《李臻-从疫情防控看信息安全建设_Palo Alto Networks(36页).pdf》由会员分享,可在线阅读,更多相关《李臻-从疫情防控看信息安全建设_Palo Alto Networks(36页).pdf(36页珍藏版)》请在三个皮匠报告上搜索。
1、从疫情防控看信息安全建设从疫情防控看信息安全建设李李 臻臻 Jon Li中国区技术总监中国区技术总监 2020年年11月月27议程议程 疫情防护之应检尽检查与信息安全的零信任理念 防疫情扩散封城与网络安全加固(安全的加减法)从疫情防控看信息安全-零号病人、病毒扩散和变异 从疫情防控看信息安全-医疗系统瘫痪与安全能力平行扩展 疫情扩散封城 vs 无边界的网络-云原生安全 疫情防控的新常态与信息安全的持续监控3|2020 Palo Alto Networks,Inc.All rights reserved.疫情防护之应检尽检查疫情防护之应检尽检查 与与 信息安全的零信任理念信息安全的零信任理念4|
2、2020 Palo Alto Networks,Inc.All rights reserved.从疫情防控看信息安全从疫情防控看信息安全 -Zero Trust-Zero Trust DNS、Ping通信可以完全信任吗?CASHY200Unique HostnameRequest type d5 Random CharsSend hostname commandC2 domainCASHY200 Tunneling从攻杀链看成功的入侵如何利用信任从攻杀链看成功的入侵如何利用信任攻击者需要采用大量操作采用才能成功入侵并窃取关键数据而每个单独操作看起来都是“正常”的1 1)内网主机访问)内网主机访
3、问InternetInternet全信任全信任 2 2)利用内网的信任横向移动)利用内网的信任横向移动Connectivity Connectivity rate changerate change零日攻击绕过边界防御恶意软件安装和返连远控横向移动窃取数据8 8|2017,Palo Alto Networks.Confidential and Proprietary.|2017,Palo Alto Networks.Confidential and Proprietary.Repeated access Repeated access to an unusual siteto an unusu
4、al siteUnusually Unusually large uploadlarge upload信任信任 是最具威胁的 漏洞漏洞容易被攻击者利用,如滥用的信任(例外)策略从不信任,总是验证从不信任,总是验证过去过去现在现在默认策略下默认策略下“信任信任”所有内部流量所有内部流量内部设备不受任何控制限制本质上没有任何流量可以被本质上没有任何流量可以被“信任信任”所有访问都必须得到策略批准Trust is an emotion that cant be applied cant be applied to digital systems.信任是一种不适用于数字世界的情感1010|2019,P
5、alo Alto Networks.All Rights Reserved.|2019,Palo Alto Networks.All Rights Reserved.零信任设计概念零信任设计概念专注于业务产出/零信任与业务风险对应/赋能业务从内向外的架构设计思路定义谁需要访问什么Data-数据Assets-资产Application-应用Service-服务检查和记录所有流量持续策略调整和监控NIST SP 800-207 NIST SP 800-207 零信任架构零信任架构 -ZTA-ZTA1212|2019,Palo Alto Networks.All Rights Reserved.|2
6、019,Palo Alto Networks.All Rights Reserved.ZERO TRUST ARCHITECTUREhttps:/nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-207.pdfNIST NIST NCCoENCCoE ZTA ZTA实践项目说明实践项目说明/建议建议13|2019,Palo Alto Networks.All Rights Reserved.https:/www.nccoe.nist.gov/sites/default/files/library/project-descript
7、ions/zta-project-description-final.pdfVariations of Zero Trust Architecture ApproachesZTA Using Enhanced Identity GovernanceZTA Using Micro-SegmentationZTA Using Network Infrastructure and Software Defined Perimeters ZTA MSG-ZTA MSG-实现零信任架构实现零信任架构MSGMSG的关键技术的关键技术14|2019,Palo Alto Networks.All Rights
8、 Reserved.ZTA SDP-ZTA SDP-SASESASE(Secure Access Service EdgeSecure Access Service Edge)/Prisma Access/Prisma Access 15|2019 Palo Alto Networks,Inc.All Rights Reserved.网络和安全即服务网络和安全即服务ZTA Resource Portal+IAM-NGFWZTA Resource Portal+IAM-NGFW与与IAMIAM集成集成本地机密数据双因子认证被窃取的身份信息合法身份信息从不信任,总是认证 防疫情扩散封城与网络安全加
9、固防疫情扩散封城与网络安全加固1717|2020 Palo Alto Networks,Inc.All rights reserved.传统的方案传统的方案:Firewall Helpers:Firewall HelpersEnterprise NetworkInternetAPT每一款产品只处理特定的业务流量和问题 碎片化的解决方案昂贵,复杂且难于维护网络安全减法网络安全减法 -集成的平台解决联网和安全的所有问题集成的平台解决联网和安全的所有问题1919|2020 Palo Alto Networks,Inc.All rights reserved.DataDataCenterCenterP
10、ublicPublicCloudCloudSaaSSaaSBranchBranchHQ HQ MobileMobileInternetInternetIoTIoTPartnerPartner集成的网络安全平台集成的网络安全平台一致的策略集成的平台业界最佳的能力Unknown Unknown SamplesSamplesConsistent Consistent PreventionPrevention网络安全加法网络安全加法 -安全订阅服务安全订阅服务TPTPWFWFDLPDLPURLURLDNSDNSSaaSSaaSIoTIoTThird PartyCloudPrismaPrismaClou
11、dCloudNetworkPA-PA-SeriesSeriesVM-VM-SeriesSeriesPrismaPrismaAccessAccessEndpointCortexCortexXDRXDRCortexCortexXSOARXSOARCN-CN-SeriesSeriesUNIT 42 Threat IntelligenceCloud-Delivered Cloud-Delivered ServicesServices2020|2020 Palo Alto Networks,Inc.All rights reserved.最强的能力并保持安全策略一致性最强的能力并保持安全策略一致性Pal
12、oPalo AltoAlto NetworksNetworks NGFWNGFW相对传统设备在架构上的创新相对传统设备在架构上的创新其他厂商分类引擎入向数据报文PANW分类引擎漏洞扫描文件内容病毒间谍软件应用识别IPS文件控制防病毒间谍软件通信串行过滤链串行过滤链统一格式统一格式一次比对一次比对用户/组平台应用URL网络属性分类依据分类依据用户/组网络属性分类依据分类依据InternetInternetEnterprise NetworkAPAPT TInternetInternetUTM orUTM orbladesbladesEnterprise NetworkSingle Pass Pl
13、atform Architecture-Single Pass Platform Architecture-专利技术专利技术30分钟=45,457实例15分钟=27,492实例从疫情防控看信息安全从疫情防控看信息安全 -零号病人、病毒扩散和变异(零号病人、病毒扩散和变异(攻击者有攻击者有两两个关键优势个关键优势.)增殖速度和多态性增殖速度和多态性5分钟=9,864实例WildFire WildFire 在线机器学习在线机器学习URL URL 过滤过滤 在线机器学习在线机器学习2424|2020 Palo Alto Networks,Inc.All rights reserved.创新的基于的机
14、器学习的创新的基于的机器学习的未知威胁未知威胁防御防御Data LakeData LakeWildFireURL FilteringDNS SecurityCyber Threat AlliancePartner Integrations无限规模数万亿样本分析快速、高精准度的更无限规模数万亿样本分析快速、高精准度的更新新云端交付的安全服务扩展了防范能力 共享情报可以最快地分发保护措施。File Protections:即刻即刻URL Protections:即刻即刻DNS Protections:即刻即刻URLURL的常见文件和网络威胁可的常见文件和网络威胁可在线预防在线预防高达高达95%95
15、%2525|2020 Palo Alto Networks,Inc.All rights reserved.在35K+Wildfire用户的基础上检测到的威胁。保护在几秒钟内完成基于内容的签名创建PAN-OS 10.0Seconds现在现在 签名分发到NGFW的时间降至10秒以下所有订阅WildFire的客户获得更新争分夺秒,让争分夺秒,让“零号病人零号病人”成为唯一的受害者成为唯一的受害者之前之前行业领先5分钟签名生成/分发时间从疫情防控看信息安全从疫情防控看信息安全 -医疗系统瘫痪与安全能力平行扩展医疗系统瘫痪与安全能力平行扩展病床、医务人员、医疗设备和器材短期严重不足的问题?DDoS攻击
16、抑制安全处理能力的按需增长、平行扩展2626|2020 Palo Alto Networks,Inc.All rights reserved.弹性网络安全架构弹性网络安全架构 -集中安全管控区集中安全管控区解决的主要问题安全设备的集中管理,安全事件的统一分析按需引流解决传统的安全设备部署位置多,故障点多和无法根据业务需求快速部署的问题;解决分支之间东西向流量的安全检查问题集中安全管控区集中安全管理平台核心区域核心交换机按需引流VRF/SDN检查后送回集成安全平台物理机或者虚拟机NGFW(可视化,基于应用和用户的访问控制)VPNIPS/网络防病毒、后门、木马URL过滤APT等未知威胁抑制统一安全
17、情报和事件分析平台集成的安全平台,集成了NGFW、VPN、URL过滤、已知及未知威胁防御,解决分离安全设备拥有成本高、运维成本高,无法对分离的安全日志和事件进行统一分析和自动化响应的问题。按需增加集中安全管控区域的安全设备的数量,物理机或虚拟机,解决分离设备扩展性差的问题 性能平行扩展,突破传统集群的性能瓶颈 三层或者透明模式、物理机和虚拟机 所有故障场景下都可实现会话保持(L3-4 层会话同步),通过专用HA4链路同步会话HA4 通过 二层VLAN同步会话厂商中立的厂商中立的会话分发机制会话分发机制(load balancer,router,switch)A/PA/PA/AA/A安全能力平行
18、扩展安全能力平行扩展 -HA HA 集群集群双机HA和单个设备组成集群2828|2019,Palo Alto Networks.Confidential and Proprietary.|2019,Palo Alto Networks.Confidential and Proprietary.同城异地数据中心同城异地数据中心 跨数据中心会话保持 DC扩展及冗余DC-1DC-1DC-2DC-2DC-3DC-3疫情扩散封城疫情扩散封城 vs vs 无边界的网络无边界的网络2929|2020 Palo Alto Networks,Inc.All rights reserved.https:/ Clo
19、udCloudTransformationTransformation云原生安全架构云原生安全架构-CSPM&CWPP -CSPM&CWPP 云原生安全云原生安全 可视化、工作负载保护及微隔离可视化、工作负载保护及微隔离”“Our response times are too long.Every lost second leads to financial and reputational damage.”“Our security experts are overwhelmed with the growing number of alerts.”“I spend too much tim
20、e switching between products to effectively respond to incidents.”200 200 万人才缺口万人才缺口专业分析员匮乏专业分析员匮乏 每周每周 1 1 万以上的警报万以上的警报 持续增长的警报持续增长的警报响应流程:难量化,邮件处理响应流程:难量化,邮件处理缺少一致性的流程缺少一致性的流程长达数天的处理周期长达数天的处理周期过长的过长的MTTR&MTTR&风险风险SOCSOC/SIEM/SIEM 面临的挑战面临的挑战 -持续监控持续监控-CISO-CISO-SOC Manager-SOC Manager-IR Analyst-IR
21、 Analyst疫情防控的新常态与信息安全的持续监控疫情防控的新常态与信息安全的持续监控安全运维自动化安全运维自动化 -SOARSOAR3333|2020 Palo Alto Networks,Inc.保留所有权利。安全编排、自动化和响应(S Security O Orchestration,A Automation,and R Response)编排编排(O Orchestrationrchestration)剧本、手册、工作流按逻辑组织的操作计划在集中的位置控制、激活安全产品堆栈自动化自动化(A Automationutomation)自动化脚本 可扩展产品集成剧本任务的机器执行 响应响应
22、(R Responseesponse)案例管理分析和报告交流与协作350+350+第三方工具3434|2020 Palo Alto Networks,Inc.保留所有权利。SIEM资产人员APISIEMCortex XDR邮件数百个其他来源ISAC开源Premium AutoFocus 剧本驱动的自动化警报威胁情报来源自动化与编排实时协作案例管理威胁情报管理为数字化转型赋能和护航为数字化转型赋能和护航 -3-3个个SecureSecureCortex Cortex XDR-XDR-下一代下一代EDREDR、NTANTA及及UEBAUEBACortexCortexXSOAR-XSOAR-安全情报
23、、安全情报、SOARSOARSECURE SECURE THE FUTURETHE FUTURESECURE SECURE THE CLOUDTHE CLOUDSECURE SECURE THE ENTERPRISETHE ENTERPRISEPrismaPrisma安全及网络即服务安全及网络即服务 -SASESASE云原生安全云原生安全Strata NGFW as a PlatformStrata NGFW as a Platform数中心安全数中心安全网络边界安全网络边界安全分支及移动用户安全分支及移动用户安全5G&IoT5G&IoT安全安全SD-WANSD-WANDATA LAKEDATA LAKEPalo Alto Networks Palo Alto Networks 助力企业加速助力企业加速发展并管理风险发展并管理风险一致的防护紧密的集成紧密的集成精准而自动化精准而自动化为简洁有效而设计为简洁有效而设计