答案很簡(jiǎn)單：測(cè)試一下即可。

　　用戶及其憑證是任何企業(yè)安全基礎(chǔ)架構(gòu)中最薄弱的環(huán)節(jié)之一。因此，阻止攻擊的關(guān)鍵首先在于防止竊取。

　　通過(guò)預(yù)防憑證竊取并阻止網(wǎng)絡(luò)釣魚攻擊，將減少針對(duì)企業(yè)的最普遍的攻擊形式之一的暴露風(fēng)險(xiǎn)。采用基于機(jī)器學(xué)習(xí)分析的新一代防火墻可以提高防護(hù)措施的實(shí)施速度。如果分析將站點(diǎn)識(shí)別為惡意站點(diǎn)，應(yīng)該更新企業(yè)的防火墻并阻截該站點(diǎn)。

　　攻擊者可以通過(guò)多種方式獲取竊取的憑證：網(wǎng)絡(luò)釣魚、惡意軟件、社交工程、暴力破解或黑市購(gòu)買。一旦攻擊者獲得竊取的憑證，便可以濫用這些信息以進(jìn)入某個(gè)企業(yè)橫向移動(dòng)，并通過(guò)升級(jí)權(quán)限來(lái)訪問(wèn)未授權(quán)的應(yīng)用和數(shù)據(jù)。

　　對(duì)企業(yè)的防火墻實(shí)施多重身份驗(yàn)證 (MFA) 有助于防止攻擊者使用竊取的憑證橫向移動(dòng)。MFA 是一個(gè)很好的工具，作為防火墻策略的一部分， MFA 提高了實(shí)施速度，因?yàn)槠髽I(yè)只需將MFA 集成到網(wǎng)絡(luò)策略中，而不需要更改應(yīng)用本身。這樣可以更快地部署防護(hù)措施來(lái)滿足合規(guī)性要求。

　　當(dāng)首先創(chuàng)建數(shù)據(jù)中心環(huán)境的安全策略并部署到防火墻時(shí)，假定分配的 IP 地址在策略的整個(gè)生命周期中保持不變。這些策略是靜態(tài)的，以通用方式覆蓋和應(yīng)用。為了解決虛擬化數(shù)據(jù)中心的安全問(wèn)題，企業(yè)的防火墻安全策略應(yīng)該基于工作負(fù)載的屬性，而不是綁定到靜態(tài) IP 地址，因?yàn)閿?shù)據(jù)中心環(huán)境是高度動(dòng)態(tài)的。這可以通過(guò)新一代防火墻上的動(dòng)態(tài)地址組完成。

　　動(dòng)態(tài)地址組將安全策略與 IP 地址分離，并根據(jù)虛擬工作負(fù)載的屬性構(gòu)建細(xì)化安全策略。針對(duì)防火墻的策略使用映射到工作負(fù)載屬性的標(biāo)簽。這使企業(yè)可以構(gòu)建綁定到工作負(fù)載的安全策略，從而增強(qiáng)安全狀態(tài)。動(dòng)態(tài)地址組通過(guò)降低應(yīng)用和安全團(tuán)隊(duì)之間的依賴性而減少了運(yùn)營(yíng)開(kāi)銷。

　　為了響應(yīng)業(yè)務(wù)需求，安全團(tuán)隊(duì)需要足夠的靈活性，能夠通過(guò)集中式工具和在現(xiàn)場(chǎng)實(shí)時(shí)更改防火墻。為了最大程度減少在本地進(jìn)行更改的延遲，并使安全性符合企業(yè)的指導(dǎo)方針，企業(yè)的防火墻應(yīng)支持完整管理所有防火墻功能，并為多個(gè)管理員提供基于角色的訪問(wèn)控制 (RBAC)。企業(yè)的本地防火墻管理器工具應(yīng)支持集中式工具上的全部功能集以進(jìn)行本地管理，使本地團(tuán)隊(duì)能夠按時(shí)完成各自的任務(wù)。

　　企業(yè)需要新一代防火墻，它提供單一的視圖來(lái)管理所有防火墻，無(wú)論其形式和位置如何。它通過(guò)簡(jiǎn)化安全策略的配置、部署和管理，降低了安全工作的復(fù)雜性。企業(yè)需要一個(gè)工具來(lái)關(guān)聯(lián)防火墻日志，以提供網(wǎng)絡(luò)和安全洞察并揭露惡意行為，這些行為通常會(huì)淹沒(méi)于海量的信息中。

　　新一代防火墻的各個(gè)功能專門針對(duì)解決特定網(wǎng)絡(luò)安全需求，同時(shí)幫助企業(yè)成長(zhǎng)而設(shè)計(jì)。

　　安全即插件已變?yōu)閭鹘y(tǒng)模型。如今的安全方案應(yīng)該在早期階段與系統(tǒng)和流程集成，以避免復(fù)雜的、孤立的安全工具和控制系統(tǒng)的積聚。根據(jù) Verizon 2019 年數(shù)據(jù)泄露調(diào)查報(bào)告，從攻擊者第一次采取行動(dòng)到資產(chǎn)初步受損的時(shí)間可以用分鐘來(lái)衡量。這意味著企業(yè)需要能夠確�；�礎(chǔ)設(shè)施的所有部分都能有效通信、快速自動(dòng)響應(yīng)以識(shí)別已知和未知威脅的工具，并能夠在這些威脅的攻擊生命周期中更快地阻止它們。

　　自動(dòng)化和 API 使企業(yè)能夠在無(wú)需等待人工干預(yù)的情況下采取行動(dòng)來(lái)抵御威脅，縮短響應(yīng)時(shí)間，并且如果以適當(dāng)?shù)姆绞脚c正確的工具配合使用，可以防止攻擊成功。一個(gè)提供自動(dòng)化和原生集成的 API 的安全供應(yīng)商能夠幫助安全團(tuán)隊(duì)擺脫基本的操作任務(wù)，專注于直接有利于企業(yè)的戰(zhàn)略性工作。減少人工干預(yù)能夠減少可避免的錯(cuò)誤，最終實(shí)現(xiàn)更安全的安全狀態(tài)。

　　每年都會(huì)發(fā)現(xiàn)數(shù)百萬(wàn)個(gè)新的惡意軟件樣本和惡意網(wǎng)站。傳統(tǒng)的解決方案主要是在企業(yè)中的第一個(gè)受害者已經(jīng)受到損害后，針對(duì)新發(fā)現(xiàn)的威脅提供保護(hù)。現(xiàn)代威脅通常是根據(jù)大多數(shù)惡意軟件分析工具和管理程序所使用的開(kāi)源技術(shù)，從中獲取知識(shí)，進(jìn)而完成設(shè)計(jì)的。識(shí)別和防御規(guī)避型惡意軟件的能力比以往任何時(shí)候都更為重要。

　　大多數(shù)新式惡意軟件都會(huì)使用這些先進(jìn)技術(shù)，可以繞過(guò)傳統(tǒng)常見(jiàn)的網(wǎng)絡(luò)安全解決方案，通過(guò)網(wǎng)絡(luò)安全設(shè)備、防火墻和沙箱發(fā)現(xiàn)工具來(lái)傳輸攻擊或漏洞利用。雖然我們無(wú)法構(gòu)建單獨(dú)的工具來(lái)檢測(cè)每一個(gè)規(guī)避型惡意軟件，但充分利用可以識(shí)別規(guī)避技術(shù)并自動(dòng)加以處置的系統(tǒng)是至關(guān)重要的。

　　Palo Alto Networks （派拓網(wǎng)絡(luò)）的新一代防火墻可以?

　　實(shí)現(xiàn)快速防御，提高效率，更好地運(yùn)用專業(yè)人員的才智，改善企業(yè)的安全狀態(tài)。

　　防火墻能夠?qū)�入有關(guān)預(yù)定規(guī)則和策略的列表，使用后，允許防火墻針對(duì)列表中的對(duì)象進(jìn)行相應(yīng)操作。將自動(dòng)化和動(dòng)態(tài)列表整合到新一代防火墻中，是提高企業(yè)安全狀態(tài)的最有效和最高效的方式。企業(yè)的新一代防火墻供應(yīng)商通常會(huì)提供動(dòng)態(tài)列表，企業(yè)可以手動(dòng)或通過(guò)集成第三方威脅情報(bào)來(lái)更新這些列表。因此，只需對(duì)動(dòng)態(tài)列表進(jìn)行規(guī)則和策略更改，與動(dòng)態(tài)列表綁定的所有防火墻就會(huì)定期自動(dòng)導(dǎo)入最新更新的防護(hù)措施。

　　如今的攻擊類型與存在風(fēng)險(xiǎn)的設(shè)備數(shù)量都超過(guò)以往。網(wǎng)絡(luò)釣魚、憑證濫用、社交攻擊、拒絕服務(wù)、勒索軟件和后門或 C2 惡意軟件都構(gòu)成了真正的威脅。

　　沒(méi)有任何一種安全產(chǎn)品能夠自行成功地抵御每種類型的攻擊。攻擊生命周期中存在多個(gè)階段，因此，應(yīng)設(shè)立多個(gè)防御層來(lái)阻止現(xiàn)代攻擊。多層防御是干擾潛在攻擊的最有效方法，安全架構(gòu)的新增內(nèi)容應(yīng)對(duì)整個(gè)網(wǎng)絡(luò)的安全防護(hù)起到補(bǔ)充作用。

　　成功防御現(xiàn)代攻擊需要掌握對(duì)網(wǎng)絡(luò)流量和應(yīng)用實(shí)施情況的可視性，及各種基于用戶和內(nèi)容的策略，不存在萬(wàn)無(wú)一失的解決之道，對(duì)于有能力在企業(yè)內(nèi)完成整個(gè)攻擊生命周期的過(guò)渡的攻擊，超越其攻擊速度實(shí)施保護(hù)的唯一辦法就是自動(dòng)化。為了有效預(yù)防，企業(yè)必須使用自動(dòng)化并在各種安全工具之間共享信息，減少物聯(lián)網(wǎng)安全風(fēng)險(xiǎn)暴露。

　　如今，用戶的移動(dòng)性和分散性越來(lái)越高，經(jīng)常需要從全球各地對(duì)應(yīng)用進(jìn)行遠(yuǎn)程訪問(wèn)。隨著應(yīng)用遷移到云端，分支機(jī)構(gòu)的位置需要與總部相同的連接性和安全性。

　　現(xiàn)在，分布式企業(yè)必須使用軟件定義廣域網(wǎng) (SD-WAN)。這種方法采用商品鏈接，支持智能管理和控制分支機(jī)構(gòu)與云實(shí)例之間的連接。新一代防火墻必須能夠作為分支位置的 SD-WAN 邊緣設(shè)備和中心位置的 SD-WAN 中心運(yùn)行。SD-WAN 功能應(yīng)易于啟用，并在單個(gè)網(wǎng)絡(luò)安全管理界面上集中管理。

　　借助 SD-WAN，每個(gè)設(shè)備都得到集中管理，采用基于應(yīng)用策略的路由，因此 WAN 管理器可以根據(jù)網(wǎng)絡(luò)需求的變化實(shí)時(shí)創(chuàng)建和更新安全規(guī)則。企業(yè)應(yīng)該在用戶工作的任何地方提供同等水平的安全保護(hù)，不受內(nèi)部或外部限制。部署選項(xiàng)應(yīng)具備靈活性，以一致覆蓋所有用戶和所有位置。這樣，無(wú)論用戶身在何處，都能夠輕松地連接到云服務(wù)或防火墻，從而針對(duì)已知和未知威脅獲得同等的安全保護(hù)。

　　把用戶分為“可信”或“不可信”的舊網(wǎng)絡(luò)安全方法已經(jīng)不再有效。保護(hù)現(xiàn)代網(wǎng)絡(luò)安全的最有效方法是采用零信任方法，強(qiáng)制實(shí)施最小特權(quán)訪問(wèn)，并檢查所有位置的所有用戶、設(shè)備、內(nèi)容和應(yīng)用。零信任不是讓系統(tǒng)可信，而是消除信任。其核心原則是“永不信任，始終驗(yàn)證”。

　　零信任方法為企業(yè)提供了構(gòu)建分段網(wǎng)絡(luò)的路線圖。零信任可以作為一種強(qiáng)大的防護(hù)策略在整個(gè)企業(yè)（從網(wǎng)絡(luò)到端點(diǎn)和云）中實(shí)施。通過(guò)集成的方法，安全團(tuán)隊(duì)可以在整個(gè)企業(yè)中從創(chuàng)建和管理到部署和維護(hù)，自動(dòng)化和簡(jiǎn)化零信任策略管理。

　　零信任的一個(gè)標(biāo)準(zhǔn)是借助作為分段網(wǎng)關(guān)的新一代防火墻的第 7 層策略和實(shí)施。新一代防火墻能夠?qū)崿F(xiàn)邊界的微分段，并充當(dāng)執(zhí)行點(diǎn)以及傳感器網(wǎng)絡(luò)，以便全面了解企業(yè)的流量。

　　新的新一代防火墻和組成安全基礎(chǔ)設(shè)施的各種安全產(chǎn)品應(yīng)該是全面的，包括最佳技術(shù)、運(yùn)行效率、經(jīng)驗(yàn)豐富、響應(yīng)迅速的服務(wù)團(tuán)隊(duì)。

　　《選擇新一代防火墻時(shí)需要測(cè)試的 10 個(gè)問(wèn)題》作為跨職能對(duì)話的指導(dǎo)方針，使用這些指南有助于企業(yè)擴(kuò)展自己的視角，以新的方式來(lái)審視新一代防火墻，確定企業(yè)的潛在安全投資能夠輕松部署，減輕運(yùn)營(yíng)負(fù)擔(dān)，以及在現(xiàn)在和未來(lái)為企業(yè)帶來(lái)最佳的防護(hù)和價(jià)值。

　　白皮書內(nèi)還有10個(gè)問(wèn)題的精華解析

　　以及專業(yè)建議的 RFP 問(wèn)題

　　想下載完整版白皮書信息：https://start.paloaltonetworks.cn/10-things-to-test-NGFW?CampaignId=7014u000001dMmdAAE&referer=null&utm_content=Palo+Alto+Networks+CN&utm_medium=social&utm_source=FY21+Q1+10+Things+to+Test+in+Your+Future+NGFW