防火牆

[NSE2]fortigate NSE2介紹

第 1 課 — 雲安全

你好!在這節課中,我們將探索神秘的“雲”,它到底是什麼,它是如何形成的,以及
我們在那裡遇到的一些安全問題。
首先,讓我們揭開雲的神秘面紗。好笑的是,“雲”的知名度極高
承認,但很少有人了解它的真正含義。
在雲之前,組織購買自己的計算機系統來運行應用程序
運行業務所需的軟件。這些計算機系統位於組織的
設施,並由專家團隊管理。雖然並非總是如此,但通常有超過
每個主要應用程序一個計算機系統(或服務器)。
由於計算機硬件的資本成本和人工成本,這種設置很昂貴
保持一切運行的常駐專家;但它是值得的。這些系統整體提升
生產力並幫助保持競爭優勢。
不久前,有人注意到他們所有的計算機系統中,只有少數完全是
在任何給定的時間都很忙。大多數都是閒置的,等待下一筆交易進來。
底線:有很多資源浪費。
因此,開發了一種使用服務器硬件的新方法,稱為虛擬化,它實際上是
來自大型機計算中的舊技術,它允許單個服務器運行操作系統
同時來自多個服務器的應用程序。虛擬化整合工作負載
到更少的服務器上,提高它們的利用率並節省資金。
不久之後,大多數數據中心都從一排排專用的計算機硬件轉變為
到特定的應用程序,到運行的通用硬件資源的集合或池中
虛擬化應用程序。這只是明智的做法。
隨之而來的是一些巧妙的企業家,他們建造了巨大的數據中心,充滿了
通用計算機硬件,並提供出租此基礎設施的一部分,以便他們的
客戶可以在那裡運行他們的虛擬化應用程序,而不是在他們自己的硬件上。接著就,隨即,
雲誕生了。
這種類型的雲計算被稱為作為 Sen/ice 或 laaS 的基礎設施。laaS 提供
擁有網絡、存儲、物理服務器和虛擬化的組織,而用戶仍然必須
為計算機提供操作系統、中間件、數據和應用程序。中間件是
充當操作系統和應用程序之間橋樑的軟件。一個組織使用這種類型的
在對其服務或產品的需求變化時提供服務,例如在季節性假期期間
系統上的工作量增加。這種類型的 sen/ice 提供者的例子是 Amazon Web
服務、Microsoft Azure 和 Google Compute Engine。
還有其他類型的雲。例如,服務提供商租用基於雲的平台
供軟件開發人員開發和交付應用程序。這個 sen/ice,命名為 Platform 作為
服務或 PaaS,除了提供 laaS 提供的元素外,還提供操作系統和中間件。
這種 sen/ice 使組織能夠更輕鬆、更高效、更便宜地構建、測試和部署
應用程序。
第三個例子是作為 Sen/ice 或 SaaS 的軟件。在此云服務中,軟件由
第三者。通常,最終用戶使用他們的瀏覽器連接到應用程序。常見的
通過 SaaS 可用的應用程序示例包括 Google Mail、Salesforce、DocuSign 和
網飛。
無論哪種方式,都可以降低在昂貴的公司擁有的硬件上運行應用程序的成本
將資本資產轉換為價格為經常性運營成本的模型對大多數人來說非常有吸引力
組織。
現在讓我們看看這對安全意味著什麼。
當應用程序託管在公司自己的數據中心時,安全狀況是
直截了當:您將適當的安全技術放在正確的位置以解決
特定的安全問題。
然而,為雲提供安全性還不是很清楚。可以說有點陰天。底部
線:安全是雲提供商和客戶之間的共同責任,使用
雲服務。
分層設計,安全性包括物理組件和邏輯組件。
laaS 供應商提供的雲基礎設施以各種方式受到保護。從一個
從可用性的角度來看,基礎架構是由供應商設計的,具有高可用性,並且
基礎設施的正常運行時間是供應商的責任。從安全角度
看來,供應商只負責保護其提供的基礎設施。
作為客戶,當您在供應商的雲中安裝一個或多個虛擬化應用程序時
基礎設施,您負責保護訪問、網絡流量和數據
應用程序。
現在,大多數供應商都提供某種形式的安全工具,以便客戶的各個部分
雲應用環境可以得到保障。但是,這些工具可能會帶來一些問題。
首先,這些工具往往只提供少數基本的安全功能,而且它們是相同的工具
供應商用於保護底層基礎設施。如果攻擊者繞過這些工具
在基礎設施層,他們可能能夠在客戶的應用程序中繞過它們
水平也是如此。
其次,也許更重要的是,許多組織在混合世界中運作。
他們的一些應用程序仍然託管在他們自己的數據中心中,一些在 Vendor-A laaS 中
雲平台,一些在 Vendor-B 雲平台中,還有一些在多個 SaaS 供應商中。
這就是我們所說的“多雲”環境,它帶有一個“多雲”問題:
多個、獨立、不協調的安全解決方案——複雜性可以擴展的問題
與所涉及的雲供應商數量呈幾何關係。
現在,訓練有素的安保人員很少能入手。再加上整合和整合的負擔
同時運行多個非集成安全環境……這可能是一個真正的問題。
在 Fortinet,我們擁有 FortiGate、FortiMail、FortiWeb、FortiSandbox 等安全解決方案,
Fortilnsight 和 Fortinet 安全架構中的其他人,不僅在公司的家中
數據中心,提供相同的一致安全性,它們針對所有領先的 laaS 進行了優化
雲提供商。

最後,我們展示了“雲”是如何形成的基本原理,
環境是安全的,並描述了 Fortinet 的雲安全策略,該策略從簡單的擴展
從純雲環境到復雜的多雲環境。
感謝您抽出寶貴時間,請記得參加本課之後的測驗。

第 2 課 — SD-WAN

你好!在本課中,我們將解釋什麼是 SD-WAN 以及它是如何發展的。
SD-WAN 代表軟件定義的廣域網,它利用企業 WAN 作為
以及多雲連接以提供高速應用程序性能。
過去,組織購買和運營自己的服務器來運行應用程序和存儲
關鍵業務數據。因此,他們有前期資本支出,並且需要聘請一名
訓練有素的技術人員團隊來運行這些傳感器。雖然價格昂貴,但競爭優勢
它放棄了那些沒有將業務計算機化的人,使它變得有價值。一早
挑戰是使這些服務器可用於各種地理分佈的網絡,
稱為局域網或 LAN。
您可能還記得 WAN 是一個跨越較大地理區域的計算機網絡,
通常由兩個或多個 LAN 組成。例如,如果 Acme Corporation 跨越多個城市
和各大洲,每個都有自己的局域網,他們將如何連接這些 U\N
倫敦辦事處的某個人可以連接到新加坡的數據庫服務器嗎?傳統上,
企業通過單一的專用服務提供商連接他們的 LAN。儘管
昂貴,他們可以控制和保護這種連接,同時提供對關鍵的訪問
資源。然而,這種方法有局限性。單點連接受制於
頻繁的停電,這使得它不可靠,此外,因為需求不斷增加
在雲中託管業務應用程序,稱為軟件即服務 (SaaS),延遲更高
成了一個問題。SaaS 應用程序,如 Salesforce、Dropbox 和 Google Apps 等
對視頻和語音會議的依賴,助長了擁堵。企業開始
通過僱用多家提供商或尋求更實惠的寬帶來增強他們的連接性
和其他互聯網連接方式。增加混合連接的趨勢,以及
雲應用程序的增長以支持底層智能業務決策,導致第一個
SD-WAN的產生。
企業根據應用程序流量添加了多個專用運營商鏈路和負載平衡
關於有多少帶寬可用。雖然這種方法似乎解決了一些帶寬
問題,它添加了另一個產品來解決另一個網絡挑戰。這些點產品
增加網絡基礎設施的複雜性。為什麼?因為從
多個供應商,每個供應商都有單獨的管理控制台,而且通常不完全
與其他產品集成,成為 IT 安全管理員的管理噩夢。
儘管如此,第一代 SD-WAN 還是解決了一個緊迫的業務需求:其基本的負載平衡
技術允許網絡在混合 WAN 上做出應用智能的業務決策
鏈路,包括服務提供商、寬帶和長期演進或 LTE,這是一個標準
用於移動設備和數據終端的無線寬帶通信。
準確的應用識別、網絡性能的可見性和可靠的切換
性能最佳的 WAN 鏈接之間的應用程序流量使 SD-WAN 成為最受歡迎的
廣域網技術適用於所有企業。
但是,安全性仍然是企業需要認真考慮的問題。即使在採用 SD-WAN 之後,
企業不斷將所有敏感和關鍵的應用程序流量發送到數據中心以確保安全
目的,或者被迫安裝複雜的防火牆解決方案來檢查他們的直接互聯網


使用權。這增加了另一個安全點產品,使網絡更加複雜,
難以管理,並延遲了雲的採用。

企業需要通過集成安全和網絡來應對這些挑戰
功能集成到一個安全的 SD-WAN 設備中。這使企業能夠更換他們的
具有強大的單一安全設備的多點產品,成本更低且易於
管理。強大的安全態勢幫助企業更多地使用雲應用程序
經濟實惠,延遲更低,並通過直接互聯網連接確保最佳應用
性能和最佳用戶體驗。確保持續的網絡性能健康檢查
根據用戶定義的應用程序服務級別選擇了最佳可用的 WAN 鏈接
協議。如果特定鏈路降級,SD-WAN 設備知道移動連接
到性能更好的 WAN 鏈接。

如今,在安全的 SD-WAN 中,直觀的業務策略工作流使配置和
通過對關鍵業務應用程序進行優先排序的靈活性來管理應用程序需求。一個
集中式管理控制台提供單一的窗格可見性和遙測以識別,
用最少的 IT 人員排查和解決網絡問題。綜合分析
帶寬利用率、應用程序定義、路徑選擇和安全威脅形勢不
僅提供對擴展網絡的可見性,但有助於管理員快速重新設計
基於歷史統計的策略,以提高網絡和應用程序的性能。

總體而言,安全 SD-WAN 解決方案的積極成果是簡化、整合和降低成本
減少,同時提供急需的最佳應用程序性能和最佳用戶體驗
適用於企業、SaaS 和統一通信即服務 (UCaaS) 應用程序。運行
分析和遙測幫助基礎設施團隊加速協調和解決問題
方式,從而減少了支持票證和網絡中斷的數量。

Fortinet 引入了安全 SD-WAN 一詞,其中 FortiGate® 是其核心——下一個
Fortinet 的下一代防火牆 (NGFW)。除了 FortiGate® 設備,安全 SD-WAN
解決方案包括其他高級網絡功能。

感謝您抽出寶貴時間,請記得參加本課之後的測驗。

第 3 課 — 端點安全

你好!在本課中,我們將了解端點安全、它是什麼以及它是如何發展的。
讓我們定義終點的含義。過去,它被定義為使用的任何個人設備
由最終用戶(如台式計算機、筆記本電腦或手持設備)提供。現在,端點包括
物聯網或物聯網,包括各種小工具,例如智能恆溫器或
家裡的冰箱。
我們如何保護這些端點,為什麼端點安全如此重要?端點有
一直是進入網絡的一個簡單點。為什麼要嘗試繞過防火牆時,通過
社會工程,你可以利用容易上當、粗心的用戶。隨著在線連接的擴大,
端點上的攻擊向量數量成倍增加,為攻擊者提供了更多機會
利用。
在網絡連接到互聯網之前,不良行為者依靠軟盤傳播
惡意軟件。插入計算機的受感染光盤會感染該計算機。後來,這將
包括其他可移動存儲設備,例如 CD、DVD 和 USB 連接的便攜式設備
驅動器。可以想像,這種攻擊向量的範圍非常有限。第一個端點安全
產品是防病毒或 AV 軟件,可以掃描設備和硬盤驅動器中的惡意軟件。
它們是基於簽名的,這意味著防病毒軟件會尋找特定的特徵,
病毒的指紋或簽名。如果它發現了具有這些特徵的東西,它可以
隔離或刪除該程序。
當家庭和商業網絡開始連接到互聯網時,所有這一切都發生了變化。許多
網絡犯罪分子可以使用更多的攻擊媒介,例如電子郵件網絡釣魚、受感染的
網站、自帶設備 (BYOD) 上班和社交媒體。這些新機會
惡意軟件數量激增——從每年數万到數十萬
天。此外,不良行為者開始利用操作系統中的安全漏洞,例如
您的 Web 瀏覽器,甚至是 MS Word 文檔等相對惰性的應用程序。複利
這個攻擊面不斷擴大的問題,改變了惡意軟件的本質。多態
惡意軟件旨在自行改變一切,模仿在自然界中變異的病毒。這個
意味著基於簽名性質的防病毒軟件不再完全有效。
隨之而來的是端點保護平台或 EPP,旨在防止基於文件的
惡意軟件攻擊並實施其他預防性控制。該方法側重於停止
惡意軟件在執行並感染端點之前。基於文件的惡意軟件是下載到
打開時運行惡意代碼或腳本的設備。
EPP 提供了許多以預防為中心的服務,例如防病毒、設備防火牆、Web 過濾、
通過加密和設備控制保護數據。設備控制是一種技術
提供檢測、授權和保護可移動存儲設備的內置安全性。網絡
過濾是使網絡管理員能夠控制您的站點類型的技術
允許參觀。
然而,這些技術都沒有被證明是端點感染的最終補救措施。在
當時,網絡過濾被認為是解決方案,因為人們認為網絡出生
惡意軟件僅來自下流網站。惡意軟件仍有可能構成
合法網站上的廣告。


鑑於攻擊方法不斷發展的複雜性和不斷擴大的攻擊面,安全
專業人士開始意識到不可能防止所有惡意軟件感染。新戰略
旨在與 EPP 開發並行地保護端點。這種新策略被稱為
端點檢測和響應,或 EDR。
EDR 是用於檢測、調查和響應端點上的可疑活動的軟件。它
最初是一種數字取證調查工具,並為安全分析師提供了威脅
分析攻擊和識別攻擊指標所需的情報信息和工具
妥協,或 loC。分析人員隨後能夠檢測到惡意軟件,其中一些
數月或數年在網絡中未被​​發現。而不是調查攻擊以了解其
解剖學,該工具還用於實時檢測正在進行的攻擊。補救工具是
還補充說,這使分析師能夠從端點請求更多信息,禁止流程,
隔離端點,並阻止特定 IP。EDR 成長為真正的檢測和響應解決方案,
但這並非沒有問題。
第一代 EDR 大多采用人工方法,耗時且費力。
對於勒索軟件等快速發展的威脅,速度較慢。缺乏與其他安全軟件的集成
阻礙了其及時有效地作出反應的能力。配置和使用 EDR
需要高水平的專業知識,以及對大量警報的分析,其中許多是錯誤的
積極的,對分析師來說是耗時的。供應商通過以下方式部分緩解了這些問題
引入託管檢測和響應或 MDR 平台,該平台執行基本警報
分類並通過電子郵件通知分析師。儘管如此,EDR 仍然太慢且太複雜而無法成為
端點安全軟件庫中的標準工具。
第二代 EDR 解決了這些問題。它的設計目的是政策驅動和
自動化。通過可定制的劇本,分析師現在可以指導 EDR 修復問題
立即和自動。主動地,分析師可以指示 EDR 在特定的
它應該以何種方式檢測行為可疑的程序或腳本。惡意活動觸發
自動阻止以防止數據洩露、加密和滲透網絡的企圖。它
可以實時停止和回滾勒索軟件,而無需移除設備或
破壞業務連續性。
安全專業人員很快意識到了融合 EDR 和 EPP 技術的優勢,並且
大多數 EPP 定義現在包括這兩個特徵。一個單一的、綜合的代理可以防止
大多數基於文件的惡意軟件處於預感染、預執行階段,同時檢測和
應對在感染後階段逃避預防的惡意軟件。組合的 EPP 和
EDR 解決方案還消除了集成問題並簡化了配置和管理
分析師。
EPP 和 EDR 軟件現在包括其他預防控制措施以改善安全衛生,例如
當端點沒有最新的安全補丁或運行不安全時提醒分析師
應用程序。通過識別關鍵漏洞,安全團隊可以減輕威脅並應用
虛擬補丁或創建將限制應用於端點的策略,直到軟件補丁發布
安裝。此外,機器學習 (ML) 現在作為增強型 AV 的一部分包含在內
功能,這有助於在執行前階段檢測惡意軟件。
檢測和響應功能不僅適用於端點,現在還可以擴展
橫跨整個安全基礎設施。這稱為擴展檢測和響應或 XDR。


XDR 採用額外的 AI 技術來提供機器速度檢測和響應
不僅可以保護端點,還可以保護網絡和訪問層以及雲。

Fortinet 端點安全產品是 FortiClient® 和 FortiEDR™。運行的端點
FortiClient® 與共享情報數據的其他安全產品完全集成,並且
在所謂的 Fortinet Security Fabric 中集中管理。Fortinet 擴展檢測
響應產品是 FortiXDR™。

感謝您抽出寶貴時間,請記得參加本課之後的測驗。

第 4 課——防火牆

在本課中,您將了解如何創建防火牆以提供基本的網絡安全和
它們如何演變成下一代防火牆以跟上不斷變化的威脅
景觀。

隨著網絡開始增長、互連並最終連接到互聯網,它成為
對控製網絡流量很重要。這種控制最初採用包過濾器的形式
檢查最低協議層的防火牆,例如源網絡和目標網絡
地址、協議和端口號。防火牆規則使用這些屬性來定義哪些
數據包被允許通過。如果數據包網絡地址、協議和端口號
匹配防火牆中的包過濾規則,允許通過。如果沒有,它
被無聲地丟棄或阻止。

包過濾防火牆的缺點是他們採用一種通用的方法來決定
是否允許流量通過,不良行為者可以繞過防火牆規則。什麼會停止
通過可接受的協議和端口注入惡意數據包或利用
計算機網絡軟件中的錯誤?為了抵​​消這個弱點,額外的阻塞標准或
允許流量是在第二代防火牆中開發的。

第二代防火牆,稱為狀態防火牆,旨在觀察這些網絡
隨著時間的推移連接。他們會觀察建立新的網絡連接,並且
不斷檢查端點之間的對話。如果連接行為
不正確的是,防火牆阻止了該連接。任何不屬於已知的數據包
談話被中斷。

雖然這是一個改進,但第二代防火牆仍然無法阻止惡意數據包,如果
他們使用的是可接受的協議,例如 HTTP。萬維網的爆炸式增長
將 HTTP 推廣為最常用的網絡協議之一。問題是 HTTP
以多種方式使用,例如靜態文本內容、電子商務、文件託管以及許多其他
各種網絡應用程序。因為它們都使用相同的端口號,所以防火牆無法
區分它們。網絡管理員需要區分這些網站
應用程序來阻止惡意應用程序並允許有益的應用程序。確定協議如何
例如使用 HTTP,防火牆必須更深入地研究數據負載。

第三代防火牆就是這樣做的。雖然仍然是有狀態的,但這些防火牆理解更高級別的
協議和其中的應用程序,並控制相同基本的不同用途
協議。這稱為應用層過濾。實現應用層的防火牆
過濾可以理解 HTTP、FTP、DNS 等協議。在 HTTP 的情況下,它
可以區分訪問博客、文件共享站點、電子商務、社交媒體的瀏覽器流量,
1 P 語音、電子郵件等。

我們通過互聯網增加的聯繫也促成了我們生活方式的深刻變化
工作、娛樂、娛樂和做生意。企業發展為利用更便宜、多
雲服務、移動和物聯網設備的便利性極大地擴展了網絡
邊緣,從而增加攻擊面。威脅行為者在攻擊方面不斷變化
方法和復雜性。攻擊現在來自受信任的用戶、設備和應用程序
傳播惡意軟件,無論是在不知不覺中還是出於惡意目的。


防火牆現在必須防止在網絡的每個邊緣不斷演變的網絡攻擊,同時提供
安全性、可靠性和網絡性能,這為我們帶來了先進的安全能力
在下一代離子防火牆 (NGFW) 中可以找到。與機場安檢類似,下一代
防火牆有多個安全檢查點。就像安全人員將您的登機牌視為
作為第一道防線,下一代防火牆會查看數據包並做出基於規則的決策
是允許還是丟棄流量。然後檢查您的旅行包,看您是否攜帶
任何惡意內容。這類似於下一代防火牆如何執行深度數據包
檢查(IPS)。如果在您的旅行包中發現有問題的內容,將加強機場安檢
將袋子放在一邊進一步檢查。這類似於下一代防火牆如何發送
惡意內容轉移到沙箱以進行進一步分析。

隨著網絡的不斷發展並帶來新的挑戰,下一代防火牆也
發展。例如,他們有能力控制應用程序,無論是分類還是基於
關於用戶是誰。應用程序級安全性有助於保護 Web 瀏覽客戶端免受攻擊和
威脅。

下一代防火牆還採用了各種隔離用戶的分段方法,
符合業務需求的設備和應用程序。通過分割網絡而不是
與使用平面網絡相比,防火牆有助於消除單一入口點,從而更容易
網絡犯罪分子進入網絡並在整個網絡中傳播威脅。

下一代防火牆還提供高性能檢查和更高的網絡可見性,
幾乎沒有降級,以支持和保護現代分佈式數據中心
在復雜的混合 IT 基礎架構中。混合數據中心為企業提供更大的敏捷性,
靈活性和按需擴展——以及擴展的攻擊面,需要同樣
進化的安全策略。高性能檢查包括應用程序、計算資源、
分析、在整個基礎架構中移動的加密數據以及跨基礎架構的數據存儲
多個私有云和公共雲。

FortiGate® 是 Fortinet 的下一代防火牆。FortiGate® 設備與
共享情報數據並在所謂的
Fortinet 安全結構。

感謝您抽出寶貴時間,請記得參加本課之後的測驗。

第 5 課 – 無線網絡

你好!在本課中,您將了解 Wi-Fi 和無線網絡的安全隱患。

Wi-Fi 是一種基於 IEEE 802.11 的設備無線局域網技術
標準。它開始時規模很小,主要用於工業用途,現已發展成為最
我們所有的個人電子設備在家中或辦公室連接的常見方式。

Wi-Fi 的發展利用了許多與以太網相同的協議和技術,
一個非常大的區別。所有傳輸都在空中進行;意思是,很像
口頭交談,任何人聽都可以聽到正在說的內容。

最初 Wi-Fi 的身份驗證和隱私機制非常薄弱。該標準有
提供稱為有線等效隱私或 WEP 的加密的簡單選項。WEP 使用密鑰
使用 RC4 密鑰流加密流量。但是,有人可以很快地破壞 WEP
如果他們有合適的工具和相當強大的機器。消息傳出,Wi-Fi 是
不安全,而且剛剛開始發展的技術存在嚴重問題。
利益相關者與 IEEE 和 Wi-Fi 聯盟齊聚一堂,共同製定 Wi-Fi 保護訪問 (WPA)。
它增加了額外的安全功能,但保留了 RC4 算法,方便用戶
升級他們的舊設備。但是,它仍然沒有解決根本的安全問題。

新標準,基於美國國家標準的高級加密標準(AES)算法
標準與技術研究所 (NIST) 也被引入為 Wi-Fi Protected Access 2
(WPA2)。這比 WEP 安全得多。此外,新的企業級認證
被添加到該技術中,創建了每種安全樣式的兩種風格。個人水平
security 繼續使用共享密碼進行網絡身份驗證和密鑰交換。這
企業級安全使用 802.1 x 身份驗證機制,類似於有線上使用的那些
網絡,對用戶進行身份驗證並設置加密。然而,選擇不當或弱
密碼短語仍然可能使網絡易受攻擊。

Wi-Fi Protected Access 3 (WPA3) 於 2018 年發布,引入了一種新的、更安全的握手
用於建立連接,將設備添加到網絡的更簡單方法,增加密鑰大小,
和其他安全功能。

看起來就是這樣,無線現在是安全的,沒有什麼可擔心的。
不幸的是,事實並非如此。黑客已經找到了幾種利用人類行為的方法
並且仍然可以訪問他們想要的信息。

提供免費 Wi-Fi 是我們在公共場合尋找的標誌,但也存在風險。黑客成立
接入點 (AP) 在公共區域充當蜜罐。毫無戒心的人連接到
這些所謂的免費網絡,不要意識到黑客可以訪問他們所做的一切
在線的。例如,如果您輸入您的帳戶憑據和信用卡信息,他們可以獲得
它。即使網絡名稱看起來合法,也要小心。

此外,我們的手持設備會記住我們過去連接的網絡。在努力
幫助我們,當他們看到它時,他們會自動尋找並再次連接到該網絡。這表示


黑客可以聽到您的手機在尋找您去年連接的合法酒店 Wi-Fi,
設置一個虛假的 AP 廣播該網絡名稱,並欺騙您的設備進行連接。除非
您注意到您的設備現在已連接到 Wi-Fi,您可能會通過假 AP 傳遞數據,
再次暴露你所做的一切。

當您不在家時,您不僅會暴露在外。許多人在家中建立網絡,
但永遠不要打開安全性。或者如果他們這樣做了,他們很久以前就設置了,可能使用 WEP 或 WPA,並且
從未更新為更強的密碼。現在提供用於家庭無線路由器的更新固件
附加功能,例如 WPA3 或對其網絡上設備的可見性。這是個好主意
讓您的安全性保持最新,並選擇複雜且難以猜測的密碼短語。在
最起碼,更改服務集標識符或 SSID,以及管理員默認用戶名和密碼!
此外,請密切關注您的家庭網絡,並確保您能識別
訪問它。如果黑客進入網絡,他們就可以訪問該網絡上的所有內容。在
到那時,不再是讀取您發送的無線流量的問題,而是關於什麼
他們可以入侵的設備以及他們可以從這些設備獲取哪些數據。

與企業級 Wi-Fi 相關的挑戰繼續增長。使用 loT、BYOD 和
高度移動的員工隊伍,管理接入點並應對不斷發展的變化至關重要
安全威脅,無論是在公司辦公室、遠程辦公室還是在您的家中。

Fortinet 提供名為 FortiAP™ 的無線產品。它支持最新的 Wi-Fi 技術,並且
與下一代防火牆 FortiGate® 集成並由其管理。

感謝您抽出寶貴時間,請記得參加本課之後的測驗。

第 6 課——威脅情報服務

在本課中,您將了解安全供應商如何收集威脅信息,並提供訪問
收集知識以檢測在線不良行為。

在端點防病毒產品的早期,供應商需要一種方法來對所有已知的
病毒,以便他們的產品可以確認文件是否包含病毒。他們的威脅
情報部門通過採集每種已知病毒的樣本並生成一個
簽名,代表文件的內容。換句話說,指紋。這些病毒
簽名列表與防病毒軟件一起分發。隨著時間的推移,新的病毒不斷湧現
檢測到,每個供應商的威脅情報服務將更新分發到他們的病毒簽名列表。
這些更新定期以各種不同的方式發布。更新已發布
每月一次、每季度一次,或者在某些情況下,每年只有一次。

隨著惡意軟件開發人員獲得專業知識,他們的惡意軟件變得更加複雜,並且
包括通過能夠更改文件來逃避經典的基於簽名的掃描的機制
內容隨意。因為文件內容改變了,它們的簽名也改變了,允許
惡意軟件通過較舊的防病毒產品潛入。這導致了單一類型的惡意軟件
成為可能包含數十萬個不同文件的整個惡意軟件家族,也稱為
作為多態惡意軟件,並且每個都執行相同的不良行為。這個問題也
當自己動手做的惡意軟件工具包在暗網上出售時就會發生——更不用說
惡意軟件即服務組織的激增。網絡犯罪有自己的商業模式!

現在我們有一個新問題:經典的一對一簽名方法,其中每個已知的
惡意軟件文件由簽名文件中的一個簽名表示顯然不能很好地擴展,
考慮到惡意軟件的新變種數量可能會達到數百萬或更多
每天。為了處理惡意軟件轉變為新形式的這種新能力,供應商的威脅
情報服務創造了僅使用一個簽名來檢測整個惡意軟件家族的方法。
這可以通過多種不同的方式完成,但它們都可以檢測到惡意軟件的共同點
家庭。

到目前為止,我們一直在談論已經看到並因此為
供應商的威脅研究人員。尚未發現的惡意軟件變種呢?
基於簽名的檢測方法將不起作用。為了檢測這些類型的威脅,供應商
創建了沙盒產品,這些產品獲取可疑文件並將其放置在其所在的環境中
行為可以被仔細分析。如果文件在沙箱中進行惡意操作,則
標記為惡意軟件。這被稱為啟發式檢測,它尋找異常行為
與眾不同。事實上,供應商創建了專有的啟發式算法,這些算法永遠無法檢測到
之前看到惡意軟件的多態樣本。

根據特定的沙盒產品及其配置,沙盒的所有者可以
不僅在他們自己的網絡安全環境中傳播這些新知識,而且
將詳細信息發送到供應商的威脅情報服務,以便在全球範圍內共享和
保護更多的人。

第 7 課——翱翔

你好。在本課中,我們將了解安全編排、自動化和響應
(飆升)。SOAR 是安全行業的熱門術語,因此重要的是不僅要知道它是什麼
但要熟悉 SOAR 解決的問題和挑戰。但在我們之前
說到這裡,讓我們首先檢查一下基礎知識。

什麼是翱翔?SOAR 將安全堆棧中的所有其他工具連接到一起定義的
工作流,可以自動運行。換句話說,SOAR 可以讓您增加團隊的
通過自動化重複的手動流程來提高效率。

自動化在當今的安全世界中非常重要,因為安全團隊不堪重負。
隨著新工具的開發以應對不斷變化的威脅形勢,使用這些工具的分析師
工具必須在它們之間切換才能完成日常任務。

一項常見的日常任務是響應警報。更多安全工具帶來更多警報,
這在一系列手動過程和上下文切換中得到解決——即從
一個工具到另一個。每天響應更多警報意味著您可以花費更少的時間
在每個警報上,這增加了出錯的可能性。性能下降
面對大量警報稱為警報疲勞。

減輕警報疲勞的一種明顯方法就是僱傭更多的分析師。然而,多虧了一個
網絡安全技能短缺,根本沒有足夠的合格分析師來聘請。所以如果招聘更多
分析師不是一個選項,我們如何解決警報疲勞?很簡單,使用 SOAR。

如前所述,SOAR 將安全堆棧中的工具聯繫在一起。通過從所有
這些來源,SOAR 減少了分析師必須處理的上下文切換。因此,分析師可以
直接從源界面執行所有常用的調查過程。此外,那些
流程可以手動或自動翻譯成劇本,這是一個類似流程圖的集合
可以根據需要重複的步驟。通過使用劇本,您可以確保每一步
遵循您的標準操作程序。你也有關於到底做了什麼的數據,
何時,由誰。這種能力稱為編排和自動化。

調查是另一個重要的 SOAR 能力。當出現可疑警報時,團隊可以
執行他們的調查任務,例如檢查威脅情報來源的聲譽或
從 SOAR 中查詢安全信息管理系統 (SIM) 中的相關事件
平台。從本次調查中收集的信息將確定所需的緩解措施
腳步。然後,因為 SOAR 是您所有安全工具的統一工作台,您可以使用這些
SOAR 內部的緩解措施也是如此。例如,在 SOAR 中,您可以阻止流量
來自防火牆中的惡意 IP 地址或從您的電子郵件服務器中刪除網絡釣魚電子郵件。經過
將您的標準流程構建到劇本中,您可以替代重複的、耗時的
以機器速度自動化的手動過程。自動化讓分析師可以投入更多精力
是時候調查嚴重警報了。

在您的生態系統中實施 SOAR 不僅僅是集中您的事件響應
流程——它優化了整個操作。優化導致簡化響應


機器速度,允許團隊改進協作並更好地管理永無止境
一波警報。這是因為 SOAR 允許用戶將警報分配給不同的分析師或團隊
響應過程的不同階段,並為那些分配的用戶添加信息到
在他們處理它時發出警報,以便稍後引用該警報的其他人將有額外的上下文
調查。

讓我們更詳細地解釋一下劇本。團隊使用劇本(有時稱為工作流)作為
每次都以相同的方式響應警報或事件。劇本與
安全團隊通過採取分析師通常在響應
事件。劇本執行重複性任務,例如將數據編譯成報告或發送電子郵件,
並且可以在需要人工監督時暫停,例如實施防火牆阻止。劇本
是 SOAR 自動化能力的關鍵,使團隊能夠提高響應速度
和一致性,同時保持人類對過程的權威。最終,使用劇本
可以減少分析師的工作量並減少出錯的機會。

網絡釣魚調查是 SOAR 實施的最常見用例之一
顧客。如果沒有 SOAR,分析師將花時間調查網絡釣魚電子郵件的發件人
和位於電子郵件標題或正文中的關鍵指標。進行這些調查
通常意味著將域和 URL 輸入威脅情報平台所花費的時間。如果分析師
確定電子郵件是有害的,他們將需要花費額外的時間來調查他們的電子郵件
服務器和他們的 SIM 卡,確定誰收到了電子郵件,確定誰點擊了它,刪除了它,
等等。使用網絡釣魚調查手冊,採取初步調查步驟
報告網絡釣魚電子郵件後自動進行。這樣,分析師將被提醒
只有那些被劇本確定為可疑的電子郵件。分析師確認後
報告的電子郵件需要採取進一步行動,劇本可以繼續進行額外的 SIM 查詢,
從所有用戶收件箱中刪除電子郵件,向所有收件人發送電子郵件,提醒他們
採取的行動,並提供有用的提示,告訴他們如果在
未來。

所以你有它——關於 SOAR 的入門書——它是什麼,它解決了什麼問題,以及它是如何實現的
有幫助。Fortinet SOAR 產品名為 FortiSOAR™,包含所有這些功能
和更多。

感謝您的時間。別忘了參加測驗!

第 8 課——網絡訪問控制

你好!在本課中,我們將向您介紹網絡訪問控制 (NAC) 並解釋它是如何實現的
進化了。

NAC 是控制設備對網絡的訪問的設備或虛擬機。它開始作為一個
設備加入網絡的網絡認證和授權方法,遵循
IEEE 802.1X 標準。身份驗證方法涉及三方 - 客戶端設備,
身份驗證器和身份驗證服務器。身份驗證器可以是網絡交換機或
將受保護網絡與未受保護網絡區分開來的無線接入點。這
客戶端以用戶名和密碼、數字證書或其他形式提供憑據
其他方式,到身份驗證器,它將這些憑據轉發到服務器。待定
身份驗證的結果,身份驗證器將阻止設備或允許其訪問
網絡。另一種控制對網絡(尤其是公共網絡)訪問的方法是
強制門戶。如果您曾經連接到機場、酒店或咖啡店的網絡,您
可能記得之前與要求您同意法律條款的網頁進行交互
授予訪問權限。

後來,NAC 演變為適應訪客訪問、自帶設備 (BYOD) 和
物聯網 (loT)。出於幾個原因,BYOD 和物聯網設備引入了新的安全性
挑戰。第一,BYOD 是個人擁有的,而不是組織的資產。所以,MIS 不
控制在這些設備上運行的內容,例如防病毒軟件或不安全的應用程序。二,
物聯網設備是帶有傳感器的硬件,可通過網絡將數據從一個地方傳輸到另一個地方。
互聯網,極大地擴大了攻擊面。組織購買支持物聯網的設備
其他供應商,這些設備連接回供應商網絡以提供有關
產品使用和維護需求。組織可以容忍這種情況,因為物聯網設備
節省他們的時間和金錢。例如,如果打印機的碳粉不足,供應商可以通知
網絡管理員通過電子郵件,甚至自動交付新的碳粉盒。在智能家居中,
物聯網設備調節熱量和濕度,遠程控制門鎖,監控裡面的東西
冰箱,甚至幫助你的購物清單。

這些設備明顯的便利性使其廣受歡迎且數量眾多。然而,
設備種類繁多、缺乏標準以及無法保護這些設備使它們成為
傳染進入網絡的潛在渠道。許多物聯網設備缺乏 CPU 週期或
內存來託管身份驗證和安全軟件。他們使用共享的身份識別自己
在製造過程中插入的秘密或唯一序列號。但是這個認證
方案非常有限——如果秘密被洩露,很可能沒有辦法重置它,並且
如果沒有安裝安全軟件的能力,這些設備幾乎看不到。幸運的是,
NAC 的發展是為了解決這些弱點。

當 MIS 將 NAC 引入網絡時,NAC 所做的第一件事就是創建所有
連接的設備。NAC 然後根據設備配置文件允許訪問網絡資源,
這是由功能定義的。這類似於授予個人訪問敏感信息的權限
基於他們需要知道的。例如,NAC 將允許 IP 攝像機連接到
網絡錄像機 (NVR) 服務器,但會阻止它連接到財務服務器。
根據其資料,NVR 與財務主管沒有業務往來。訪問時以這種方式授予,網絡將按設備功能分段。如果一個設備是
受到威脅後,惡意軟件只能感染允許設備連接的那些對象。
因此,前面示例中的受感染 IP 攝像頭可能會感染 NVR 服務器,但不會感染
財務服務器。

雖然 NAC 在管理大量未受保護的設備方面證明非常有效,但它
其發展的不足之處。一些 NAC 解決方案旨在幫助 BYOD
在無線網絡中加入,但在網絡的有線部分錶現不佳。其他
解決方案被開發為在單一供應商環境中工作,但不能自動
配置第三方設備。有些人對小型、簡單的網絡有很好的了解,但沒有擴展
很好地進入大型分佈式網絡。

今天,大多數 NAC 解決方案已經解決了這些限制。他們有更完整的可見性
進入網絡,並且更擅長自動對設備進行分類。他們有效地表現在
以太網和無線網絡。許多 NAC 解決方案具有集中式架構,
改進了跨大型和多站點網絡的設備管理。至關重要的是,NAC 也必須是
集成到安全框架中,這樣當檢測到違規時,NAC 會自動
通知安全運營中心 (SOC) 並與其他安全設備協調以
消除威脅。

Fortinet 提供名為 FortiNAC™ 的網絡訪問控制解決方案。它包含所有功能
在本課中確定。

感謝您抽出寶貴時間,請記得參加本課之後的測驗。

第 9 課——沙盒

你好!在本課中,我們將解釋什麼是沙盒,為什麼發明它,以及它是如何產生的
進化了。
在計算機安全上下文中,沙箱是一個系統,它限制了一個人的行為。
應用程序(例如打開 Word 文檔或瀏覽器)到隔離的虛擬環境。
在這個安全的虛擬環境中,沙箱研究各種應用程序交互以
發現任何惡意意圖。因此,如果發生意外或危險的事情,它只會影響
沙盒,而不是網絡上的其他計算機和設備。
沙盒技術通常由組織的信息安全團隊管理,但
由網絡、應用程序和桌面運營團隊用來加強各自的安全性
域。
威脅參與者利用合法應用程序中的漏洞來破壞設備,並從
那里通過網絡移動以感染其他設備。利用未知漏洞是
稱為零日攻擊。在沙盒之前,沒有有效的手段來阻止零日
攻擊。防火牆和防病毒軟件可以阻止已知的威脅,但它們卻無能為力
零日攻擊。
沙箱提供了一個模擬各種計算機設備的隔離虛擬環境,
操作系統和應用程序。它允許潛在威脅在安全範圍內發揮作用
這些虛擬系統。如果沙盒斷定可疑文件或活動是良性的,則不會
需要採取進一步行動。但是,如果它檢測到惡意意圖,則該文件可能會被隔離或
活動可以在真實設備上停止。
許多早期的沙盒未能與系統內的其他安全設備緊密集成。
網絡。雖然沙盒可以識別並擊敗零日攻擊,但這種重要的威脅情報
並不總是及時與其他網絡安全設備共享。但是,那
無法溝通和協調與沙盒技術的缺陷無關,而與沙盒技術的缺陷有關
基於點解決方案的安全架構。點解決方案,不能完全
集成到其他供應商的產品中,這意味著安全運營中心 (SOC) 需要一個
每個產品的管理控制台。因此,聚合威脅情報數據的嘗試是
困難且耗時。
第二代沙盒即將糾正孤立的、零碎的方法。
沙盒配備了更多的集成工具或與其他產品供應商合作
提高集成度。因此,他們可以與其他安全設備共享威脅情報,
例如防火牆、電子郵件網關、端點和其他更有效的沙盒設備。這
網絡安全的新方法使分析師能夠集中關聯威脅情報並
從單一管理平台應對威脅。此外,集成的網絡安全
環境可以將信息共享給雲中的威脅情報服務,這可能是
推送到其他網絡。
今天,威脅參與者正在創新自動化和人工智能 AI 技術
加速創建新的惡意軟件變種和漏洞利用,並發現安全性
更快地發現漏洞,目的是規避和壓倒當前的防禦。保持
加快檢測這些新威脅的速度,因此必須將 AI-learning 添加到
沙盒威脅分析過程。
人工智能驅動的攻擊需要基於威脅分析標準的第三代沙箱。
此外,由於數字化,它需要覆蓋企業不斷擴大的攻擊面
轉型。數字化轉型是指業務數據、應用程序、
和雲基礎設施。
基於標準的威脅分析的挑戰是由於難以解釋和
了解阻礙有效響應的網絡威脅方法。MITRE,非營利組織
組織,提出了描述標準惡意軟件特徵的 ATT&CK 框架
斷然。許多組織將 MITRE ATT&CK 作為威脅分析的標準。所以,
安全產品有必要採用 MITRE ATT&CK 框架。它提供了
具有識別、描述和分類威脅的通用語言的安全設備,
可以與其他供應商設備共享並易於理解。
最後,隨著越來越多的企業採用數字化轉型,出現了新的組織或部分
遭受攻擊的組織。一個這樣的例子是運營技術 (OT) 行業,
其中包括公用事業、製造業、石油和天然氣等。傳統上,OT 保留他們的
內部運營網絡並與其公司業務網絡分開,但
越來越多的 OT 網絡訪問企業和第三方供應商網絡。另一個例子是
在公共雲中提供應用程序、平台和基礎設施即服務的組織 —
AWS 和 Azure 等等。他們為其他企業託管應用程序,這些應用程序可以訪問
通過互聯網。這些新領域需要針對零日威脅的類似保護
最大限度地減少業務中斷和安全風險。因此,沙盒技術演變為
為這些領域和其他領域的發展提供更廣泛的覆蓋面。
Fortinet 沙盒產品名為 FortiSandbox™,它體現了所有最新的
這裡討論的技術。它與其他安全產品集成在一個集體防禦中
稱為 Fortinet 安全結構。安全結構的一個關鍵部分是 FortiGuard® Labs,它
將 AI 學習和其他威脅情報服務引入沙盒技術。
感謝您抽出寶貴時間,請記得參加本課之後的測驗。

第 10 課——安全信息和事件管理

你好!在本課中,我們將解釋什麼是安全信息和事件管理 (SIEM),
以及它是如何隨著時間的推移而演變的。

SIEM 於 2005 年推出,可實時分析安全警報。從根本上說,SIEM 做了三件事
事物:

一:收集、規範化和存儲來自組織網絡的日誌事件和警報,以及
安全中心位置的安全設備、下水道、數據庫、應用程序和端點。
SIEM 不僅從物理設備收集信息,還從本地虛擬設備收集信息
並在雲端。調查人員已確定登錄每個系統以檢查
相關的日誌事件越來越不可能。此外,如果您的日誌不安全,您就沒有
保證攻擊者不只是刪除條目來隱藏他們的活動。

二:對數據進行實時和跨歷史數據的高級分析,以識別
應由人工調查的潛在安全事件。潛在的事件是
按風險、嚴重性和影響進行優先級排序。隨著時間的推移,這些安全分析已經從
使用簡單的互相關規則來監控用戶行為異常,觀察
已知的妥協指標 (loC),並應用複雜的機器學習模型。

三:證明 SIEM 權限範圍內的所有安全控制措施均已到位,並且
有效的。在維護自身安全的同時,應該推動安全需求和
實際上,對於許多組織而言,適當的投資水平是購買的主要驅動力
SIEM 一直是合規的。

二十一世紀的前二十年出現了大量新的合規性
立法和行業贊助的要求。一些例子是支付卡
行業 (PCI) 標準、2002 年薩班斯-奧克斯利法案、健康保險便攜性和
責任法案 (HIPAA) 和 2018 年的通用數據保護條例 (GDPR)。
企業、醫院和其他組織忽視合規性後果自負,違規者可以
招致懲罰性罰款。

隨著網絡攻擊變得更加複雜和隱秘,對有關網絡攻擊的信息的需求
網絡攻擊——其特徵、目的和網絡滲透程度——增長得更多
緊迫的。另一個令人擔憂的事實是,安全團隊通常直到
在它們發生幾個月後,然後它更經常被第三方發現而不是
通過內部安全。IT 安全需要全面了解網絡活動和實時數據
SIEM 收集的數據滿足了這一需求。第二階段發展,SIEM廠商加入威脅
具有內置威脅情報、歷史和實時分析以及用戶和
實體行為分析 (UEBA)。最近,機器學習已成為
SIEM 的工具集,在篩選大數據時特別需要。

阻礙 SIEM 被組織更多接受的另一個問題是所涉及的努力
設置、集成和使用它。該技術複雜且難以調整,很難
識別攻擊,並且它要求用戶具有高水平的技能才能知道他們的
正在尋找。儘管 SIEM 具有所有功能,但它並不是一成不變的技術。這個情況
另外兩個事實加劇了這種情況。一、IT安全受困於數量不足
合格的專業人員,以及兩個,典型網絡運營中心使用的孤立方法
(NOC) 和安全運營中心 (SOC) 增加了複雜性並導致缺乏
網絡可見性。由多供應商、單點解決方案組成的環境
操作系統、補丁週期、協議和邏輯,與互操作性和
簡化。結果是對稀疏 IT 資源的需求增加,增加了人力
錯誤,並降低網絡安全可見性。因此,雖然 SIEM 從
威脅情報中心的信息平台,它仍然受到外部和
內部限制。

訓練有素的人員的系統性短缺是更多自動化和機器的動力
在後來的 SIEM 設備中學習。人工智能更快地檢測趨勢和模式
即使是最聰明的人也能處理大量的數據。此外,時間和準確性
通過將 SIEM 配置為自動響應和補救而獲得。最近的事態發展
SIEM 還整合了 NOC 和 SOC,從而將 SIEM 確立為所有人的神經中樞
網絡和安全操作。因此,通過單一管理平台,IT 安全可以了解
整個網絡。SIEM 通過自學習、實時、
資產發現和設備配置引擎。該工具建立網絡清單
設備、應用程序、用戶和業務服務。然後它構建一個拓撲,顯示每個
對象相互連接,從而建立正常網絡行為的基線。經過
確定常態,並在機器學習的幫助下,異常行為可以提醒分析師
網絡攻擊,然後可以在違規發生之前停止。

在幾十年內,SIEM 已從信息平台發展為威脅情報
中心,成為一個完全集成和自動化的安全和網絡運營中心。

Fortinet SIEM 產品名為 FortiSIEM™,包含所有這些功能,以及
其他。

感謝您抽出寶貴時間,請記得參加本課之後的測驗。


第 11 課——Web 應用程序防火牆

你好!在本課中,我們將討論 Web 應用程序防火牆 (WAF) 及其演變過程
隨著時間的推移。什麼是 WAF,它與傳統的邊緣防火牆有何不同?

WAF 是一種設備或軟件,用於監控 HTTP/HTTPS 流量並可以阻止惡意
進出 Web 應用程序的流量。它與傳統邊緣防火牆的不同之處在於它針對的是
來自特定 Web 應用程序和應用程序級別的內容,而邊緣防火牆時尚
局域網和網絡級別的外部服務器之間的安全網關。
具體來說,通過檢查 HTTP 流量,WAF 可以阻止源自 Web 應用程序的攻擊
安全漏洞,例如 SQL 注入、跨站點腳本、文件包含和安全性
配置錯誤。鑑於我們在工作和在家中的大部分時間都花在與
Web 應用程序和 Web 服務器,WAF 成為我們對抗惡意軟件的重要組成部分
演員及其惡意在線計劃。

WAF 的祖先是 1990 年代首次開發的應用程序防火牆。雖然
主要是基於網絡的防火牆,它可以針對某些應用程序或協議,例如文件
傳輸協議 (FTP) 和遠程外殼 (RSH),這是一個命令行計算機程序。這
1991 年萬維網的首次亮相是互聯網世界的大爆炸。
此後一直在加速擴張。互聯網的可訪問性和開放性
允許任何人搜索和探索,但它也允許不良行為者將其用於自己的
骯髒的目的。

隨著越來越多的人和組織成為間諜、盜竊和其他犯罪的受害者,
開發防禦基於 HTTP 的網絡攻擊成為當務之急。WAF 不能
依靠基於網絡地址阻止列表決策的傳統邊緣防火牆方法,
並阻止某些協議和端口號。由於所有 Web 應用程序都使用 HTTP 並且
端口 80 或 443,這種方法不是很有用。

我們來看一種常見的攻擊方式,叫做 SQL 注入。想像一下您經營一家在線業務
客戶和合作夥伴登錄您的網​​站購買產品和服務。一個典型的登錄頁面
要求輸入用戶 ID 和密碼。一個人,我們稱他為 John Smith,輸入他的用戶 ID —
jsmith——還有他的密碼。此信息在後端數據庫上進行驗證。如果密碼是
是的,John Smith 進去了,但如果密碼是假的,他就不能進去。現在,一個壞演員可能
不知道約翰的密碼。他總能猜到,但這可能需要很長時間。
相反,對於密碼,壞人鍵入“abc123 或 2+2=4”。當約翰的憑據是
送回數據庫驗證,很可能密碼“abc123”為假;然而,
表達式 2+2=4 為真。由於這個缺陷,壞演員能夠闖入一些網站。
第一代 WAF 使用阻止列表和基於簽名的 HTTP 屬性來提醒
防火牆的攻擊,所以像這樣的 SQL 注入攻擊不再成功。

隨著互聯網普及率的飆升,很快 Web 應用程序的數量及其增長
複雜性使得基於簽名的方法過時了。同樣,誤報的數量——
實際上是合法連接的攻擊警報 - 增長到超出容量的比例
的 IT 安全團隊。在下一代,WAF變得更加智能——有一個元素
通過防火牆學習。WAF 將學習應用程序的行為以創建基線它可以用來評估訪問應用程序的嘗試是正常的還是不正常的,以及
因此懷疑。它還引入了會話監控和啟發式方法,允許防火牆
檢測已知簽名的變體。這是向前邁出的一步,但因為應用程序學習
在 IT 安全的監督下,防禦無法跟上不斷擴大的數量
現有方法的突變或新的利用。此外,沒有針對零日的防禦
漏洞利用,它利用了應用程序代碼中的未知弱點。

WAF 開發的邏輯轉折是機器學習不受人工監督的阻礙。
現在行為分析可以在機器速度下完成,並且可以適應不斷變化的
威脅的屬性。防火牆還增加了其他安全功能。在這些當中
資產包括分佈式拒絕服務 (DDoS) 防禦、IP 信譽、防病毒和數據丟失
預防(DLP)。防火牆可以阻止任何違反可接受的 HTTP 行為的操作。它
可以識別用戶並將他們嘗試執行的操作與他們的權限相關聯,
並停止任何超出其職責範圍的行為。WAF 還旨在共享
信息並與網絡中的其他安全設備協作,例如其他防火牆和
沙箱。這有助於將防火牆整合到一個互鎖的集體防禦中,而不是
到獨立工作。沙盒允許對可疑材料進行安全測試
與網絡隔離。零日攻擊可以在這些沙盒中暴露和隔離
環境,並且它們的簽名可以與網絡中的其他設備共享。此外,
這些新發現可以上傳到互聯網上的威脅情報中心,在那裡他們
可以傳送到其他網絡。

Fortinet 有一個名為 FortiWeb™ 的 WAF。FortiWeb™ 可以與 FortiGate® 和
FortiSandbox™。FortiGuard® Labs 是 Fortinet 的威脅情報中心,可以提供至關重要的
FortiWeb™ 和其他 Fortinet Security Fabric 產品的更新。

感謝您抽出寶貴時間,請記得參加本課之後的測驗。

第 12 課 – 安全電子郵件網關

你好!在本課中,我們將解釋什麼是安全電子郵件網關以及它是如何發展的。

電子郵件是 1990 年代世界上線時人們進行的首批活動之一。花了很
帶寬很少,因為技術允許的很少。它也很容易,快速,甚至沒有
花了一張郵票!它是如此簡單和便宜,以至於它成為了一種獲取信息的方式
許多人以很少或沒有成本。

其中一些群發郵件來自合法企業,相當於廣告
傳單是郵寄的,但其他群發郵件是由更邪惡的人物發送的。這是
垃圾郵件的開始——在互聯網上將不相關和未經請求的消息發送到
大量的收件人。

個人可以在幾乎沒有驗證或責任的情況下發送和接收消息。因此,他們
提供匿名。最初,人們更多地將垃圾郵件視為令人討厭的東西,而不是威脅。但在 1996 年,
美國在線 (AOL) 創造了網絡釣魚一詞來描述發送郵件的欺詐行為
聲稱來自信譽良好的來源的電子郵件,以誘使個人透露個人信息
信息。

例如,你們中的一些人可能遇到了阿巴多多的所羅門王子,或者另一個狡猾的角色,
誰想和你分享他們的財富。其他不良行為者註冊的域名是
驚人地接近合法企業或組織的名稱,並偽裝成
電子郵件中的業務,誘使您單擊包含惡意軟件​​的鏈接或附件。

網絡釣魚技術依賴於人類的天真、粗心或分心來發揮作用。之一
企業的第一反應是對員工進行網絡釣魚策略的教育。然而,
雖然教育可能減少了網絡釣魚攻擊,但它並沒有消除威脅。有什麼東西
在郵件服務器和 Internet 服務提供商 (ISP) 級別完成。對此,企業
在郵件服務器上安裝垃圾郵件過濾器以阻止垃圾郵件和網絡釣魚電子郵件。

垃圾郵件過濾器依賴於識別郵件標題或正文中的特定單詞或模式。至
舉一個簡單的例子,現金這個詞在垃圾郵件中很常見。如果 IT 專業人員添加了
word cash 到他們公司郵件服務器上的垃圾郵件過濾器,過濾器將刪除任何電子郵件
包含那個詞。

ISP 還部署了垃圾郵件過濾器。除了過濾之外,ISP 還轉向加強身份驗證
方法。到 21 世紀頭十年末,ISP 開始實施
發件人政策框架 (SPF),在那十年中慢慢形成,但沒有被提出
作為 2014 年之前的標準。

SPF 是一種電子郵件身份驗證方法,可檢測虛假髮件人地址和電子郵件。

但是,對於合法企業、組織和
互聯網服務提供商,不良行為者引入了一種規避最新防禦措施的對策。


回到我們的簡單示例,垃圾郵件發送者可以通過以下方式輕鬆繞過我們的過濾詞現金
將其呈現為 c@sh 或其他一些變體。雖然過濾器變得更加複雜
檢測垃圾郵件模式時,它們過於靜態且容易被智取。

垃圾郵件和網絡釣魚對於不良行為者來說太有利可圖了,不能輕易放棄。事實上,
自世紀之交以來,網絡釣魚攻擊的數量急劇增加。2004 年,176
記錄了獨特的網絡釣魚攻擊。到 2012 年,這個數字增長到 28,000 人。難怪;
網絡釣魚是有利可圖的。在損失金錢和損害之間,攻擊造成了 5 億美元的損失
對企業和個人。最近,在 2020 年第一季度,Anti-Phishing
工作組 (APWG) 記錄了 165,772 個檢測到的網絡釣魚站點。

需要更好的防禦。安全電子郵件網關 (SEG) 的出現是為了提供更嚴格的
防禦。除了垃圾郵件過濾器之外,SEG 還添加了防病毒掃描程序、威脅仿真和
沙盒實時檢測惡意附件和鏈接。即使員工教育和
垃圾郵件過濾器失敗,這些其他工具之一可以檢測並消除威脅。但是,那
誤報的數量和攻擊的絕對數量使安全團隊不堪重負,他們
陷入了人工修復的困境。

隨著威脅的演變,SEG 繼續演變。

如今,更大的自動化和機器學習內置於 SEG 中,從而減輕了需求
放置在安全運營中心 (SOC) 上。數據丟失防護 (DLP) 也可用於檢測
並阻止敏感數據的流出。

在某些情況下,SEG 與其他網絡安全設備集成,例如邊緣和
分段防火牆。這些設備共同形成了一個集成的安全結構,即安全性
專業人員可以從單一管理平台集中管理,並使用威脅持續更新
隨著新方法和傳染病的出現,智能。

Fortinet 有一個 SEG,稱為 FortiMail®。FortiMail® 包括這裡討論的所有功能,以及它
與防火牆和沙盒解決方案集成。您可以集中管理所有這些設備
使用 FortiManager®,並使用 FortiGuard® Labs 更新他們的威脅情報,這是
Fortinet 的全球威脅情報和研究中心。

感謝您抽出寶貴時間,請記得參加本課之後的測驗。

第 13 課——網絡過濾器

你好!在本課中,我們將了解 Web 過濾和這項技術的發展。

在互聯網的早期,您可以訪問哪些網站幾乎沒有限制
訪問。不幸的是,其中一些網站包含可能感染瀏覽計算機的惡意軟件。或者,
有時網站包含其他人反對的內容。什麼構成令人反感
內容可能會引起爭議,但這兩個原因——安全性和令人反感的內容——形成了
推動網頁過濾技術的發展。

那麼,什麼是網頁過濾器?這是一個應用程序,它檢查傳入的網頁以確定是否有一些
或者所有內容都應該被屏蔽。網絡過濾器根據設置的規則做出這些決定
由安裝應用程序的組織或個人放置。有對應的
允許您配置規則的界面,並確定什麼被阻止,什麼被阻止
通過。Web 過濾器還可以為不同類型的用戶建立不同的規則。例如,在
在家裡,父母可能希望對兒童實施比對青少年和成人更嚴格的規定。

在美國,圖書館率先在其可公開訪問的設備上安裝網絡過濾器
計算機以應對社區壓力。聯邦政府通過了兒童
2004 年的互聯網保護法 (ClPA) 要求公共圖書館中的所有計算機都安裝網絡過濾器,
如果該圖書館接受聯邦資金用於訪問互聯網的計算機。這些措施是
會見了喜憂參半的接待。隨著網絡過濾從圖書館傳播到學校,一些人認為
審查信息,無論多麼令人反感,都與圖書館和教育的使命背道而馳。
更重要的是,有時過濾器不夠複雜,無法區分藝術和藝術。
猥褻的照片,或者過濾器因為髒話而屏蔽了文學作品。這些合法的
對技術局限性的抱怨促使這些應用程序的開發人員
設計更複雜的過濾技術,並使過濾器配置更精細。

雖然最初的動機是保護兒童,但在技術開發後,它的實用性
其他目的變得明顯。信息可能會因宗教、政治或
意識形態目的。此外,政府以前的不端行為可以從
數字記錄。儘管如此,在分類帳的另一邊,通過開發過濾器使瀏覽變得更安全
可以阻止廣告軟件、垃圾郵件、病毒和間諜軟件。今天,網絡過濾形成了第一道防線
防禦基於 Web 的攻擊。除了客戶端工作站、Web 服務器和 ISP,Web
過濾器被添加到其他網絡設備,例如防火牆、代理下水道、沙盒技術、
和無線接入點。

網絡過濾器如何工作?Web 過濾器可以查閱列出網站和
已知託管惡意軟件、網絡釣魚和其他有害工具的域。擁有超過十億
互聯網上的活躍網站,這可能是一項繁重的任務。在這個頑皮的列表中找到的 URL
也稱為拒絕列表。還可以有一個允許列表,這是一個經過批准的 URL 列表。
可以使用的另一種方法是查找關鍵字或預定義內容的過濾器。作為
前面提到,這種方法的問題是誤報的數量;也就是說,它可以
無意中屏蔽了合法內容,例如藝術品。機器學習可能會及時克服這一點
不足。其他類型的網絡過濾器,例如 Google 搜索引擎,使用機器學習

幫助您找到您正在尋找的東西。與其他網絡安全設備一樣,機器學習是
下一步是構建更有效的網絡過濾器。

Fortinet 已將 Web 過濾器集成到其許多產品中:例如,FortiClient®、
FortiGate®,對於無線接入點,FortiAP™。

感謝您抽出寶貴時間,請記得參加本課之後的測驗。

第 14 課——SAS E

你好!在本課中,我們將向您介紹 Secure Access Service Edge SASE,並解釋如何
它已經進化了。


SASE 是一種將網絡即服務與 Security-as-a-Sen/ice 功能相結合的技術。

SASE 作為一種即服務消費模型通過雲交付,以支持安全
訪問當今的分佈式和混合企業網絡。


網絡安全是大多數組織的頭等大事,但也出現了新的挑戰。
快速和顛覆性的數字創新帶來了:
    • 由連接到核心的小分支位置定義的擴展薄邊緣
        網絡
    • 越來越多的網外用戶訪問中央數據中心
    • 為網外用戶提供具有挑戰性的用戶體驗
    • 不斷擴大的攻擊面
    • 多級合規要求,以及
    • 日益複雜的網絡威脅

隨著工作環境的發展,用戶行為和端點保護也在發展
要求。用戶不再從預定義的專用站點訪問信息
網絡邊界僅限於公司辦公室。相反,用戶從各種
位置,例如在家中、空中和酒店。他們還訪問該信息
來自不同的設備,例如台式工作站、筆記本電腦、平板電腦和移動設備。添加
帶來這種網絡複雜性的是自帶設備的興起,用戶可以在其中訪問企業
通過不屬於企業基礎設施一部分的個人設備訪問系統。

當今的組織要求其用戶能夠立即、持續地安全訪問網絡
和基於雲的資源和數據,包括關鍵業務應用程序,無論
位置,在任何設備上,在任何時間。組織必須以可擴展且可擴展的方式提供這種訪問
將瘦邊緣網絡站點和遠程用戶集成到中央基礎設施的彈性方式,
這有利於精益運營,即服務模式。



遠程網外用戶

尋找滿足這些要求的解決方案具有挑戰性,
原因很清楚。


雖然網絡已經發展到支持遠程端點和用戶的工作流程,但許多
過時的網絡安全解決方案仍然不靈活,並且不會擴展到數據中心之外
覆蓋不斷擴大的網絡邊界,從而覆蓋攻擊面。隨著的到來
新的薄邊緣網絡,這一挑戰更加劇了。

其次,這些融合網絡和安全監督的解決方案要求所有流量,
無論來自瘦邊緣位置還是離線用戶,都貫穿核心數據中心
供檢查。這導致:
    • 成本高
    • 複雜性
    • 風險敞口增加
    • 訪問基於多雲的應用程序時的延遲和糟糕的用戶體驗
       數據


最後,當今的多邊緣網絡環境暴露了 VPN-only 的局限性
無法支持安全、威脅檢測和零信任網絡的解決方案
訪問策略實施存在於公司內部網絡中。僅限 VPN 的解決方案
無法擴展以支持不斷增長的用戶和設備數量,導致安全性不一致
跨越所有邊緣。
不靈活、不可擴展的安全性 用戶訪問體驗差 完全缺乏一致的安全性
數據中心邊緣的邊界 多用途應用程序邊緣,包括移動遠程網外用戶

需要一種新的可擴展、彈性和融合的解決方案來實現安全、可靠的網絡
用戶和端點的訪問權限。一種解決許多混合組織的安全問題,
由分佈在公司和遠程網絡中的系統和用戶定義。該解決方案是
賽斯。


SASE 解決方案提供集成的網絡和安全功能,包括:
    • 對等互連,允許直接通過 Internet 進行網絡連接和流量交換
        無需支付第三方費用。
    • 下一代防火牆 NGFW 或基於雲的防火牆即服務 FWaaS,具有
        安全功能,包括入侵防禦系統 IPS、反惡意軟件、SSL
        檢查和沙盒。
    • 一個安全的 Web 網關,通過以下方式保護用戶和設備免受在線安全威脅
        過濾惡意軟件並執行互聯網安全和合規政策。
    • 零信任網絡訪問 ZTNA,確保沒有用戶或設備自動
        信任。從內部或外部訪問系統的每一次嘗試都會受到挑戰,並且
        在授予訪問權限之前進行驗證。它由多種技術組成,包括多因素
        身份驗證 MFA、安全網絡訪問控制 NAC 和訪問策略
        執法。

        數據丟失防護 DLP 可防止最終用戶將關鍵信息移出
        網絡。這些系統通知消息和電子郵件應用程序的內容檢查
        在網絡上運行。
        域名系統 DNS,作為互聯網的電話簿,提供
        SASE 具有威脅檢測功能,可分析和評估風險域。


這些服務提供:

    • 優化所有用戶到所有云的路徑,以提高性能和敏捷性
    • 針對移動工作人員的企業級認證安全性,
    • 所有邊緣的一致安全性,以及
    • 安全和網絡運營的統一管理


儘管被歸類為基於雲的,但仍有一些常見的 SASE 用例,可能需要
物理和基於雲的解決方案的組合。為了讓 SASE 能夠有效地部署在這個
在這種情況下,必須從物理上擴展具有網絡訪問控制的安全連接
WAN 基礎架構到雲邊緣。例如,要在分支機構推出對 SASE 的訪問,
您可能會看到 SASE 依賴於物理網絡設備,例如無線(LTE 和 5G),以及



SASE 的目標是支持當今組織的動態、安全訪問需求。恰當的
SASE 服務允許組織將企業級安全性和網絡擴展到:

雲邊緣,遠程、離線用戶正在訪問網絡,以及


薄邊,如小型分支機構。


Fortinet 基於雲的 SASE 解決方案稱為 FortiSASE™。


感謝您抽出寶貴時間,請記得參加本課之後的測驗。
Be the First to comment.

Leave a Comment

發佈留言必須填寫的電子郵件地址不會公開。

(若看不到驗證碼,請重新整理網頁。)