FIREWALL CONTROL – FEATURE SPOTLIGHT

請想像以下故事情節：IT 獲取有效情報，指示特定的網路釣魚 URL 正在全局掃描憑據。為了保護網路上的用戶，管理員立即向網路防火牆添加規則以阻止 URL 。但那些不在防火牆後的遠端用戶呢？如果 perimeter 保護失敗或被規避怎麼辦？

端點防火牆控制通過管理與每個端點之間的允許通信來應對這些挑戰。它允許管理員控制和實施策略。

​為什麼？
我們在 SentinelOne agent 中建立此功能有 4 個原因：

1.  能見度
據 SentinelOne Ransomware 調查顯示，在過去12個月中，遭受勒索軟體攻擊的企業中，近十分之七（69％）的人表示攻擊者能夠通過電子郵件或社交媒體進行網路釣魚，從而獲得對其企業網路的訪問權限。大約五分之二的受訪者表示，通過點擊受感染網站（44％）導致的下載驅動獲得了訪問權限。這清楚地表明網路是最普遍的感染來源。為了使事情更具挑戰性，大多數網路流量都經過加密，從而提高了隱私性，​​但卻消除了網路防火牆超出 header 的選項。同時，越來越多的用戶處於遠端的狀態，使得網路防火牆無法提供防禦屏蔽。您的用戶可以在任何地方工作，而唯一可以確定的是他們是使用他們的端點設備。
​
最佳的答案是通過使用網路控制處理與網路相關的感染來增加資產保護。SentinelOne Deep Visibility功能的一部分可查看所有流量，該功能還支持對加密流量的可見性。

2.  惡意軟體預防
對於惡意攻擊者，網路流量有兩個主要原因：

• 大多數惡意軟體感染都會嘗試連接到 Command & Control（C2）伺服器以建立遠端控製或洩露數據。

• 勒索軟體通常將加密密鑰存儲在遠端伺服器上以增加支付的機會。

3.  預防企業數據遺失
防火牆控制可以阻止未經授權的數據傳輸到企業網路內外的所有端點。這樣可以降低資產洩漏數據的風險。當惡意軟體和/或惡意行為者從電腦執行未經授權的數據傳輸時，就會發生數據竊取。惡意軟體通常會試圖保持未被發現並刪掉個人數據，無論是敲詐勒索還是間諜活動。例如，今年早些時候，我們得知特斯拉員工編寫軟體來定期導出數 gigabytes 的專有數據並將其匯集到組織外部並分享出去。網路訪問控制是可以防止這種損失。

4.  符合法規
由於防火牆控制提供了另一種降低企業風險的措施，它可以幫助您的企業實現需要網路訪問控制的合規性。

易於管理
向平台添加功能始終是一個理想的舉動，但它不能犧牲可用性來做為代價。建立一個需要經過嚴格培訓的人員來管理的產品可能會解決一些客戶的需求，但這會產生另一個問題。您仍然可以看到那些產品未正確配置或由於使用困難而無法有效監控的情況。結果是複雜的產品無法解決他們想要解決的問題。在防火牆控制的情況下，我們實施了一種簡單基於規則的體驗，提供了靈活性而沒有複雜性。

​Demo
在此 Demo 中，您可以看到如何使用防火牆控制來阻止網路釣魚的嘗試。

​Take Away

資安不僅僅是防止惡意軟體。整個網路的良好乾淨狀況有助於在戰鬥之前贏得戰鬥。端點防火牆控制是分層安全模型的重要組成部分。保護網路流量對 SentinelOne 來說並不陌生。我們已經看到許多嘗試過的攻擊，並對其進行了自動響應。平台的強大之處在於您可以在一個自動 Agent 中獲得所有這些功能 - 無需額外安裝。

Firewall Control is supported starting with 2.8 agents (with Eiffel console) and is part of the SentinelOne “Complete” offering.

原文