資訊安全服務
氣象局內部某單位為提高虛擬伺服器東西向資料傳輸之防護及提高相關伺服器、個人電腦及個人裝置建置相關網路資訊安全使用環境(Palo Alto VM-Series NGFW & Cortex XDR Prevent)
客戶背景
該客戶在北台灣為政府機關之A級單位。辦公環境內均有電腦機房提供相關虛擬伺服器及實體伺服器(Linux & Windows Server)及相關個人裝置(PC or NB),提供內部行政人員之使用。
現況需求說明
勒索軟體每分鐘都在蔓延
人工處理顯然速度不夠快
你的主機、系統、裝置仍然被加密
變種使得每一個時刻都會有首例受害者
特徵碼更新其實未處理仍然存在的漏洞缺少內部檔案防護閘道
有沒有補丁?(舊作業系統)
是否有效解決漏洞威脅?
作業系統補丁有了,那應用軟體補丁呢?
能否重啟?幾時重啟?開得得來嗎?
有沒有相容性風險?
伺服器到底裝不裝?
內部資料交換需使用應用程式識別來進行區隔並列出白名單
依需求及使用者身分識別控制資源存取
防止惡意軟體取得存取權限,並在各工作負載之間橫向移動
在虛擬工作負載變動時,透過簡化且完全自動化的管理減少摩擦,並縮小安全政策落後的差距
本公司提供之解決方案及專業服務
該政府單位是本公司重要的長期服務客戶之一,為協助改善其網路資安問題,本公司結合知名國際原廠,組織最優秀之專業團隊,從設備盤點、規劃、設計、採購、建置、測試到維運,提供整體解決方案及專業服務。
盤點現有設備
發動本公司網路工程師團隊。
提出完整建議書
包括現況分析、改善願景、解決方案、投資報酬分析、建置計畫、財務評估、配合事項等等,取得院方同意。
專注資訊安全相關方案之專業廠商(Palo Alto Networks)
本案架構示意圖:
Palo Alto Networks VM-series NGFW 產品介紹:
VM-Series 透過新世代安全功能保護您的應用程式及數據,藉此展現應用程式層級的絕佳可視性、精確控制和威脅防護。自動化功能和集中化管理可讓您將安全防護嵌入至應用程式開發程序中,讓安全防護與雲端運算速度齊步邁進。
應用程式可視性有助於制定明智的安全決策:VM-Series 提供所有連接埠的應用程式可視性,代表您可以獲得更多雲端環境的相關資訊,藉此做出迅速且明智的政策決定。
針對安全性與合規性的區隔/白名單應用程式:現今的網路威脅通常會先滲透個別的工作站或使用者,然後在網路中橫向擴散,使任務關鍵應用程式和數據陷入險境。您可以運用區隔和白名單政策控制在不同子網域進行通訊的應用程式, _藉此封鎖威脅橫向擴散並落實法規合規性。
防止許可的應用程式流動中出現進階攻擊:就像許多應用程式一樣,攻擊會利用所有連接埠,致使傳統的防禦機制失效。VM-Series 能夠讓您運用 _Palo Alto Networks Threat Prevention、DNS 安全和 _WildFire® 惡意軟體防禦服務實施應用程式特定的政策,封鎖企圖造成雲端感染的入侵、惡意軟體和先前未知的威脅。
藉由基於使用者的政策控制應用程式存取:透過與 _Microsoft Exchange、Active Directory® 和 _LDAP 等各類使用者儲存庫元件應用程式的整合,將使用者身分列入白名單並作為新增的政策元素,藉此控制應用程式和數據的存取權限。VM-Series 結合用於端點的 _Palo Alto Networks GlobalProtect™ 網路安全進行部署時,可協助您將企業安全政策延伸到任何地點的行動裝置和使用者。
透過集中化管理達成政策一致性:Panorama™ 網路安全管理可讓您管理多個雲端部署的 _VM-Series 防火牆以及實體安全設備,藉此確保政策一致性和整合程度。多樣化的集中記錄日誌和報告功能,呈現了虛擬化應用程式、使用者和內容的可視性。
雲端原生的可擴充性和可用性:在虛擬化或雲端環境中,可選擇傳統的雙裝置方式或雲端原生方式來滿足可擴充性和可用性需求。在公有雲環境中,我們建議使用如應用程式閘道、負載平衡器和自動化等雲端服務來實現可擴充性和可用性。
適用於受管理 Kubernetes 環境的容器防護:VM-Series 能夠在 Google Kubernetes® Engine 和 Azure® Kubernetes Service 中保護執行的容器,其可視性和威脅防禦功能與 GCP® 和 Microsoft Azure 上保護業務關鍵工作負載時所使用的功能相同。容器可視性讓安全作業團隊能做出更明智的安全決策,並可針對潛在事故快速做出回應。Threat Prevention、 WildFire 和 URL Filtering 可協助保護 Kubernetes 叢集免受已知及未知威脅的危害。Panorama 可讓您在新增或移除 Kubernetes Service 時自動化政策更新,確保安全防護進程能夠與不斷變化的受管理 Kubernetes 環境同步。
自動化的安全性部署和政策更新:VM-Series 包含多種管理功能,可讓您將安全防護整合至應用程式開發工作流程中。使用啟動載入以自動使用工作組態佈建 VM-Series 防火牆,並透過授權、訂閱以及與 Panorama 的連線能力進行集中管理。
為了在工作負載變動時自動進行政策更新,可使用完整記錄的 API 和動態位址群組讓 VM-Series 能使用標籤形式的外部數據,以便動態更新政策。
使用原生雲端供應商範本和服務與第三方工具,例如 Terraform® 和 Ansible® 以全面自動化 VM-Series 部署和安全政策更新。
Palo Alto Networks XDR Prevent(Traps) 產品介紹:
Palo Alto Networks Traps 用多重防護方法取代傳統防毒,以獨特方式結合了針對性的惡意軟體與漏洞防護措施,可保護使用者與端點免受已知和未知的威脅攻擊。相較於重要資產已經遭到入侵之後的入侵偵測與事件回應,Traps 可防堵安全漏洞。
多重方法惡意軟體和勒索軟體防禦
Traps 能夠使用多重防禦方法阻止惡意可執行檔、DLL 以及 Office 檔案啟動,減少可能遭受攻擊的範圍並提升惡意軟體防禦的精確度。這種做法可以結合下列項目來防止已知和未知的惡意軟體感染端點:
WildFire 威脅情報:Traps 運用來自 Palo Alto Networks WildFire® 雲端威脅分析服務的情報來預防已知的惡意軟體。 WildFire 是世界最大的分散式感測器系統,其專注於辨識與防禦未知威脅並將其轉變為已知,有著超過 20,000 間企業、政府機關與服務供應商客戶一同貢獻,為來自不同端點、網路與雲端應用程式的所有使用者構築出集體免疫的社群。透過機器學習的本機分析:此分析方法會在允許任何未知的可執行檔、DLL 或 Office 檔案執行之前立即提供裁定。Traps 會在不到一秒內檢查數以百計的檔案特徵,完全不需要依賴先前對於威脅的認識。
WildFire 檢驗與分析:除了機器學習之外,Traps 還會使用 _WildFire 深入檢驗未知檔案。偵測到新的威脅時,會在五分鐘之內在新世代安全平台 (包含所有的 Traps 客戶) 之間共享防禦控制措施。WildFire 結合了四種獨立技術的優勢,能夠進行高度真實並且防迴避的偵測,這四種技術包括動態分析、靜態分析、機器學習以及裸機分析。
精細的子程序防護:Traps 能精密控制合法程序 (例如執行碼引擎以及命令殼層) 的啟動,勒索軟體和其他進階威脅通常以惡意方式利用這些合法程序來規避傳統安全防護措施。
行為式勒索軟體防護:Traps 會監控系統的勒索軟體行為,並在偵測後立即封鎖攻擊,防止客戶數據遭加密。
定期掃描休眠惡意軟體:Traps 會對端點上的休眠惡意可執行檔案、DLL 和巨集執行排程掃描或隨需掃描,在無需等待嘗試執行惡意檔案的情況下予以修復。
Traps 政策也能夠讓組織將應用程式列入白名單和黑名單、限制應用程式的執行,並隔離惡意軟體。
多重方法入侵防禦
Traps 能夠封鎖攻擊所利用的入侵技術,而並非著眼於處理個別攻擊。Traps 可以在入侵嘗試的每一步都執行這樣的工作,藉以中斷攻擊生命週期並消除威脅。
Traps 使用多重方法預防入侵:
入侵前防護:在入侵攻擊發動之前,Traps 即可封鎖弱點分析技術,有效防禦攻擊。
技術型入侵防禦:Traps 能透過封鎖攻擊者用來操縱應用程式的技術,防禦已知與零時差入侵。
核心入侵防禦:Traps 能阻止入侵利用作業系統核心中的弱點來建立具有提升權限 (也就是系統層級權限) 的程序。Traps 也能防禦用於從核心當中載入及執行惡意程式碼的植入技術,像是用於 _WannaCry 與 _NotPetya 攻擊中的技術。
協調網路和雲端之間的執行
Traps 和 WildFire持續共享威脅情報,PaloAltoNetworks新世代安全平台的每個元件(例如新世代防火牆和雲端安全服務(見圖) 也是如此。Traps 的客戶可以接收這些威脅情報,並使用完整的WildFire惡意軟體分析功能。
這些威脅情報自動轉換為防禦功能,能消除攻擊者使用未知與進階惡意軟體感染系統的機會。
Traps也能和Panorama™網路安全管理共享其記錄,讓安全作業團隊能使用和防火牆記錄相同的脈絡檢視端點安全記錄。
這有助於偵測可能在其他情況下規避偵測的威脅。
Traps NSS Lab 相關資料
Security Value Map™
Advanced Endpoint Protection (AEP)
整體測試結果:
誤判率:
本產品整體計分:
Traps產品部署架構與優勢
Traps支援平台類型