答案很簡(jiǎn)單：測試一下即可。

　　用戶(hù)及其憑證是任何企業(yè)安全基礎架構中最薄弱的環(huán)節之一。因此，阻止攻擊的關(guān)鍵首先在于防止竊取。

　　通過(guò)預防憑證竊取并阻止網(wǎng)絡(luò )釣魚(yú)攻擊，將減少針對企業(yè)的最普遍的攻擊形式之一的暴露風(fēng)險。采用基于機器學(xué)習分析的新一代防火墻可以提高防護措施的實(shí)施速度。如果分析將站點(diǎn)識別為惡意站點(diǎn)，應該更新企業(yè)的防火墻并阻截該站點(diǎn)。

　　攻擊者可以通過(guò)多種方式獲取竊取的憑證：網(wǎng)絡(luò )釣魚(yú)、惡意軟件、社交工程、暴力破解或黑市購買(mǎi)。一旦攻擊者獲得竊取的憑證，便可以濫用這些信息以進(jìn)入某個(gè)企業(yè)橫向移動(dòng)，并通過(guò)升級權限來(lái)訪(fǎng)問(wèn)未授權的應用和數據。

　　對企業(yè)的防火墻實(shí)施多重身份驗證 (MFA) 有助于防止攻擊者使用竊取的憑證橫向移動(dòng)。MFA 是一個(gè)很好的工具，作為防火墻策略的一部分， MFA 提高了實(shí)施速度，因為企業(yè)只需將MFA 集成到網(wǎng)絡(luò )策略中，而不需要更改應用本身。這樣可以更快地部署防護措施來(lái)滿(mǎn)足合規性要求。

　　當首先創(chuàng )建數據中心環(huán)境的安全策略并部署到防火墻時(shí)，假定分配的 IP 地址在策略的整個(gè)生命周期中保持不變。這些策略是靜態(tài)的，以通用方式覆蓋和應用。為了解決虛擬化數據中心的安全問(wèn)題，企業(yè)的防火墻安全策略應該基于工作負載的屬性，而不是綁定到靜態(tài) IP 地址，因為數據中心環(huán)境是高度動(dòng)態(tài)的。這可以通過(guò)新一代防火墻上的動(dòng)態(tài)地址組完成。

　　動(dòng)態(tài)地址組將安全策略與 IP 地址分離，并根據虛擬工作負載的屬性構建細化安全策略。針對防火墻的策略使用映射到工作負載屬性的標簽。這使企業(yè)可以構建綁定到工作負載的安全策略，從而增強安全狀態(tài)。動(dòng)態(tài)地址組通過(guò)降低應用和安全團隊之間的依賴(lài)性而減少了運營(yíng)開(kāi)銷(xiāo)。

　　為了響應業(yè)務(wù)需求，安全團隊需要足夠的靈活性，能夠通過(guò)集中式工具和在現場(chǎng)實(shí)時(shí)更改防火墻。為了最大程度減少在本地進(jìn)行更改的延遲，并使安全性符合企業(yè)的指導方針，企業(yè)的防火墻應支持完整管理所有防火墻功能，并為多個(gè)管理員提供基于角色的訪(fǎng)問(wèn)控制 (RBAC)。企業(yè)的本地防火墻管理器工具應支持集中式工具上的全部功能集以進(jìn)行本地管理，使本地團隊能夠按時(shí)完成各自的任務(wù)。

　　企業(yè)需要新一代防火墻，它提供單一的視圖來(lái)管理所有防火墻，無(wú)論其形式和位置如何。它通過(guò)簡(jiǎn)化安全策略的配置、部署和管理，降低了安全工作的復雜性。企業(yè)需要一個(gè)工具來(lái)關(guān)聯(lián)防火墻日志，以提供網(wǎng)絡(luò )和安全洞察并揭露惡意行為，這些行為通常會(huì )淹沒(méi)于海量的信息中。

　　新一代防火墻的各個(gè)功能專(zhuān)門(mén)針對解決特定網(wǎng)絡(luò )安全需求，同時(shí)幫助企業(yè)成長(cháng)而設計。

　　安全即插件已變?yōu)閭鹘y模型。如今的安全方案應該在早期階段與系統和流程集成，以避免復雜的、孤立的安全工具和控制系統的積聚。根據 Verizon 2019 年數據泄露調查報告，從攻擊者第一次采取行動(dòng)到資產(chǎn)初步受損的時(shí)間可以用分鐘來(lái)衡量。這意味著(zhù)企業(yè)需要能夠確保基礎設施的所有部分都能有效通信、快速自動(dòng)響應以識別已知和未知威脅的工具，并能夠在這些威脅的攻擊生命周期中更快地阻止它們。

　　自動(dòng)化和 API 使企業(yè)能夠在無(wú)需等待人工干預的情況下采取行動(dòng)來(lái)抵御威脅，縮短響應時(shí)間，并且如果以適當的方式與正確的工具配合使用，可以防止攻擊成功。一個(gè)提供自動(dòng)化和原生集成的 API 的安全供應商能夠幫助安全團隊擺脫基本的操作任務(wù)，專(zhuān)注于直接有利于企業(yè)的戰略性工作。減少人工干預能夠減少可避免的錯誤，最終實(shí)現更安全的安全狀態(tài)。

　　每年都會(huì )發(fā)現數百萬(wàn)個(gè)新的惡意軟件樣本和惡意網(wǎng)站。傳統的解決方案主要是在企業(yè)中的第一個(gè)受害者已經(jīng)受到損害后，針對新發(fā)現的威脅提供保護。現代威脅通常是根據大多數惡意軟件分析工具和管理程序所使用的開(kāi)源技術(shù)，從中獲取知識，進(jìn)而完成設計的。識別和防御規避型惡意軟件的能力比以往任何時(shí)候都更為重要。

　　大多數新式惡意軟件都會(huì )使用這些先進(jìn)技術(shù)，可以繞過(guò)傳統常見(jiàn)的網(wǎng)絡(luò )安全解決方案，通過(guò)網(wǎng)絡(luò )安全設備、防火墻和沙箱發(fā)現工具來(lái)傳輸攻擊或漏洞利用。雖然我們無(wú)法構建單獨的工具來(lái)檢測每一個(gè)規避型惡意軟件，但充分利用可以識別規避技術(shù)并自動(dòng)加以處置的系統是至關(guān)重要的。

　　Palo Alto Networks （派拓網(wǎng)絡(luò )）的新一代防火墻可以?

　　實(shí)現快速防御，提高效率，更好地運用專(zhuān)業(yè)人員的才智，改善企業(yè)的安全狀態(tài)。

　　防火墻能夠導入有關(guān)預定規則和策略的列表，使用后，允許防火墻針對列表中的對象進(jìn)行相應操作。將自動(dòng)化和動(dòng)態(tài)列表整合到新一代防火墻中，是提高企業(yè)安全狀態(tài)的最有效和最高效的方式。企業(yè)的新一代防火墻供應商通常會(huì )提供動(dòng)態(tài)列表，企業(yè)可以手動(dòng)或通過(guò)集成第三方威脅情報來(lái)更新這些列表。因此，只需對動(dòng)態(tài)列表進(jìn)行規則和策略更改，與動(dòng)態(tài)列表綁定的所有防火墻就會(huì )定期自動(dòng)導入最新更新的防護措施。

　　如今的攻擊類(lèi)型與存在風(fēng)險的設備數量都超過(guò)以往。網(wǎng)絡(luò )釣魚(yú)、憑證濫用、社交攻擊、拒絕服務(wù)、勒索軟件和后門(mén)或 C2 惡意軟件都構成了真正的威脅。

　　沒(méi)有任何一種安全產(chǎn)品能夠自行成功地抵御每種類(lèi)型的攻擊。攻擊生命周期中存在多個(gè)階段，因此，應設立多個(gè)防御層來(lái)阻止現代攻擊。多層防御是干擾潛在攻擊的最有效方法，安全架構的新增內容應對整個(gè)網(wǎng)絡(luò )的安全防護起到補充作用。

　　成功防御現代攻擊需要掌握對網(wǎng)絡(luò )流量和應用實(shí)施情況的可視性，及各種基于用戶(hù)和內容的策略，不存在萬(wàn)無(wú)一失的解決之道，對于有能力在企業(yè)內完成整個(gè)攻擊生命周期的過(guò)渡的攻擊，超越其攻擊速度實(shí)施保護的唯一辦法就是自動(dòng)化。為了有效預防，企業(yè)必須使用自動(dòng)化并在各種安全工具之間共享信息，減少物聯(lián)網(wǎng)安全風(fēng)險暴露。

　　如今，用戶(hù)的移動(dòng)性和分散性越來(lái)越高，經(jīng)常需要從全球各地對應用進(jìn)行遠程訪(fǎng)問(wèn)。隨著(zhù)應用遷移到云端，分支機構的位置需要與總部相同的連接性和安全性。

　　現在，分布式企業(yè)必須使用軟件定義廣域網(wǎng) (SD-WAN)。這種方法采用商品鏈接，支持智能管理和控制分支機構與云實(shí)例之間的連接。新一代防火墻必須能夠作為分支位置的 SD-WAN 邊緣設備和中心位置的 SD-WAN 中心運行。SD-WAN 功能應易于啟用，并在單個(gè)網(wǎng)絡(luò )安全管理界面上集中管理。

　　借助 SD-WAN，每個(gè)設備都得到集中管理，采用基于應用策略的路由，因此 WAN 管理器可以根據網(wǎng)絡(luò )需求的變化實(shí)時(shí)創(chuàng )建和更新安全規則。企業(yè)應該在用戶(hù)工作的任何地方提供同等水平的安全保護，不受內部或外部限制。部署選項應具備靈活性，以一致覆蓋所有用戶(hù)和所有位置。這樣，無(wú)論用戶(hù)身在何處，都能夠輕松地連接到云服務(wù)或防火墻，從而針對已知和未知威脅獲得同等的安全保護。

　　把用戶(hù)分為“可信”或“不可信”的舊網(wǎng)絡(luò )安全方法已經(jīng)不再有效。保護現代網(wǎng)絡(luò )安全的最有效方法是采用零信任方法，強制實(shí)施最小特權訪(fǎng)問(wèn)，并檢查所有位置的所有用戶(hù)、設備、內容和應用。零信任不是讓系統可信，而是消除信任。其核心原則是“永不信任，始終驗證”。

　　零信任方法為企業(yè)提供了構建分段網(wǎng)絡(luò )的路線(xiàn)圖。零信任可以作為一種強大的防護策略在整個(gè)企業(yè)（從網(wǎng)絡(luò )到端點(diǎn)和云）中實(shí)施。通過(guò)集成的方法，安全團隊可以在整個(gè)企業(yè)中從創(chuàng )建和管理到部署和維護，自動(dòng)化和簡(jiǎn)化零信任策略管理。

　　零信任的一個(gè)標準是借助作為分段網(wǎng)關(guān)的新一代防火墻的第 7 層策略和實(shí)施。新一代防火墻能夠實(shí)現邊界的微分段，并充當執行點(diǎn)以及傳感器網(wǎng)絡(luò )，以便全面了解企業(yè)的流量。

　　新的新一代防火墻和組成安全基礎設施的各種安全產(chǎn)品應該是全面的，包括最佳技術(shù)、運行效率、經(jīng)驗豐富、響應迅速的服務(wù)團隊。

　　《選擇新一代防火墻時(shí)需要測試的 10 個(gè)問(wèn)題》作為跨職能對話(huà)的指導方針，使用這些指南有助于企業(yè)擴展自己的視角，以新的方式來(lái)審視新一代防火墻，確定企業(yè)的潛在安全投資能夠輕松部署，減輕運營(yíng)負擔，以及在現在和未來(lái)為企業(yè)帶來(lái)最佳的防護和價(jià)值。

　　白皮書(shū)內還有10個(gè)問(wèn)題的精華解析

　　以及專(zhuān)業(yè)建議的 RFP 問(wèn)題

　　想下載完整版白皮書(shū)信息：https://start.paloaltonetworks.cn/10-things-to-test-NGFW?CampaignId=7014u000001dMmdAAE&referer=null&utm_content=Palo+Alto+Networks+CN&utm_medium=social&utm_source=FY21+Q1+10+Things+to+Test+in+Your+Future+NGFW