Palo Alto Networks 助力金融服務機構實現(xiàn)云端安全

“十四五”規(guī)劃建議提出要“發(fā)展數(shù)字經(jīng)濟，推進數(shù)字產(chǎn)業(yè)化和產(chǎn)業(yè)數(shù)字化，推動數(shù)字經(jīng)濟和實體經(jīng)濟深度融合，打造具有國際競爭力的數(shù)字產(chǎn)業(yè)集群”。很顯然，數(shù)字經(jīng)濟已成為拉動經(jīng)濟增長的重要引擎，金融行業(yè)數(shù)字化轉型亦“箭在弦上”。

隨著信息技術的快速發(fā)展，金融服務機構的安全防御技術也在發(fā)生著根本性轉變。基于邊界、流量或規(guī)則的傳統(tǒng)檢測方式已經(jīng)無法應對新型或未知威脅，如何從技術上解決當前金融行業(yè)面臨的安全問題，如何提高金融行業(yè)整個網(wǎng)絡系統(tǒng)及應用的安全檢測性能……金融行業(yè)的網(wǎng)絡安全布局亟待加速。

感知時代使命，探索智力支持，Palo Alto Networks（派拓網(wǎng)絡）近日誠邀行業(yè)精英大咖一起共赴“數(shù)字化金融行業(yè)創(chuàng)新技術沙龍”，縱論金融行業(yè)網(wǎng)絡安全發(fā)展之道，探討企業(yè)數(shù)字轉型之策。

本文整理沙龍現(xiàn)場的精彩觀點，與您共饗。

 

零信任安全架構及在HVV中的實踐

疫情常態(tài)化的當下，我們?nèi)孕鑷婪浪朗?，不能松懈。其實防范疫情與防御威脅兩者之間有相似之處，如“應檢盡檢、不漏一個”的防疫措施也能很好地體現(xiàn)零信任理念；為了防止疫情擴散所實施的“封城政策”則與網(wǎng)絡安全加固異曲同工，都是將邊界作為阻斷危機的首道防線。

“零信任”最早雛形源于2004年成立的耶利哥論壇（Jericho Forum ），2010年“零信任”概念由時任市場研究機構Forrester的研究員John Kindervag正式提出，John后來加入Palo Alto Networks任面向客戶的CTO （Field CTO）。零信任要解決的是缺省或者隱式信任帶來的信息系統(tǒng)弱點問題。 傳統(tǒng)網(wǎng)絡安全架構中，默認內(nèi)網(wǎng)是安全的，網(wǎng)絡安全重點在邊界防御，因此在邊界部署大量安全產(chǎn)品如防火墻、DDoS, WAF, IDS/ IPS、網(wǎng)閘等設備對網(wǎng)絡邊界進行防護，而對企業(yè)內(nèi)網(wǎng)安全則重視度不夠，一旦網(wǎng)絡邊界防護被突破，攻擊者可以在內(nèi)網(wǎng)暢行無阻，因為內(nèi)網(wǎng)主機和用戶默認全部“可信”。隨著業(yè)務需求和技術的演進，內(nèi)部員工、業(yè)務合作伙伴甚至供應商都有訪問企業(yè)數(shù)據(jù)的需求，在這種情況下，傳統(tǒng)的安全邊界變得模糊，外網(wǎng)和內(nèi)網(wǎng)已經(jīng)不再涇渭分明，行業(yè)迫切需要一種顛覆性的思維和方法來重新定義網(wǎng)絡安全，“零信任安全”應運而生。

“零信任安全”引導安全體系架構從網(wǎng)絡中心化走向身份中心化，從默認信任走向確信的信任，從靜態(tài)檢查走向持續(xù)監(jiān)控，其本質是“從不信任、永遠驗證！”（Never Trust，Always Verify?。?。

正是基于零信任理念，我們對HVV行動進行了總結，以下經(jīng)驗與大家分享：

1.梳理和熟悉經(jīng)常被命中的威脅攻擊簽名，如掃描工具，IoT漏洞掃描等
2.關注各種安全公眾號，快速自定義新披露漏洞的簽名；內(nèi)網(wǎng)NGFW開啟端口掃描檢測
3.傳統(tǒng)防護思路注重南北向頭重腳輕，用戶缺少一個有效的安全架構指引
4.NGFW在HVV的優(yōu)勢：7層應用識別、高檢測率低誤報率、開放靈活的API

為敏捷開發(fā)而生的容器安全

云原生作為一個概念集合，既包含微服務、容器，也包含更多的管理方法，如持續(xù)交付、DevOps和重組等。隨著微服務的廣泛采用，微服務容器化趨勢愈加明顯，在為DevOps團隊帶來敏捷性的同時，也給后端管理帶了負面影響，對信息系統(tǒng)的安全性和業(yè)務的連續(xù)性提出了挑戰(zhàn)。

在這樣的背景下，Palo Alto Networks 推出Prisma Cloud Compute 容器安全解決方案。該方案可有效應對微服務容器化趨勢帶來的諸多不便，及時發(fā)現(xiàn)新版本應用中的安全漏洞和隱患，實現(xiàn)更透明、更快速、更自動化的應用迭代和交付。此外，該容器解決方案能夠實時監(jiān)測和掃描各種風險，滿足企業(yè)對合規(guī)和風控的要求，其可執(zhí)行如下功能：

 

攻擊面管理及安全運維自動化

軟件定義網(wǎng)絡的普及，帶來的是攻擊面的不斷擴大，而攻擊種類與規(guī)模的不斷增加，加之以受管理服務器在數(shù)量上的日益增多，使得人工運維捉襟見肘，自動化運維開始走上歷史舞臺。

內(nèi)容一：外部威脅攻擊面管理
隨著全球云計算市場的不斷擴大，攻擊面也在不斷擴大。根據(jù)ESET 2020年第四季度威脅報告，主要云提供商的遠程桌面協(xié)議(RDP)暴露增加了27%，而2020年第一季度到第四季度 RDP攻擊則暴增了768%。
Palo Alto Networks Cortex Xpanse可對攻擊面進行有效管理，包括：
 

具有如下特性：
■ 無需部署任何軟件與硬件
■ 從外部評估企業(yè)暴露在Internet上的資產(chǎn)的風險
■ 實時評估暴露在Internet的資產(chǎn)的風險
■ 為CISO及安全團隊提供已知和未知資產(chǎn)的可見性
■ 縮短MTTI時間

內(nèi)容二：安全自動化編排與響應

Palo Alto Networks 安全編排、自動化與響應平臺Cortex™ XSOAR可執(zhí)行如下功能：

金融發(fā)展，安全為先
Palo Alto Networks（派拓網(wǎng)絡）作為全球網(wǎng)絡安全領導者，在金融安全領域已樹立多個標桿性案例，具備豐富的產(chǎn)品解決方案與項目實踐經(jīng)驗，將不斷夯實自身優(yōu)勢基礎，持續(xù)發(fā)力云端安全研究，以實際行動賦能金融數(shù)字化轉型建設，為全球客戶的數(shù)字化經(jīng)濟高質量發(fā)展貢獻更多力量。