“以史为鉴,可以知兴替”。WannaCry勒索软件5月12号开始肆虐全球,各厂商和众多用户加班加点奋斗了几个通宵。回顾这次影响深远的勒索软件爆发事件,各厂商解决方案和关联设备各有所指,其中端口关闭作为最基础的防御手段,就不再围观赘述。今天,我们一起来看看锐捷网络下一代防火墙在本次事件中,还通过了哪些有效方式对WannaCry勒索软件进行防御,保护了用户的信息安全。招术一:云沙盒
一直以来,网络上大量利用0day漏洞的攻击造成了重大危害,同时还有大量利用已知漏洞发起的新型攻击。在这些攻击爆发的第一阶段,由于安全设备还无法有效识别,大多情况下是不可能进行有效防护的,而这正是攻击行为最佳利用时期,此时沙盒技术就显示出其重要性了。锐捷网络云沙盒通过采集各地异常文件并进行大规模运行验证,可以发现真正的威胁攻击。本次锐捷网络就是通过云沙盒技术快速准确识别到了新型攻击WannaCry勒索软件及其特征。
招术二:病毒库
大量的攻击行为都是通过病毒文件来传播的,所以病毒防护能力成为了防火墙抵抗攻击的一个有效组成部分。由于有了云沙盒技术对新型攻击WannaCry勒索软件及其特征的识别,病毒爆发4个小时后,锐捷网络下一代防火墙基于行为特征模式完成了病毒库的更新,5月13日已经内置了15种针对wannaCry攻击的有效特征文件。防火墙进行病毒库升级后可以准确识别并阻断WannaCry勒索软件,并可以检测到可能的新的变种。
招术三:IPS特征库
今年3月微软披露了漏洞补丁后,锐捷网络针对漏洞进行了安全分析。截至5月10日已完成2次IPS特征库升级,并在这次WannaCry勒索软件爆发后明确检测到攻击行为。
招术四:网页过滤
通过锐捷安全团队研究及第三方合作,锐捷下一代防火墙提供并及时更新已知WannaCry勒索软件的非法网页链接。通过防火墙的web过滤功能,启用网页过滤引擎,可以有效阻止恶意软件的下载。
招术五:阻断勒索软件C&C服务器
锐捷下一代防火墙提供并及时更新已知WannaCry勒索软件的C&C服务器。通过防火墙内置的C&C 恶意IP列表,可以屏蔽中招的用户对这些非法的C&C服务器的访问,从而避免文件加密被勒索的悲剧发生。
最后,招术有了,内力是否足够?能否让招术真正发挥作用而不只是摆个花架子?
基于大家众所周知的原因,基于X86架构的防火墙启用IPS、SSL等应用层安全功能以后性能会急剧下降,在大流量环境下是不建议启用的,业内大量的下一代防火墙其实并没办法当成真正的下一代防火墙使用。但锐捷下一代防火墙采用CPU+定制ASIC芯片的硬件架构,可以通过定制芯片实现应用层安全的高性能,应用层安全不仅高性能,而且不影响网络层安全性能,让下一代防火墙成为真正的下一代防火墙。
