云顶娱乐 > 科技技术 > 下一代防火墙到底是什么?云和复杂性又如何影

原标题:下一代防火墙到底是什么?云和复杂性又如何影

浏览次数:99 时间:2019-10-05

原标题:下一代防火墙到底是什么?云和复杂性又如何影响到它?

“防火墙”到底是谁发明的?如果你去追本溯源,会发现“防火墙之父”的这个头衔似乎存在于很多人身上。早在90年代初,William Cheswick和Steven Bellovin撰写了有关防火墙的一本书《防火墙与互联网安全》;David Pensak宣称他构建了首个在商业上成功的防火墙;Marcus Ranum说他的成就就是防火墙发明者;还有个名叫Nir Zuk的家伙说,当代防火墙是他发明的…

传统防火墙跟踪记录流量来源域名及其流向的端口。下一代防火墙则做的多的多——监视消息内容以防恶意软件和数据渗漏,还能实时反应阻止威胁。最新的防火墙还加入了行为分析、应用安全、内容监视,零日恶意软件检测、对云和混合环境的支持,甚至终端防护,可以防止未授权访问和数据渗漏,且未来还能做到更多。

Gartner副总裁、著名分析师John Pescatore对此有这样一番解释:“Cheswick和Bollovin是网络防火墙概念之父:即采用包过滤的方式Deny All,并设定Allow例外;而Ranum是初代防火墙‘产品’——DEC SEAL之父,就是那个著名的开源防火墙(1992年就正式推出了)。”

近日,网络安全解决方案提供商 Check Point以色列捷邦安全软件科技有限公司公布了截至 2017 年 9 月 30 日的第三季度公司财务业绩。

图片 1

“Presotto(及其同事)创造了状态检测防火墙的概念。Zuk则是状态防火墙产品之父(在Check Point的时候),随后Zuk在NetScreen公司的时候则推出了应用防火墙,所以我觉得应该称他为防火墙设备之父。”[1]

2017 年第三季度:

简直堪称一揽子工程。其主要思想是:将所有东西都集中到一处,管理工作就会简化。一些防火墙供应商和第三方提供商,已经开始通过提供基于意图的安全来解决管理问题了——用户可以为管理和配置设置协调一致的策略,还能设置合规相关的策略。

我们来单独看看最后这个叫Nir Zuk的以色列人,他曾经说过:

· 总收入:4.55 亿美元,同比增长 6%

Gartner预测,到2020年,下一代防火墙将覆盖几乎所有互联网终端。但绝大多数企业只会用到一两个下一代功能。

“现如今这个世界只有一种防火墙技术,那就是我发明的这种。而其他人所有的工作都纯粹只停留在纸面上。”

· 软件刀片订阅收入:1.2 亿美元,同比增长 22%

下一代防火墙市场将如何改变

细究谁是防火墙之父的问题并没有多大价值,而这个叫Nir Zuk的家伙乃是这篇文章将要详细讨论的公司,Palo Alto Networks的联合创始人兼CTO。然而,Nir Zuk帮助构建状态检测防火墙技术,其实是他还在Check Point这家公司的事情了。

· GAAP 营业收入:2.25 亿美元,占总收入的 49%

下一代防火墙面世已近十年,独立安全研究及测评机构NSS实验室报告显示,超过80%的企业目前已部署有下一代防火墙。下一代防火墙堪称公司企业头号安全控制措施。

· 非 GAAP 营业收入:2.51 亿美元,占总收入的 55%

然而,NSS实验室今年夏天的安全测试中,没有任何一个下一代防火墙展现出对攻击变种的完全适应力——虽然10个被测对象中有6个得分上了90。可提高的空间还很大

图片 2

· GAAP EPS:1.16 美元,同比增长 18%

NSS实验室的下一代防火墙推荐

Palo Alto Networks联合创始人兼CTO Nir Zuk

· 非 GAPP EPS:1.30 美元,同比增长 15%

NSS实验室最新防火墙安全对比测试结果出炉,下列供应商在下一代防火墙的安全有效性方面得分最高:

在FreeBuf看来,即便对于防火墙技术研发有杰出贡献的人有很多,Nir Zuk也不愧“防火墙之父”的名号。可以说,这两年很火的“新一代防火墙(Next-Generation Firewall,NGFW)”概念就是Palo Alto Networks一手打造的。

· 递延收入:10.36 亿美元,同比增长 17%

  • Barracuda Networks CloudGen Firewall F800.CCE v7.2.0
  • Forcepoint NGFW 2105 Appliance v6.3.3 build 19153 (更新包:1056)
  • Fortinet FortiGate 500E V5.6.3GA build 7858
  • Palo Alto Networks PA-5220 PAN-OS 8.1.1
  • SonicWall NSa 2650 SonicOS Enhanced 6.5.0.10-73n
  • Versa Networks FlexVNF 16.1R1-S6

Palo Alto Networks这家公司也因此从未脱离“革命”二字,这与Zuk的个性和经历存在莫大关联。本文尝试以Zuk的故事为出发点,以“革命”为关键词,探讨Palo Alto Networks这家公司的特色。

图片 3

市场研究公司 Markets & Markets 预测,下一代防火墙市场规模将从2017年的23.9亿美元,增长到2022年的42.7亿美元,复合年增长率达12.3%。原因是过去几年中威胁态势和企业边界都发生了巨大变化。

与Check Point不得不说的那些年

公司创始人兼首席执行官 Gil Shwed 表示:“我们的第三季度财务业绩再创新高,营收达到预期上限,并且每股收益也超出我们的预期。随着 Infinity 平台及供应商整合不断满足客户的需求,使用我们高级威胁防护的客户越来越多。在本季度,我们持续扩大 Infinity 平台的覆盖范围,并通过反勒索软件技术、针对 Azure Stack 的云安全防护,以及 Microsoft Intune 移动管理与 SandBlast 移动安全的集成,提高我们所提供的技术安全等级。”

Gartner的调查表明,典型的防火墙生命周期是3到5年。2011和2012年间,下一代防火墙有一波购买小高峰。于是,未来一年内,这批防火墙将迎来大批量替换潮——因为它们不再满足当前网络吞吐量和出站TLS通信解密的需求。今天的公司企业还更倾向于使用云或混合基础设施,用户能通过Web应用和移动设备随时随地接入。

有关状态检测防火墙,和新一代防火墙(或者叫下一代防火墙)的概念,我们在先前思科防火墙的评测中已经花了比较大的篇幅去介绍(点击这里)。用一句话来概括,新一代防火墙相较状态检测防火墙,其特点是将对流量的检测提升到了应用层(第七层),而状态检测防火墙仅停留在网络层和传输层(第三层&第四层)。

2017 年第三季重点财务数据:

下一代防火墙试图适应云技术发展

· 总收入:同比于 2016 年第三季度的 4.28 亿美元,今年为 4.55 亿美元。

目前为止,下一代防火墙供应商尚未能完全将其功能应用到云环境。这需要大量的工程攻关,而目前供应商们还不具备完美的云副本,无论是虚拟化的还是实体的。

图片 4

· GAAP 营业收入:同比于 2016 年第三季度的 2.06 亿美元,今年为 2.25 亿美元。

不过,他们正利用云技术提供的其他功能,包括威胁情报数据实时共享。新出现的首例威胁相当难以阻断。但只要给个一两分钟,凭借防火墙的云功能,在实时更新加持下,后面的第10例、15例、20例都能做到有效防护。

2016Q1防火墙设备的市场占比排名

· 非 GAAP 营业收入:同比于 2016 年第三季度的 2.31 亿美元,今年为 2.51 亿美元。

下一代防火墙能提供终端安全吗?

前些年,思科的ASA状态检测防火墙市场占有率就在连年下滑,其根本原因是思科对于新一代防火墙的反映比较慢,自2013年收购Sourcefire之后才开始力推FirePOWER系列“新一代防火墙”——这部分市场正被Check Point和Palo Alto Networks全面蚕食。从Gartner去年的统计数据也不难发现防火墙市场现如今的格局。

· GAAP 净收入及摊薄后每股收益:同比于 2016 年第三季度的 1.7 亿美元,今年 GAAP 净收入为 1.93 亿美元。同比于 2016 年第三季度的 0.99 美元,今年 GAAP 摊薄后每股收益为 1.16 美元。

下一代防火墙延有可能伸进终端安全空间吗?如果能融合,企业管理起安全来就更容易了。但这种情况大概是不会发生的。

故事在此背景下便可说开去。状态检测防火墙就是Check Point公司最早推出的。当时从Unit 8200(以色列国防部旗下的神秘间谍部队)退役、二十多岁的Nir Zuk就是Check Point公司的技术主力——他和Check Point联合创始人Gil Shwed,早在Unit 8200部队的时候就是非常要好的朋友。

· 非 GAAP 净收入:同比于 2016 年第三季度的 1.94 亿美元,今年非 GAAP 净收入为 2.15 亿美元。

在可预见的未来,边界防护和终端防护将依然是两个完全不同的领域,但这两种技术集能彼此互利。终端上感知的信息可以辅助防火墙更有效地工作。

Shwed说来也是个神人,他在Unit 8200服役期间就打造了全球首款基于IP地址对流量进行筛选的包过滤设备。Zuk在1990年加入了Shwed的队伍,直到Shwed退役并于1993年成立了Check Point(和另外两个同为军人出身的Shlomo Kramer和Marius Nacht)。1994年,Zuk也加入了Check Point,并帮助公司打造了极富盛名的状态检测防火墙。[2]

· 非 GAAP 摊薄后每股收益:同比于 2016 年第三季度的 1.13 美元,今年为 1.3 美元。

防火墙供应商 Check Point Software Technologies 预测,企业安全的下一场变革——将当前下一代防火墙与云、移动和终端防护结合到一起,将产生全新的一类安全工具,而不再是一个防火墙。

· 递延收入:同比于截至 2016 年 9 月 30 日的 8.89 亿美元,截至 2017 年 9 月 30 日的递延收入为 10.36 亿美元。

Check Point 的 Infinity Architecture 就是此思维下的产物,是新品类的产品,不是下一代防火墙。Check Point 认为,着眼整个基础设施,将其作为一个统一的可扩展的系统,从各个不同拓扑加以观察,是更为健康的方式。

图片 5

· 现金流量:同比于 2016 年第三季度的 2.14 亿美元,今年运营产生的现金流量为 2.6 亿美元。

单凭防火墙不足以确保整个企业的安全。防火墙将成为高级威胁解决方案中的一个层级,或者一个组件。

Check Point联合创始人兼CEO Gil Shwed

· 股份回购计划:2017 年第三季度期间,公司回购 230 万股,总成本为 2.5 亿美元。根据第三季度公布的更新计划,Check Point 以后可在每季度继续回购最高 2.5 亿美元的普通股,累计总金额不超过 10 亿美元。

高级威胁解决方案,或者说高级威胁防护,还包括能自动评估威胁并拒之门外的专用威胁情报网关、安全DNS服务、微分隔,以及智能应用控制。

用现在的话来说,Zuk本人当时就是个极客,每天都在想着开发新产品,似乎没有“革命”就没法活下去。这也是Zuk被称作“防火墙之父”的原因之一。1997年之后,Zuk搬去美国加州为Check Point开发新产品,他与妻子还一起在美国买了房子准备在美国常住。当时他对于团队打造的新产品极具信心,但Check Point以色列总部在这款产品即将发布之际砍掉了该项目。按照Zuk本人的说法,总部给的理由是:“以色列总部的工程师对于有人只是为了好玩,而在美国打造新产品感到很愤怒。”(2010年在ITWorld采访Zuk的时候,他特别补充说:我没在开玩笑,这就是他们给的理由。[3])

· 现金余额、有价证券及短期存款:同比截至 2016 年 9 月 30 日的 37.08 亿美元,截至 2017 年 9 月 30 日为 38.65 亿美元。

下一代防火墙管理及合规将愈趋复杂

Zuk旋即选择了离开Check Point。在离开Check Point之后,他自己开办了一家公司,这家公司2002年被Netscreen收购。在不到一年的时间里,NetScreen就成为全球第二大防火墙供应商。2004年,NetScreen又被Juniper Networks收购。Juniper在当时的安全行业已经是家大公司了,Zuk觉得他根本就不能适应大公司整天削减支出,一个决策就要在企业内部打转好几圈的这种官僚作风,所以再度决定辞职。Juniper在对他挽留的当下,他提要求说:

有关本新闻稿中论及的非 GAAP 财务指标的信息,以及此类非 GAAP 财务指标与最直接可比 GAAP 财务指标对比后的调和结果,请参阅“非 GAAP 财务信息的使用”和“GAAP 与非 GAAP 财务信息对比后的调和结果”。

防火墙安全策略管理及网络风险分析解决方案提供商 FireMon 的防火墙现状报告中称,防火墙规则及策略的复杂度是企业安全人员最大的防火墙难题,策略合规和审计准备度位列第二难,防火墙规则优化次之。另外,绝大多数受访公司维护有10个以上的防火墙,26%的公司报告称自家环境中有超过100个防火墙。

要我留下,我的要求包括:我想要个自己的项目,我要打造一款全新的防火墙,我需要1000万美元的预算,我还需要挑选25个人,给我两年时间!

业务亮点:

怎样打理防火墙规则库并最小化风险?

Juniper并没有满足Zuk的要求,Zuk便离开了这家公司。现在想想,假若Juniper真的拨出了这些人和预算,“新一代防火墙”的话语权说不定就已经在Juniper手中了。只不过大企业错失良机的故事比比皆是,这样的事也算不得稀罕。

为 Microsoft Azure Stack 提供高级安全性

1. 清除技术性错误

2005年,Zuk的生活和事业陷入低谷,10年婚姻也随工作变迁而消失。此时的Zuk已经35岁,他搬到了山景城的一座小公寓中生活,位于Palo Alto外围。在Zuk的生活不如意之际,他接到了Asheem Chandna的电话——Chandna是谁?这人原本是Check Point的副总裁,比先前Zuk还早2年从Check Point离职。Chandna当时在一家名叫Greylock风投公司,据说他一直在关注Zuk这些年的动向,因为Zuk是Check Point团队中“最醒目的(brightest)”。

Check Point 宣布,为支持 Azure Stack,其针对 Microsoft Azure 的旗舰产品 vSEC 云安全解决方案已得到加强,可跨 Azure 公共云和混合云环境提供一致的安全防护。现在,通过使用业界领先的高级威胁防护措施,Check Point 客户可以无缝保护 Azure 资产和工作负载,同时还可以跨内部网络及其 Azure 云环境提供安全的连接性。

防火墙策略中的技术性错误指无效或不正确的规则,或者说不服务于业务需求的那些(比如:隐藏规则、影子规则、冗余规则和重合规则)。

为 Microsoft Enterprise Mobility 提供 SandBlast 高级安全性

2. 去掉未使用的访问规则

图片 6

Check Point 宣布将 Check Point SandBlast Mobile 与 Microsoft Enterprise Mobility Security (EMS) 集成,以保障企业的移动设备安全。Check Point SandBlast Mobile 作为市场领先的移动威胁防御 (MTD) 解决方案,与 Microsoft 的 Intune 企业移动管理 (EMM) 平台进行集成后,可为企业提供一种管理移动设备并防范高级移动攻击的综合性方法。

规则库中或许会存在一些兼容并提供(或阻止)正确访问权限的规则,但这些规则就是没有被用到。确定规则使用情况的最佳方法,是将活跃策略行为与长期网络流量模式相关联。

Greylock和Sequoia Capital两家风投公司随后给了Zuk 25万美元的启动资金,Zuk就是在这两家公司的办公室一手打造了当下极富盛名的“新一代防火墙”,这便是Palo Alto Networks公司的由来。值得一提的是,第二年,这两家风投公司又给Palo Alto Networks注资超过900万美元,而Check Point的另一名联合创始人Shlomo Kramer也选择了给这家新公司注资。

Check Point 推出全新在线研究平台并发布年中网络攻击趋势报告

3. 精炼过于宽松的规则

这样一来,Palo Alto Networks与Check Point这种千丝万缕的联系便始终不曾断过。前者的董事会成员就包括了后者的两名“叛兵”,Check Point联合创始人Shlomo Kramer和前副总裁Asheem Chandna。这已经足够说明Zuk在技术上是何等受到其他人的肯定。

2017 年,全球几乎 25% 的组织受到 RoughTed 恶意网络攻击的影响。Check Point 推出全新在线平台 Check Point Research,面向更大的社区提供网络威胁情报信息。Check Point Research 平台可以向威胁情报社区通报有关 Check Point 的原创研究、网络安全领域的最新趋势以及当前威胁形势的相关详情。

定义不良的业务需求,结合上严格紧迫的截止期限,往往催生出超过业务所需的宽泛权限规则——比如包含“任意”字眼的那些规则。

新一代防火墙的撕X大戏

最新 ZoneAlarm 反勒索软件保护家庭 PC 免受勒索攻击

4. 持续监视策略

似乎在早前Zuk离开Check Point之后,便与昔日好友Shwed(Check Point的联合创始人,也是现在的CEO)真正变得势不两立。即便是Palo Alto Networks早已上市的今天(2012年6月,PAN募集2.6亿美元资金IPO上市),依然可以看到Zuk隔空与Shwed撕X,讽刺对方的产品很糟糕。

ZoneAlarm 增添关键保护层,以保护消费者免受 WannaCry 和 Petya 等快速进化勒索软件的攻击。推出新型解决方案 ZoneAlarm 反勒索软件,用于识别、隔离并消除用户 PC 中复杂隐避的勒索软件感染,为家庭 PC 增添关键保护层,并与防病毒软件共同协作,为 PC 用户提供广泛保护,免受日渐增加的勒索软件威胁。

持续监视你的策略,以避免再次搞乱你好不容易理清的防火墙规则,维持一个更好的安全及合规态势。

福布斯杂志当年追问Shwed这段历史的时候,Shwed甚至对于Zuk和Palo Alto Networks的名字都绝口不提。

我们获得了以下业界荣誉:

公司企业为防火墙设立的任何规则及策略,通常会被镜像到其环境中的其他安全产品里。普通网络里会有80-90个终端解决方案在桌面层级、服务器层级和网络层级保护企业的安全。

“我觉得一个好人这样做事是件很悲哀的事情。这个人是先前Check Point的一个很不开心的员工,一个很聪明的人”,“他们也有好的一面,我倾向于去考虑我们越来越好,技术也越来越棒”。

未来网络安全架构:Check Point Infinity 是全面整合的网络安全平台,专注于防御跨网络、云端和移动设备的攻击。

最新的防火墙迭代可以整合某些终端解决方案,某种程度上帮助对抗愈趋复杂的威胁态势,但新的威胁层出不穷,企业环境也在不断发展变化,进化不会终止。同时,一些新的风险领域,比如某些云环境或软件即服务(SaaS)应用,甚至都不在安全团队控制之下,而是其他部门在管理。

这番话中不知省略了几万字用以表达双方现如今的状态。其实无论Palo Alto Networks如何讽刺Check Point的防火墙产品根本就不能算是新一代防火墙,我们从Gartner的企业防火墙魔力象限之上也依旧能看到,这两家公司的防火墙常年占据第一象限的制高点,几乎被Gartner认为是现如今最优秀的防火墙产品。

本季度,我们在 Gartner 2017 年统一威胁管理(中小企业多功能防火墙)和企业网络防火墙 (ENFW) 魔力象限报告中被评为行业领先者,进一步巩固了我们的领导地位,也是对 Check Point Infinity 为各类型企业提供安全性的愿景和创新的认可。

事实上,复杂性的问题正变得越来越严峻。随着环境中复杂度的不断增加,出错的概率也在增加——人为错误、配置错误。因为复杂度趋于增长,基础设施中的各种问题也在发酵、成熟。

最新报告评估公司在为各行业内的大中小型企业提供安全管理和威胁防御解决方案等方面的“愿景完整性”和“执行能力”。这些认可进一步巩固了 Check Point 在为各式客户提供全面安全解决方案方面的优势地位。

通过意图管理安全,也就是基于总体原则来创建具体防火墙规则和安全配置,应该能解决这一问题,但技术尚未走到这一步。几乎没有公司敢拍胸脯说“我的安全策略是安全实现的真实反映”。

图片 7

NSS 实验室第 15 次“推荐”评级 - 在 NSS 实验室最新研究成果中,Check Point 获得第 15 次“推荐”测试评级并且第 3 次通过漏洞攻击检测系统测试,凸显出我们安全体系结构的强大优势。

在未来,公司企业将能够定义其安全意图,将会用策略计算引擎自动创建所需防火墙规则。安全控制或许在数据中心,或许在传统防火墙,或许在云端虚拟防火墙、原生控制或容器中。但我们应关注自身安全意图,关注如何从技术上自动化实施我们的安全策略,用上下文化的情报,无需人工干预。在业务速度和安全实施速度之间造成差距的传统过程都应该被去除。

2016年Gartner企业网络防火墙魔力象限

荣获 The Global Technology Distribution Council 颁发的 Rising Star(新星)奖 - Check Point 被评为网络安全类别的行业成长冠军。Check Point 在过去一年中,通过其美国分销合作伙伴取得了极大的销售增长和市场份额,从而摘得该奖项。 此奖项也证明了 Check Point 保持的一贯优势,能够为不断扩展的市场提供全面安全解决方案。

幸运的是,安全供应商正转向允许信息在某中心位置交换和处理的开放API。所有主流下一代防火墙供应商都在提供该API结构。对FireMon之类集中式管理产品而言,这是很棒的消息。

看Gartner在去年5月份发布的企业网络防火墙魔力象限,Palo Alto Networks已经连续第五年位于Leaders领导者象限,而且在纵坐标的执行能力(Ability to Execute)方面冠压群雄。然而,“唯二”与Palo Alto Networks位于Leaders象限的,也就只有Check Point了,且Check Point在横坐标的前瞻性(Completeness of Vision)方面表现得更优秀。(看看Juniper…)

PC 杂志编辑之选 - 在测试中,Check Point ZoneAlarm 反勒索软件被评为最有效的反勒索软件安全保护工具,可成功防御所有现实存在的勒索软件。

防火墙供应商还在踏入策略及合规管理领域,不过通常都只关注管理自己的产品,而不是环境中其他供应商的产品。

实际上Check Point在这个魔力象限中也已经连续数年蝉联Leaders位置,所以这两者的实力都并不是吹出来的。翻看这两家公司近期的季度财报,其季度营收都越来越靠近,可Check Point早在1993年就成立了,Palo Alto Networks却整整晚了12年,其追赶速度不可谓不神速。

CSO 杂志 - 在一篇名为“SandBlast Mobile 简化移动安全性”的广泛性社评中,其认为“Check Point SandBlast Mobile 可适用于移动设备管理员和安全事件日志分析员,实际上能够更加轻松地管理全部移动设备的整体安全性轨迹。”

比如说,Check Point Compliance Blade 产品就只能与 Check Point 的产品互动。供应商们并没有放眼企业基础设施中部署的所有产品。这一点似乎不会改变,因为对他们没有实质上的触动,他们也只是尽力做好自己能做的工作而已。

那么这两位撕X的点究竟在哪儿呢?这是本文接下来要分析的重点,理解了这个问题,自然也就能够了解“新一代防火墙”这个概念究竟谁才是正统。

我们的安全研究部门也在继续揭露现今基础设施中的安全漏洞,其中包括移动设备和应用程序中的关键漏洞,例如:

Gartner关于下一代防火墙的炒作曲线:

从2009年Gartner正式对“新一代防火墙”这个名词下定义[5],新一代防火墙就已经不光是个营销噱头了。我们再回顾一下新一代防火墙需要满足的主要要求:

Check Point 携手 LG 保护其智能家用设备安全

- 标准第一代防火墙能力(包过滤、NAT、状态协议检查、VPN等);

我们的安全研究团队发现了一个名为 HomeHack 的漏洞 - 该漏洞使数百万 LG SmartThinQ® 智能家用设备用户面临他人未经授权远程控制其 SmartThinkQ 家用电器的风险。该研究团队与 LG 合作修复了这个漏洞,否则黑客可利用其控制 LG Hom-Bot 扫地机器人上的摄像机,并开启和关闭洗碗机与洗衣机等电器。

NSS实验室下一代防火墙测试报告:

- 不仅限于融入网络入侵防御能力;

一股新 IoT 僵尸网络攻击风暴即将来袭 - 新的网络攻击风暴云正在聚集。Check Point 研究人员发现一种全新的僵尸网络,其正更加快速地发展和感染 IoT 设备,并且相较于 2016 年的 Mirai 僵尸网络,潜在危害性有过之而无不及。IoT 僵尸网络是通过互联网相互连接的智能设备,这些智能设备被同一恶意软件感染,并受到来自远程威胁执行者的控制。这些人对全球各地组织发动过破坏最严重的网络攻击,包括医院、国家运输联络、通讯公司和政治活动等。

- 应用感知,和全栈可视性;

“不是在成功之后变得富有,就是在不断尝试攻击的路上” - Check Point 研究人员揭示国际性网络攻击活动。

Market&Market市场报告:

- 支持防火墙以外的威胁情报。

Check Point 揭露了一个尼日利亚公民的身份,此人位于尼日利亚首都附近,策划了对石油天然气、矿业、建筑和运输行业 4000 多家公司的攻击。

实际上,这其中最重要的部分就是所谓的“应用感知和全栈可视性”。这是新一代防火墙相较状态检测防火墙最大的区别,将针对流量的检测提升到了OSI模型中的第七层,并依据对应用层的流量检查,实现对应用的识别,以及直观的可视化。比如说,在这种功能的加持下,防火墙可以实现允许Skype应用流量,但同时却禁止Skype应用中的文件共享功能。这是以前的防火墙无法实现的功能。

ExpensiveWall – “包装”恶意软件现身 Google Play,将危及您的财产安全。

企业战略集团2018高级威胁年文章:

当代很多防火墙提供商都宣称自己所推的是新一代防火墙,但我们认为,从Gartner针对新一代防火墙的完整定义来看,Palo Alto Networks可能是为数不多真正有底气可以说自己的产品才是新一代防火墙的厂商(毕竟这货就是他们发明的)。如Fortinet之类前期在推UTM(统一威胁管理)设备的厂商曾经说,新一代防火墙只是个营销噱头,本质上新一代防火墙就是UTM。

Check Point 移动威胁研究团队发现了一款 Android 恶意软件的新变体,该软件会向用户发送欺诈性收费短信,并在其毫不知情的情况下向用户账号收取虚假服务费。根据 Google Play 数据,这款恶意软件感染了至少 50 个应用程序,而受感染应用程序在被移除之前,已有 100 万到 420 万次的下载量。

)

如果你对UTM有过了解就不难发现,UTM的理念是对诸多网络安全设备做整合,企业购买一台设备就能解决很多问题,UTM中的IPS模块本质上的确也有应用层的深度包检测能力,这应该是Fortinet认为新一代防火墙和UTM本质相同的原因所在。但这些年,不难发现像Fortinet这样的厂商也开始热推“新一代防火墙”产品,且与其看家的UTM是区分开的,两者是否有差异也就不难理解了。

当心“Bashware”– 一种任何恶意软件均可绕过安全解决方案的新方法。

责任编辑:

Check Point 研究团队发现一种令人担忧的全新手段,它可以使恶意软件绕过许多最常见的安全解决方案,如下一代防病毒、检测工具和反勒索软件等。这种名为 Bashware 的技术利用了称为“Linux 子系统”(WSL) 的全新 Windows 10 功能。

图片 8

Check Point创始人兼首席执行官 Gil Shwed 表示:“Check Point Infinity 架构旨在为企业提供跨安全基础架构的最高级别威胁防护。我们的解决方案连续第 15 次荣获 NSS 实验室“推荐”评级,这是对我们产品实效性的有力认可。”Shwed 还总结道:“我要感谢客户每天都信任我们为他们最有价值的数据提供安全保护,这是对我们最大的认可。”

那么Palo Alto Networks说自家新一代防火墙“正宗”的底气在哪儿?从其产品的源起开始,Palo Alto Networks的几大杀手锏就包括了防火墙的单流架构(Single-Pass Architecture,或者译作单通架构)、对App-ID、User-ID和Content-ID的识别,从应用、内容和用户三个层面,做到七层可视性。

2017 年第四季度投资人大会参与时间表:

其中的单流架构可能就是根源所在了。我们先前在分析思科的防火墙产品的时候曾经提到过,思科刚开始应对新一代防火墙来势汹汹的方法是,相对机械地给ASA状态检测防火墙,直接搭配FirePOWER模块(来自收购的SourceFire),就好像一个机架上有两台设备,ASA代码和FirePOWER部分分开,在流量流经的时候,一个包至少需要被检查2次,首先是ASA部分,随后再借由FirePOWER引擎处理检查。即便后来推出的FirePOWER防火墙已经采用统一镜像,也仍然是ASA运行在FTD        OS之上的容器中,FTD镜像或本身更像是设备中跑在eXtensible OS系统上的虚拟机。

· 瑞银全球技术大会

这很大程度上是上一代做防火墙产品的常规思路,Palo Alto Networks的说法是,“传统安全整合的方式就是在基础防火墙之上加入功能。”“这甚至不能称为整合,而是合并(consolidation),只是简单将多个产品做成一个独立的设备。”“由于功能都在同一台设备上实现,所以会有整合的错觉。”“每个功能都在消耗系统资源。”[6]这些用词看起来很大程度上是在讽刺UTM。

2017 年 11 月 14 日 - 加利福尼亚州旧金山

· 瑞士信贷年度技术大会

图片 9

2017 年 11 月 29 日 - 亚利桑那州斯科茨代尔

从结构复杂性、网络性能的角度来看,在安全部署中每加入一台新的安全设备的确会增加架构和管理的复杂性;且新设备的加入意味着网络延迟会有增加。如上图所示,不同模块捕捉不同的应用,这是个相对混乱的局面,最终要呈现的综合可视性也有难度。这种非持续性在流量分类的问题上是存在缺陷的,也一定程度增大了安全风险。

· 富国银行技术峰会

Palo Alto Networks相较当前绝大部分防火墙市场的玩家都更年轻,所以的确是如Zuk想的那样从头打造了一款防火墙。其防火墙从设计之初就想到采用单流架构来处理包。这种架构针对每个包只执行一次操作。在防火墙进行包处理的时候,针对所有流量,networking、策略查询、应用与解码以及签名匹配都只执行一次;而且这种架构在首先执行全栈(full-stack)检查后,将结果上下文面向所有安全执行选项开放。总结成一句话,是“扫描全部,扫描一次”

2017 年 12 月 5 日 - 犹他州鹿谷

实际上,这是相当理想化的一种防火墙架构,尤其是在增加了第七层应用可视性之后。从理论上来说,这样的架构的确更有助于节约硬件资源,也能保持更低的网络延迟。而且其技术亮点还有一点是值得一提的,就是硬件加速。

· Cowen 网络与网络安全峰会

其实硬件加速在传统多安全设备叠加的架构上是个很奢侈的概念,一旦涉及到多引擎扫描,硬件加速就很难了——因为很多厂商开发的“新一代防火墙”针对应用层的内容扫描是后来添加到设备之上的,而不是从设计伊始就从硬件和软件层面做到贯穿整合。所以Palo Alto Networks宣称他们的防火墙产品能为每个主要功能模块提供硬件加速,各种功能(包括User-ID、App-ID等)都在专门的处理器上执行,而且实现了并行处理,这就是依据所在。

2017 年 12 月 13 日 - 纽约市

Check Point 管理团队成员将出席这些会议,并讨论最新的公司战略和方案。Check Point 的会议展示材料将在公司网站上通过网络广播的方式提供。要查阅会议展示材料并了解最新信息,请访问公司的网站 www.checkpoint.com/ir。时间安排可能会临时改变。

图片 10

PA-5000系列的硬件核心模块示意图

从我们掌握的信息来看,这里所谓的“专用处理器”算不上什么黑科技,或者说并没有奢侈到采用非标准器件的程度。以PA5000系列为例,防火墙采用Intel Xeon四核处理器,依据其宣传册上画的处理流程,我们猜测应该是令FPGA(或为ASIC?)通过PCIe总线连接Xeon处理器。所以Palo Alto Networks防火墙的价格并不便宜,这部分当然也是需要研发成本的。只不过这应该不算是单流架构的最大功臣,整体架构的单流才的确让主要模块都实现了硬件加速和并行处理。

基于这种单流架构,Palo Alto Networks和其他竞争对手撕X的主要立足点就在于此。比如Palo Alto Networks嘲笑Check Point的所谓新一代防火墙,其实就是状态检测简单地叠加了“Application Blade”,甚至说“Check Point基于状态检测的防火墙,加上像UTM似的blade,无法提供Palo Alto Networks所能提供的安全应用能力[7]”。

Palo Alto Networks防火墙简要解析

自2011年Palo Alto Networks在Gartner的企业防火墙魔力象限位居Leaders象限以来,Gartner都言明这种单流架构都为其客户所乐道,而且的确在性能方面相较竞品更出色。而除此之外,Gartner这些年反复强调Palo Alto Networks的另一个强项在App-ID应用识别能力上,在管理类设备中,其防火墙产品总是在配置方便性和应用识别上拿到最高分。

图片 11

这也就要谈到Palo Alto Networks防火墙在应用可视化、威胁防护方面的三板斧了——这三板斧可能是目前所有新一代防火墙产品学习的对象。它们分别是:

-App-ID:从这个宣传词汇不难理解,就是指识别穿越网络的应用是什么。这实际上是新一代防火墙都在着力的能力,也是实现应用可视性的基础。Palo Alto Networks的防火墙针对应用的识别也并不依赖单一要素,包括应用签名、TLS/SSL和SSH流量的解密、应用和协议Decode(检查那些可能在协议内部搞隧道技术的应用,以及在应用内识别某个特别的功能)、启发式识别(针对隐蔽性更强的应用,比如使用专门加密的VoIP应用)。

新一代防火墙的七层检查特性不止用于威胁检测拦截,还在于应用控制,而且是细粒度的应用功能控制。比如说允许企业员工浏览Facebook,但是不允许使用Facebook邮件、聊天、内容发布和应用的使用;再比如说允许用户用即时通讯工具聊天,但是禁止文件传输,或者只允许特定文件类型的传输。这也是App-ID能够实现的。

Palo Alto Networks本身会维护一个云端App-ID数据库,每周都会更新(每周更新3-5个可识别的App),增加更多已知的商业应用。对于App-ID未知的企业内部自制应用,防火墙也支持用户定制一个App-ID,由用户定义应用分类和检查,且不会受到每周App-ID更新的影响。

-User-ID:基于用户和分组——而非IP,来实现可视性、安全策略和报告的一种能力。从名字就不难理解,利用User-ID可以基于用户身份信息,进行应用和内容启用策略的部署;也就是了解谁在网络中使用应用。实现以非IP的方式来识别用户和分组,其中的方式还是比较多的。

针对User-ID的识别方式包括GlobalProtect客户端(而且是跨主流平台的)、XML API、syslog监听、端口映射(针对如Citrix XenApp多用户使用相同IP的情况,这种识别方式可以区分用户和应用)、XFF Headers(代理服务器会隐藏用户IP,这种方式则从HTTP客户端请求的XFF header中读取IP地址,将用户真正的IP地址和用户名对应起来)、服务器监听(针对Microsoft Active Directory、Exchange和Novell eDirectory环境)、客户端探查。

-Content-ID:这才是防火墙威胁防护的根本;主要是用于限制未经授权的数据和文件传输,依据类型阻止敏感数据和文件传输;检测和阻止大范围exploit、恶意程序、具有威胁的web浏览;通过整合的URL数据库进行web过滤。在具体实现上包括了与App-ID中的应用与协议Decoder结合、SSL解密、绕行技术控制等方式,对所有的流量和端口进行分析。

这三板斧解决的问题概括成三句话就是:通过的流量是什么以及是否允许通过(App-ID)?是否允许特定用户或分组通过(User-ID)?流量中存在哪些风险和威胁(Content-ID)?

图片 12

这其中尤为值得一提的是WildFire,本质上这是Palo Alto Networks的威胁情报云,是这家公司安全版图布局中相当重要的一部分——威胁情报本身就是从端点到网络安全设备都在着力的组成部分。针对防火墙(以及端点安全的Traps)无法识别的应用和威胁,防火墙会捕捉那些未知文件,交由WildFire来处理。WildFire也是Palo Alto Networks宣称可预防未知威胁和APT攻击的根本所在。WildFire的主体技术包括了4部分,分别是

动态分析:本质上是种沙盒技术,不过是云上的沙盒——将可疑文件放置到虚拟环境中,对文件进行观察,利用数百种行为特色,实现0day恶意程序和exploit的检查;

静态分析:动态分析的补充;

机器学习:训练可预测的机器学习classifier,识别新型恶意程序和exploit;

Bear Metal分析:将那些真正具有极强隐蔽性的威胁发往真实的硬件环境进行检测。

当某个原本未知的样本被标记为恶意之后,WildFire就会更新,并将其在5分钟内推送给所有WildFire订阅用户。此外,对于企业的应急响应团队来说,WildFire会给出事件的整合日志、分析和可视化,安全团队就能快速定位数据,做出响应。

按照Palo Alto Networks的说法,已经有超过14000家企业、政府和服务提供商在共建WildFire这个威胁情报云了。不光是上述防火墙Content-ID利用WildFire威胁情报云,Palo Alto Networks的产品服务,比如Traps端点防护、Aperture        SaaS安全服务,都用到了WildFire。这朵云有与FireEye的威胁情报直接竞争的意思。

撕X从没怕过谁的Zuk 和一路开挂的Palo Alto Networks

无论从哪个角度来看,Palo Alto Networks的防火墙产品都是Gartner定义下的标准“新一代防火墙”,或者说Gartner可能就是按照这家公司的防火墙产品来给新一代防火墙下定义的。我们从这些漂亮的理论解决方案,不难理解从头打造一款新产品,而无需像老厂商那样瞻前顾后,在旧有技术上做新技术的粗暴加法,具备了对一类产品“革命”性的意义。这大概也是Palo Alto Networks这些年发展如此神速的原因。

早些年,(素有以色列余承东之称的)Zuk大嘴就曾经这么评价过包括思科、Sourcefire(那时思科还没收购Sourcefire)、Check Point等在内的竞争对手:“这些厂商就是在做一些犯人在做的事情,提出上诉![10]”那些产品应用层控制只是在做“无用功”,比如Check Point防火墙产品提供85%的折扣,因为Palo Alto的成功,他们基本宣布“以免费的方式放弃产品”了。

图片 13

2016Q2全球安全设备市场份额

Palo Alto Networks并非光打嘴炮。文章第一部分援引Gartner的防火墙市占率数据已经很能说明问题,这里还可援引IDC去年9月份统计的“全球安全设备收益,市场份额”[12](安全设备不仅包括防火墙,还有UTM、IPS等),Palo Alto Networks已经和排在第二的Check Point咬得很紧,同比增速近40%,这个速度比思科的1.6%和Check Point的10%可是快了相当多。这个数据和Gartner防火墙市场份额是基本相符的。以这样的增速,超越Check Point不过是时间问题。

或许只在技术原理上吹得如此有派头,尤其是单流架构在防火墙产品中的一枝独秀,最终还是要用“疗效”来说话的。而且我们认为,无论“单流架构”是否真的先进,多引擎叠加是否真的落后,都还是要看效果如何。无论是Gartner还是Palo Alto Networks的企业用户,我们从网上看到的评价普遍是偏正面的。但偶有一些例外,比如说评测机构NSS Labs。这是则小花絮,大约也能表现Zuk敢做敢说的风格。

图片 14

2014年著名评测机构NSS Labs说,Palo Alto Networks的新一代防火墙如果采用默认配置来部署,攻击者很容易绕过设备的检测功能,在NSS Labs的测试中,Palo Alto Networks的防火墙连一些常规的隐蔽技术都无法识别。于是在当季的评测中,NSS Labs给予Palo Alto Networks的评级是CAUTION,低于新一代防火墙产品市场的平均水平。

有趣的是,在这一年的NSS Labs的BSD图上,FireEye的成绩也非常糟糕。FireEye是最先对NSS Labs提出质疑的,并表示自己一早就拒绝了参加测试,而NSS Labs的工程师执意自行购买测试,给了个低于平均水平的结果。FireEye当即发布一份声明质疑这份报告的合理性,并详谈了实验室环境和真实环境的差异,而且测试中FireEye产品根本没有连接其威胁情报源。

不过这算不上什么,Palo Alto Networks显然更激动。一向什么都敢说的Zuk表示,公司一直都拒绝参加NSS Labs的测试;而NSS Labs一直以来都把测试搞得很“low”,各种“二流制造商”也能参加。NSS Labs会给厂商颁发名为“reprint rights”的证书,在测试结果公布之前,和这些厂商进行费用谈判,费用超过10万美元。这比费用也就能让厂商公布这份报告,并将之向其潜在客户做宣传了。Zuk明确说:NSS Labs从客户那儿赚不到钱,所以就干这种事。[11]

图片 15

NSS Labs 2016年BSD安全价值图

更有趣的是,Palo Alto Networks前不久才拜托NSS Labs做了产品测试,并将测试结果骄傲地公布到了自家网站上(其防火墙实际的吞吐表现似乎一直被NSS Labs诟病)[9]。而在去年NSS Labs公布的BSD(威胁检测系统)安全价值图上,Palo Alto Networks的成绩依然算不上很好,即便其纵坐标的安全有效性或许有商榷的余地,但横坐标相关的性价比(TCO per Protected Mbps,即受到保护的每1Mbps,所需花费的成本)是个确实的问题。

Gartner也在魔力象限的点评中不止一次地提到,Palo Alto Networks的产品售价昂贵,“按照保护每GB数据耗费的价格来计算,Palo Alto都是企业防火墙供应商中价格最高的厂商之一”。这大概是在物理防火墙市场上,Palo Alto Networks产品最大的短板之一。这其中耗费的成本当然不止是购买防火墙本身的成本,还包括了AutoFocus、GlobalProtect、URL过滤PAN-DB、威胁防护这些订阅服务的额外支出。

难以抑制的产品和运营成本

或许从Zuk的这一路经历来看,Palo Alto Network防火墙和订阅服务的产品价格偏高并不难理解。从Zuk自Check Point和Juniper的两次辞职来看,这就是个典型的极客。Zuk本人在接受ITWorld的专访中也几次三番提到,他很不喜欢大公司的行事风格,一个决定就要在“20个不同的部门的20个人间辗转”,做个产品计划,财务、市场、PR和运营都会在场,“每个人都企图跟产品团队说这可以做,那不可以做”,“这根本就不是他们的工作”。

“Palo Alto Networks虽然不是家小公司,收益也很不错”,“但只要一有那样的苗头出现,我就会很快将之扑灭”。

实际上,在公司将防火墙产品推上市之际,Zuk很快将手持的公司股份稀释到了5%,让早期的公司成员持有更多股份。Zuk说:“Greylock和Sequoia风投公司的合作伙伴说,我的股份会变少,我说没关系。”

另外,“企业家(entrepreneur)和CEO是两件事,而且很多时候是相悖的角色。企业创始人最终变身为成功的CEO,这是很少见的事。”“如果你是个成功的企业家,你极有可能不会是个好的CEO。那就雇个CEO。你是个技术专家,那么就找个在市场方面在行的人。”这也就不难理解,为何Zuk是Palo Alto Networks的联合创始人,但一直都在公司扮演CTO的角色了(而这家公司的CEO的确几度易主)。

图片 16

PAN 2017财年Q2财报

在这样一个看来有些“理想化”的领导人的领导下,Palo Alto Networks赚钱能力如何呢?从公司2017财年Q2财报(截至2017年1月31日的前3个月)来看,这一财季公司收益为4.226亿美元。这个数字是伴随常年以来的大跨步攀升达到的,同比增长26%——这在防火墙市场上依然是高增长率。这样的收益成绩和Check Point已经很接近(Check Point截至2016年12月31日的2016财年Q4收益为4.87亿美元),而Check Point的收益同比增速目前大约为6%。

从其2016财年Q3开始,公司就基本结束了将近2年收益持续超50%的高增速。所以从去年开始,财经类媒体已经在唱衰Palo Alto Networks了,而且公司股价目前正在遭遇一波滑铁卢。但我们认为,这和市场整体环境相关,即便这家公司近几个财季的赚钱速度正在逐步放缓或未及预期,却依然是防火墙产品中成长最快的企业,毕竟它的存在历史远没有主要竞争对手那么久。

图片 17

图片 18

PAN近5年收益趋势,数据来源:MarketWatch[13]

不过问题来了,翻看这家公司近5年的财报成绩单,收益的确是步步高升。但按照GAAP来看,上市以来这家公司就在连年亏损(Net Income),2016财年全年亏损金额是2.26亿美元。最新这一季的财报也能看到,亏损量大约是6000万。这对现如今的科技公司而言可能不算什么,但和Check Point相比,这份成绩单就算不上太好看了。

最近这一财季,公司在产品方面的支出已经达到1.13亿美元,大约是Check Point上一季度的2倍;运营支出则高达3.64亿美元,这都是史上最高点。从当前趋势来看,Palo Alto Networks无力抑制快速增长的成本投入。光是销售与市场方面支出的2.26亿美元,就已经占到收益的54%了——而Check Point在这方面的占比为24%

这倒是和Zuk先前对于除技术外其他部分的无视完全匹配。从外人的视角来看,这可能就是Zuk一直存在的“革命”情怀需要承担的后果。

图片 19

Non-GAAP标准PAN 2017财年Q2财报

不过就Palo Alto Networks的财报,有一点需要说明。就是按照公司自己的Non-GAAP标准,公司可是赚钱的,而非亏损。所以就有了上面这份按照Non-GAAP标准计的2017Q2财报数据,注意观察最后一栏Net Income,与上面那份GAAP财报Net Loss的差异。

经常阅读财经媒体的读者应该了解,企业在财报中公布GAAP和Non-GAAP两份数据是很正常的事情。GAAP是美国公认会计准则,上市公司需要按照这个标准来发布财报。不过各行各业,甚至具体到每家公司都有其特殊性,所以许多公司都会附上自己的Non-GAAP财报数据,也就是“定制版”财报。

2017Q2公司的Non-GAAP净利润为5960万美元,和GAAP标准计的亏损6060万美元存在约1.2亿美元的差距——这个差距还是比较大的。有兴趣的各位可以自行研读Palo Alto Networks的财报,了解其具体统计标准。一般来说,这种定制版财报中,企业为了让数据更好看或吸引投资者,会采用更有利于自己的统计准则。

革传统端点安全技术的命?

Palo Alto Networks在对安全动向的把控上向来走得非常超前,比如其防火墙产品在安全厂商中也算是第一批上云了,所以针对Azure、AWS、私有云等的支持也早就走得很靠前。这与其产品线相对单一也有关系,防火墙及其相关服务基本就概括了公司的主营项目。

不过在这家公司规划的安全版图中,实则还有一个环节,就是端点防护产品Traps,如下图所示。FreeBuf在针对Carbon Black的企业分析中已经把端点安全产品主流发展方式说得比较清楚。或许知道Palo Alto Networks有在做端点安全的人并不多。

图片 20

Gartner在针对Palo Alto Networks防火墙的评价中提到:“Palo Alto并没有能够将其在防火墙方面的成功,复制到端点安全市场。Gartner也很少听到有客户在用Traps。Gartner认为,Palo Alto若将注意力放在端点之上,有可能会对Palo Alto的核心业务——网络安全,造成影响。”

这里提到的Traps,便是Palo Alto Networks近两年来主推的端点安全产品了。2014年3月,公司宣布以2亿美元收购一家安全初创公司Cyvera——这家公司的旗舰产品就叫TRAPS。TRAPS平台当时已经在金融、能源、化学等关键基础设施领域有了应用。Cyvera宣称自家的产品对于0day攻击有极高的拦截成功率。

原本,以Traps在行业内的影响力,我们没有必要花太多笔墨来谈。不过Palo Alto Networks力推的“企业安全平台”这个营销概念中,正在逐步加大Traps的比重;而且我们仔细研读了Traps白皮书,发现其端点安全解决方案相当激进,极有公司的“革命”性特色,就像当年新一代防火墙,革状态检测防火墙的命那样。

图片 21

2017年Gartner端点防护平台魔力象限

在今年Gartner刚刚发布的2017端点安全平台魔力象限中[14],Gartner将Traps放在了Visionaries象限。这个象限的意思是,产品执行能力不怎么样,但未来可能会有较大的发展空间。Palo Alto Networks还在自家网站欢天喜地地对这份成就宣传了一番(在Visionaries象限,会宣传的厂商也实在是不多…题外话:关注Carbon Black企业分析的读者注意,今年的魔力象限CB也上榜了!)。

Gartner认为,Traps对于未知文件和应用exploit防护的确有不错的表现,对未修复的漏洞和无文件(file-less)恶意程序攻击也能够提供实时不错的防护。不过Traps虽收集终端相关数据,但不提供事后补救工具和响应机制;而且面对误报的调整,需要高级技术支持协助;另外EPP解决方案并不完整。所以Traps仍然需要配合其他产品。

这个评价完全符合Palo Alto Networks推行的企业安全理念(PAN始终认为防护才是最重要的,检测和响应永远只能是其次;这个理念和近两年企业安全的主流价值观存在一些冲突[15]),以及Traps针对端点防护产品极为激进的革新。

图片 22

Palo Alto Networks对于端点防护的理解是这样的:端点防护产品需要阻止两类威胁,其一是恶意程序,其二是exploit。传统的反病毒解决方案,在漏洞exploit的检测方面面临较大的问题,也不能阻止没有签名的恶意程序和exploit;需要对系统进行扫描,这会导致系统变慢、用户被干扰;无法适应类似虚拟桌面架构这样的环境(缺乏弹性)。

所以Palo Alto Networks认为这一类产品早就该抛弃了,提出针对端点防护的需求包括:

坚持防护优先(这一点一直是PAN奉行的原则,PAN坚持认为检测和响应都只能排其次);

对已知、未知恶意程序的防护;

对已知、0day exploit的防护;

集成威胁情报;

对用户的打扰最小化,对内存、带宽、CPU资源占用最小化;

支持Unpatchable的系统(针对提供商不再支持的系统和软件做到保护);

可以实现定制化来满足企业需求。

需求谁都会提,这么美好的需求在安全企业看来简直就是种虚幻的存在。Traps对其实现方式听起来还是有一套的,首先它彻底抛弃了基于签名的恶意程序扫描,而采用一种叫Multi-Method防护的方式。

图片 23

比如在针对exploit的问题上(所谓的exploit是指通过合法的文件类型,利用软件漏洞发起攻击),Traps认为没有必要专注于研究海量的攻击方式,或者海量的漏洞,而应该专注于exploit攻击的核心利用技术——Palo Alto Networks提出所有的exploit都依赖于某一些核心利用技术,无论哪一种exploit都无法逃脱这些利用技术,比如说内存破坏或操纵、Logic Flaw(利用操作系统的常规流程,来支持和执行目标应用)、恶意代码执行(exploit的最终目标都是执行恶意代码)。Traps通过对这些核心的防护,来抵御0day        exploit。这也是Traps宣称可以保护unpatchable系统的原因所在。

至于在针对恶意程序的防护方面,Traps主要组合了几种技术,包括受信任Publisher执行限制、基于可执行文件的哈希来控制哪些文件可执行/哪些不能(有些类似Bit9的白名单)、基于策略的执行限制(比如说阻止Outlook的“Temp”路径下的文件执行)、通过机器学习对数据做分析;还有就是WildFire威胁云的检查和分析了,就像防火墙那样,将未知恶意程序上传到云端,通过上文提到的沙盒、Bear Metal等分析方式做分析。

由于篇幅的关系,这里无法再细数Traps实现这些,尤其是实现0day exploit防护的方法。不过Palo Alto Networks提出在端点防护方面,针对传统反病毒产品基于签名方案的“彻底替换”,融合了这么多方案仍然是个相对勇敢的思路,虽然或许针对恶意程序的防护所用的技术并不算很新鲜。

但从Gartner对Traps的评价,以及Traps本身制定的远大目标来看,Traps当前还只在发展的初级阶段。或许它会为企业端点防护提供一些新的思路。Traps有没有可能像早年Palo Alto Networks针对防火墙的革命那样,完成对端点防护产品的革命呢?这才是这家公司“革命”血脉能否延续的一次阐释,或者成为公司的另一个增长点。

图片 24

Palo Alto Networks公司目前的企业员工已经达到4000人左右,总部位于加州圣克拉拉,收益水平稳定、财务状况健康,公司规模已非昔日可比。就在前不久,Palo Alto Networks才刚刚宣布即将收购LightCyber,这是一家专注机器学习和行为分析的安全公司,这样的收购行为对PAN的产品来说不足为奇。

只是在几次并购动作过后,不知Nir Zuk是否还一如往昔有着用小公司运营思维来工作的狂想;从前总在喊着要开发“新产品”、革旧产品命的Zuk又是否在现如今的这家“大公司”里追逐他的某个新项目,足以颠覆某种产品模式,续写这段革命史。

本文由云顶娱乐发布于科技技术,转载请注明出处:下一代防火墙到底是什么?云和复杂性又如何影

关键词: 云顶娱乐

上一篇:华为神秘新机现身工信部!刘海屏设计,难道是

下一篇:没有了