代防火牆、SIEM類產品策略配寘，並通過資產管理產品通知SOC運營人員。

總結

Palo Alto Networks作為世界領先的下一代防火牆安全廠商，其全力打造的安全平臺的能力，經過此次重要版本更新後，更受業內矚目。下一代防火牆，威脅情報雲，和以Traps為代表的終端安全是Palo Alto Networks安全能力的三個覈心支柱，雖然PAN-OS 8.0現時未能將其全部打通，但卻已經將其在下一代防火牆和威脅情報方面的優勢做了深度融合。

不難看出，利用雲端威脅情報彙集的優勢聯動用戶本地安全設備，並以平臺的管道面向客戶輸出安全能力，是現時Palo Alto Networks的覈心思路。

另外，在收並購方面，Palo Alto Networks於今年2月末對外宣佈，以1.05億美元現金收購了針對下一代防火牆產品提供高度自動化且精准的行為分析能力廠商LightCyber。LightCyber之前處於Gartner自動化行為分析魔力象限的領導者位置，旨在通過機器學習進行异常行為的識別並定位攻擊。