上周，业界知名下一代防火墙厂商Palo Alto Networks在中国正式发布了其下一代安全平台PAN-OS 8.0版本的新增功能。此次版本更新共有70多个全新安全功能引入，覆盖凭证泄露、恶意软件分析、云安全等领域。

今年2月初，安全牛发布过一篇关于此次版本更新和硬件升级（提高对SSL流量的解密分析性能）的简短报道（《Palo Alto 大动作 新型防火墙上线》）。而本文将聚焦PAN-OS 8.0在反钓鱼、凭证数据拦截、多元威胁防御等领域，为其下一代防火墙和云端沙箱(WildFire)这两款安全产品的带来的重要能力提升。

一、反钓鱼

个人凭证泄露的原因，经常是员工收到迷惑性邮件而误入钓鱼站点，主要防范思路是通过钓鱼链接识别，用户凭证数据拦截以及网络层多因子认证这三种方式，在凭证泄露的前、中、后期三个阶段实现对企业关键系统和敏感数据的访问控制。

在钓鱼链接识别方面，各家安全厂商思路比较一致，均为依赖其自身积累或接入第三方威胁情报库对可疑链接进行查询，匹配成功后进行告警。Palo Alto Networks方案的核心有二，一是云端沙箱的快速检测和与其下一代防火墙产品联动并自动化响应。二是无差别共享全球所有Palo Alto Networks客户所遇到的威胁数据。PAN-DB每隔5分钟便会自动对其全球部署的所有设备进行恶意软件、钓鱼链接等数据的更新，阻断用户对这些站点的访问请求。

二、凭证数据拦截

如果用户已经将凭证提交，网络层面的流量拦截则会是发生泄露前的唯一希望。

在用户已经访问钓鱼站点并进行凭证提交时，下一代防火墙可以识别网络流量中用户凭证数据的传输路径，并根据策略进行告警甚至阻断，阻止凭证外泄。

但是，近两年的安全态势表明，数据泄露不可避免。光是及时察觉并确认哪些数据已经泄露，企业仅凭一己之力就已经很难做到。除了定期监测公网甚至黑市的数据泄露情况外，企业也必须做好内部员工凭证泄露后被网络犯罪者滥用的准备。

三、下一代防火墙的多因子认证

如果已泄露内部员工凭证被攻击者恶意使用，那么对内部系统或敏感数据的访问进行多因子认证，是目前加强访问控制的最有效手段。

但是，考虑到企业复杂且高效的办公环境，如果将所有内部系统或关键云端应用均强制进行多因子认证，重复操作不仅会让员工的工作变得低效，企业还要蒙受人力成本的损失。这也是企业最不想看到的，所以企业多会选择放弃这项安全策略，或者只针对某些关键业务系统的特权账号进行严加管控。

此次PAN操作系统的更新，要通过下一代防火墙的一次性多因子认证对高危用户的访问行为进行控制。

为了将下一代防火墙作为代理并执行其内置的多因子认证策略，免去员工多应用分别认证的复杂性，Palo Alto Networks分别在网络级别、身份验证及身份管理框架上，与多个下一代身份访问管理供应商，如Okta、Ping Identity等进行策略执行工具的整合，并进行集中式策略配置和管理。在安全性和用户体验便捷性的矛盾中，此次Palo Alto Networks似乎找到了一个更为恰当的平衡点。

四、多元威胁防御

在威胁防御方面，此次PAN-OS能力提升的亮点集中在防虚机逃逸、自动化的C2服务器签名生成以及与业界第三方威胁情报的集成这三方方面。

1. 裸机分析防虚机逃逸

几乎业内任何一家安全厂商都是从普通的开源虚拟化技术起家，所以虽然技术复杂，但是对于有利可图的攻击者而言，对部分安全厂商虚机实现逃逸并不是件难事。

从2016年起，Palo Alto Networks便在其云端沙箱(WildFire)的静态分析能力中引入了机器学习，以发现已知恶意软件的变种；之后实现的动态分析能力，则侧重于对未知威胁和零日攻击的揭示。而此次其下一代安全平台PAN-OS的8.0更新版本，则在动态分析能力中引入100%定制化反逃逸恶意软件分析程序的同时，还试图通过“启发式引擎”将那些具备高逃逸性的恶意软件导入纯化硬件环境（裸机）并诱发其攻击行为，以提升其沙箱对恶意软件反逃逸检测能力。

2. C2服务器签名自动生成

除了加入反虚机逃逸检测能力外，此次更新还在C2服务器规模化防御方面，着重提升了企业安全分析师的工作效率。

过去，企业安全研究人员存在对网络流量的分析难以完全覆盖，且人力不足等情况。C2服务器的有效载荷签名对安全人员的防护工作至关重要，但是企业却不得不在安全防护的速度和质量间权衡。

而Palo Alto Networks在其安全平台中整合了专用的有效载荷签名生成引擎，通过云端沙箱和威胁情报云，对C2服务的有效载荷自动提取并全球更新，以实现对内网存在的攻击者C2服务器访问请求和连接流量实现更快速的中断和响应。

3. 平台化的威胁情报集成以及与本地设备联动

AutoFocus是Palo Alto Networks的一个汇集全球威胁情报的平台。客户可以从其上获得最新的IOC资讯。同时AutoFocus还是一个专家分析服务平台，可以帮助汇总安全事件并分析攻击行为、评估影响。

利用MineMeld，第三方供应商可以将其威胁情报与AutoFocus平台进行无缝集成，并和用户侧Palo Alto Networks设备或其它第三方安全厂商（如：Splunk）进行自动化的联动防护；而企业安全运维团队也可以通过AutoFocus平台获取多个数据源，加速全部威胁情报的整理分析，创建自定义字段，自动快速变更其下一代防火墙、SIEM类产品策略配置，并通过资产管理产品通知SOC运营人员。

总结

Palo Alto Networks作为世界领先的下一代防火墙安全厂商，其全力打造的安全平台的能力，经过此次重要版本更新后，更受业内瞩目。下一代防火墙，威胁情报云，和以Traps为代表的终端安全是Palo Alto Networks安全能力的三个核心支柱，虽然PAN-OS 8.0目前未能将其全部打通，但却已经将其在下一代防火墙和威胁情报方面的优势做了深度融合。

不难看出，利用云端威胁情报汇集的优势联动用户本地安全设备，并以平台的方式面向客户输出安全能力，是目前Palo Alto Networks的核心思路。

另外，在收并购方面，Palo Alto Networks于今年2月末对外宣布，以1.05亿美元现金收购了针对下一代防火墙产品提供高度自动化且精准的行为分析能力厂商LightCyber。LightCyber之前处于Gartner自动化行为分析魔力象限的领导者位置，旨在通过机器学习进行异常行为的识别并定位攻击。