自動回應事件

網路管理員最常要求的防火牆功能之一,就是能夠自動回應網路上的安全事件。

Sophos XG Firewall是唯一一款能夠完整識別網路上的感染來源,並自動限制存取其 他網路資源做為回應的網路安全解決方案。這是透過我們獨一無二的 Sophos Security HeartbeatTM 所實現,它會共享 Sophos 端點與防火牆之間的遙測功能和健康狀態。

XG Firewall 會以獨家專門的技術,將連線主機的健康狀態整合到防火牆規則中,讓您自動 限制對任何受感染系統之敏感網路資源的存取,直到清理完成為止。

Security Heartbeat

Sophos Security Heartbeat 會使用您端點與防火牆之間的安全連結,即時分享情報。這個 同步安全產品的簡單步驟 (以往是獨立運作的),可建立更有效的保護,抵禦進階惡意軟體和 目標式攻擊。

Security Heartbeat 不僅可以立即識別進階威脅是否存 在,還可以用來傳達有關威脅性質、主機系統以及使用者的 重要資訊。或許最重要的是,Security Heartbeat 也可以 用來自動採取動作,以隔離或限制對受感染系統的存取,直 到清理完成為止。這項令人振奮的技術正在徹底改變 IT 安 全解決方案識別和回應進階威脅的方式。

適用於防火牆後面受管理端點的 Security Heartbeat 可以處於下列其中一種狀態:

  • 綠色活動訊號狀態表示端點系統狀況良好,而且可以存取所有適當的網路資源。
  • 黃色活動訊號狀態表示系統中可能含有可能不需要的應用程式 (PUA)、可能不符合規範,或 可能有其他特定問題的警告。您可以選擇在問題解決之前,黃色活動訊號可以存取的網路資源。
  • 紅色活動訊號狀態表示系統可能有受到進階威脅感染的風險,而且可能會嘗試回傳到僵屍網 路或命令與控制伺服器。在防火牆中使用 Security Heartbeat 政策設定時,可以在清理完 成之前,輕鬆地隔離具有紅色活動訊號狀態的系統,以降低資料遺失或進一步感染的風險。

解決方案簡介: XG Firewall

如果您屬於大多數的網路管理員,可能會懷 疑防火牆規則是否太多、哪些是真正必要的 防火牆規則,以及哪些是實際上不會用到的 防火牆規則。有了 Sophos XG Firewall,您 就無須猜疑了。

「使用中的防火牆規則」桌面工具可針對防火牆處理的流量,依下列規則類型,顯示其即時圖表:商業應用程式、使用者和網路規則。它也可以依狀態顯示使用中的規則計數,包括您有機會對未使用規則進行管理。
如同控制中心的其他區域般,按一下其中任何一個區域將會深入探索,在此案例中,可以看到依規則類型或狀態排序的防火牆規則表。

同步應用程式控制

現今每個新一代防火牆的應用程式控制問題都是,無法識別大部分的應用程式流量:未分 類、未知、通用 HTTP 或通用 HTTPS。

原因很簡單,因為所有防火牆應用程式控制引擎都依賴特徵碼和模式來識別應用程式。此 外,如同您所預料,任何自訂的垂直市場應用程式 (Vertical market application) 例如醫 療或財務應用程式,絕對都不會有特徵碼,而部分隱匿性應用程式 (如 BitTorrent 用戶端 或 VoIP 和即時通訊應用程式) 會一直改變其行為與特徵檔,以逃避偵測和控制。許多應用 程式現在使用加密用來躲避偵測,而某些應用程式只是使用類似於通用網頁瀏覽器的連接, 通過防火牆向外進行通訊,因為連接埠 80 和 443 在大多數的防火牆上通常暢通無阻。

最終的結果是完全看不到網路上的應用程式,而看不到就無法控制。

這個問題的解決方法非常簡潔且有效:同步 應用程式控制,其使用我們獨特的同步安全 連線搭配 Sophos 受管理端點。

當防火牆看到無法利用特徵碼識別的應用程式流量時,可以詢問端點哪個應用程式產生該流量。接著,端點可以分享可執行檔、路徑,通常還有其類別,並將該資訊傳回防火牆。之後在大部分的情況下,防火牆就可以利用該資訊自動分類並控制該應用程式。

風險最高的使用者

研究證明,使用者是安全鏈中最薄弱的環節,人類行為模式則可以用來預測和預防攻擊。此外,使用模式有助於說明公司資源的利用效率,以及使用者政策是否需要進行微調。

使用者威脅商數 (UTQ) 可協助安全管理員根據可疑的網路行為、威脅和感染歷史記錄,找出 暴露在風險下的使用者。使用者的 UTQ 風險分數高,可能表示由於缺乏安全意識、惡意軟體 感染,或蓄意的惡意行為而導致的意外行為。

知道造成風險的使用者和活動有助於網路安全管理員採取所需的動作。例如教育風險最高的使用者,或實施更嚴格或更適當的政策,使其行為受到控制。