目前有越來越多管道在發布各種網路威脅情報,若要及早掌握,需要花費許多人力與時間,才能廣泛收集與彙整這類資訊,因此,市面上也開始出現相關的付費服務,一些新創公司和既有資安廠商都陸續提供。

而以次世代防火牆走紅的網路安全設備大廠Palo Alto,也是其中一例,該公司在2015年舉行的RSA全球資安大會前夕,宣布推出網路威脅情報服務AutoFocus,強調能以此輔助企業判斷處理的優先順序,進而採取適當的行動,以便在持續對抗各種資安威脅的過程中,能充分掌握防禦先機。

事實上,該公司近年來也以網路威脅情報而著稱,並且做為旗下各種網路資安產品的主要賣點之一,而他們在2014年成立的網路威脅情報研究團隊Unit 42,也以頻頻揭露各種重大安全漏洞與網路攻擊事件,而在資安圈闖出名號。

而在AutoFocus的服務上,主要是提供全球威脅情報與攻擊事件的脈絡,來延伸Palo Alto的次世代安全平臺(Next-Generation Security Platform),協助企業加速分析、鑑識與追蹤各種資安威脅的流程,不再依循傳統作法,僅仰賴彙整偵測到威脅警報、事後清理,而是能及早針對攻擊的主體採取預防措施,達到主動獵捕的效果。

整體而言,AutoFocus的首要特色,是能夠突顯出企業需要優先關注的攻擊行為和事件,而考量的部分,主要是基於統計分析、Unit 42威脅情報研究團隊的人為判斷,以及源自用戶自身網路環境的標籤加注指標。目前,Palo Alto也結合了數十億筆檔案資料來進行分析,這些資料的來源,主要是經常被進階攻擊鎖定的目標,像是跨國大型企業、服務供應商、政府單位,總共有超過500家。

藉由這樣的標籤,企業可以快速了解惡意軟體的家譜、活動、發動威脅的對象、惡意行為、遭到濫用的漏洞,一旦在用戶網路環境當中,觀察到已出現符合的標籤,系統就會透過電子郵件、AutoFocus儀表板,或是HTTP POST等方式,發出緊急通報,當中也會提供詳細的標籤相關資料,協助用戶在更短時間內掌握目標式進階攻擊的全貌。

在AutoFocus提供的使用者入口網站上,企業可透過儀表板的頁面,來瀏覽網路、產業與全球資安威脅的概況,這當中可以展示與企業相關的資安攻擊活動,以及整個產業與全球環境的威脅情資,還可以設定日期區間,擴展或縮減威脅活動的資料呈現,並且檢視細部資料、新增至搜尋條件內。

另一個AutoFocus的特點,則是能夠呈現攻擊事件整體脈絡,Palo Alto會提供網頁式的儀表板頁面,企業能運用裡面的工具,來察看遭遇攻擊的過程與情況,了解敵對者的身分,確認他們所發起的活動是否屬於原生、獨特的攻擊,或是針對企業本身、鎖定所屬的產業類型而來。

整體而言,Palo Alto這套情報服務,可以揭露最新資安威脅攻擊所採取的戰略、技術與發動步驟,以及針對特定目標的攻擊屬性,協助企業了解這些威脅的針對程度高低(因為可能只是更大規模攻擊行動的一部分),同時,能夠區別這些惡意軟體是屬於大量散播、亂槍打鳥型,或是鎖定特定對象的高度客製型的威脅。

產品資訊

Palo Alto AutoFocus
●原廠:Palo Alto(02)7736-7358
●建議售價:廠商未提供
●可整合的Palo Alto產品:次世代防火牆系統軟體PAN-OS 7.1、管理平臺Panorama 7.1
●情報來源:WildFire沙箱服務、PAN-DB網址過濾服務、Unit 42團隊、第三方資料饋取
●匯出方式:API(SIEM)、remote sweeping、STIX

【註:規格與價格由廠商提供,因時有異動,正確資訊請洽廠商】


Advertisement

更多 iThome相關內容