科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网网络频道路由交换使用网络访问控制和入侵防御系统实现零日防护

使用网络访问控制和入侵防御系统实现零日防护

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

本文主要介绍如何使用网络访问控制和入侵防御系统实现零日防护。

来源:TechTarget中国 2010年12月7日

关键字: 网络访问控制 入侵防御系统

  • 评论
  • 分享微博
  • 分享邮件

  现在越来越多的IT专业人士会谈论如何实现业务“价值”,以及如何将IT组织从一个成本中心转变成为一个利润中心。其实,有时候只需提高一下注意力就能够实现良好的执行效果。

  一家搬迁和移动服务提供商Sirva Inc.的IT安全高级经理Waqas Akkawi最近与他的团队共同防止了一起木马劫持主管人员个人银行信息的事件,并因此受到了公司总裁的私人嘉奖。

  这个事件是这样的,这位总裁的办公笔记本电脑在连接公司外部网络时感染了Zeus Trojan。当他在办公室登录公司网络时,这个Trojan的异常行为触发了Sirva公司网络访问控制系统的管理控制台的警告,这个网络访问控制系统是来自ForeScout的CounterAct。

  “当时他正在浏览股票,并准备访问银行帐号以进行交易,我们发现他的电脑中了Zeus木马,”Akkawi说。“当我们到他办公室时,他正准备登录银行帐号。我们告诉他‘您的电脑中病毒了,我们希望对它进行检查。以便于清除这个病毒。’我们保护了他,否则他的个人机密信息很可能会泄露。”

  使用网络访问控制实现零日防护

  多年以来,Akkawi都在使用来自ForeScout的CounterAct NAC实现零日防护,以保护员工接入网络的设备不受危害。由于Sirva公司的销售员工在全球出差的频繁非常高,所以员工经常会将感染病毒的笔记本电脑接入网络,他说。通过部署网络访问控制系统,Akkawi就能够检测病毒,不管它们是零日威胁还是重新出现的老蠕虫和木马。在过去的几个月里,他已经处理了大约6次的Conficker和Zeus病毒。

  “我们有三位员工遇到了Conficker病毒。ForeScout能够快速地将它们隔离,并向我们发出警告。我们到现场发现他们的防御软件已经不起作用了,反病毒软件也关了,所有的防御措施都无效了。我们检查病毒签名发现它是Conficker。我们所采取的这些措施不会对网络产生任何影响。而在过去,这些操作会对大范围网络产生影响,因为大量的抖动可能导致拒绝服务攻击,整个组织都会受到影响,所以不得不重置所有PC。”

  Akkawi选择CounterAct网络访问控制来保证网络的安全,因为它非常容易与Cisco Systems网络整合,它的实现和运行不需要很复杂的操作。他也喜欢这个系统的灵活性。Akkawi对NAC产品的另一个要求是它不会成为另一个问题。他曾经听说过许多关于NAC系统将用户锁定在网络之外而影响生产效率的事故。

  “在处理一个零日攻击中,ForeScout给了我们很大的帮助,因为我们能够在端口层面上阻挡、隔离和控制PC,而不需要阻挡整个PC,”Akkawi补充说。“我们能够让这个人继续工作,但如果他的IP地址的某个端口发生抖动或者其他问题,我们就会阻挡它,并派工程师前往处理。”

  使用基于NAC的入侵防御系统实现边界的零日防护

  Akkawi最近通过ForeScout的另一个产品实现了网络边界的零日防护功能。CounterAct Edge采用一个基于ForeScout的CounterAct NAC产品的算法,它位于Sirva的防火墙边界之外。CounterAct Edge是一个依赖于算法而非签名的入侵防御系统(IPS)。它会跟踪黑客和恶意软件的探测行为。当攻击者探测网络边界以寻找漏洞时,CounterAct Edge会使用错误的漏洞和配置信息来响应它的探测。当攻击再次出现,试图使用探测到的那个错误信息来渗透网络时,CounterAct Edge就会阻挡这个攻击。

  通过这个设备,Akkawi能够淘汰从多个供应商购买的传统入侵检测系统(IDS)。它也能够减少Cisco防火墙的负载。

  “它保护了防火墙,使之不会总是在探测和扫描网络中受到垃圾流量影响,而只允许合法流量到达防火墙,”他说。“防火墙不再需要使用50%的CPU资源来检测所有此类数据包和连接,防火墙现在的CPU使用率下降到了5%。它只检查对公司有意义的流量,CounterAct Edge会拒绝所有垃圾流量的访问,如我们每天都会遇到的来自俄罗斯和乌克兰的端口扫描。”

  在发生重大攻击时从防火墙卸载工作负载能够提高网络性能,Akkawi说。在过去,如果网络边界受到重大攻击,防火墙在检测所有数据包时会停止所有其他流量,合法流量就可能被恶意流量队列阻挡。

  “现在这些流量被CounterAct Edge控制住了,防火墙只需要处理合法流量。”

  采用网络访问控制的零日防护全局管理

  Sirva将其ForeScout NAC系统部署在它位于Fort Wayne, Ind.的主数据中心的安全运营中心(SOC)之外。原先Akkawi是在所有美国办公区部署NAC产品的,但是ForeScout的成功应用使他决定将这个技术应用到Sirva全球40个分部。

  今年,Akkawi在它的澳大利亚和亚太分部部署了CounterACT NAC。这个技术仍然由U.S. SOC管理。如果ForeScout探测到一个问题,SOC和澳大利亚的工程师都会收到一个警告。SOC的网络安全管理人员会呼叫澳大利亚工程师,以确定他们会处理这个警告。

  “我们今天保护了6,500个终端,而且这个数字会继续增加。这还不包括欧洲和加拿大,我已经获得了2011年3月在这两个地方实施ForeScout的预算,”Akkawi说。“这个集中管理具有非常好的可扩展性。它不需要在欧洲建立复杂的管理团队。我很乐意在一个仪表板或控制台上进行全局监控。”

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章