[go: up one dir, main page]
More Web Proxy on the site http://driver.im/

CN111295640B - 使用会话app id和端点进程id相关性的精细粒度防火墙策略实施 - Google Patents

使用会话app id和端点进程id相关性的精细粒度防火墙策略实施 Download PDF

Info

Publication number
CN111295640B
CN111295640B CN201880072875.9A CN201880072875A CN111295640B CN 111295640 B CN111295640 B CN 111295640B CN 201880072875 A CN201880072875 A CN 201880072875A CN 111295640 B CN111295640 B CN 111295640B
Authority
CN
China
Prior art keywords
network
session
information
app
security
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201880072875.9A
Other languages
English (en)
Other versions
CN111295640A (zh
Inventor
R.E.阿什利
H.Y.林
R.特什
X.金
P.T.马蒂森
Q.李
T.埃特马
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Palo Alto Networks Inc
Original Assignee
Palo Alto Networks Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Priority claimed from US15/705,512 external-priority patent/US10855656B2/en
Priority claimed from US15/705,516 external-priority patent/US10931637B2/en
Application filed by Palo Alto Networks Inc filed Critical Palo Alto Networks Inc
Publication of CN111295640A publication Critical patent/CN111295640A/zh
Application granted granted Critical
Publication of CN111295640B publication Critical patent/CN111295640B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/554Detecting local intrusion or implementing counter-measures involving event detection and direct action
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/145Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

公开了用于使用会话APP ID和端点进程ID相关性的精细粒度防火墙策略实施的技术。在一些实施例中,一种用于使用会话APP ID和端点进程ID相关性的精细粒度防火墙策略实施的系统/过程/计算机程序产品包括:在企业网络上的网络设备处,从在端点(EP)设备上执行的EP代理接收进程标识(ID)信息,其中,所述进程标识信息标识从企业网络上的EP设备发起网络会话的进程;在所述网络设备处监视与所述网络会话相关联的网络通信,以识别所述网络会话的应用标识(APP ID);以及使用进程ID信息和APP ID基于安全策略实施动作。

Description

使用会话APP ID和端点进程ID相关性的精细粒度防火墙策略 实施
背景技术
防火墙通常保护网络不受未授权的访问,同时准许授权的通信通过防火墙。防火墙通常是为网络访问提供防火墙功能的一个设备或一组设备,或者在诸如计算机的设备上执行的软件。例如,防火墙可以整合到设备(例如,计算机、智能电话、平板电脑或其他类型的具有网络通信能力的设备)的操作系统中。防火墙还可以整合到计算机服务器、网关、网络/路由设备(例如,网络路由器)或数据装置(例如,安全装置或其他类型的专用设备)中或作为软件在计算机服务器、网关、网络/路由设备(例如,网络路由器)或数据装置(例如,安全装置或其他类型的专用设备)上执行。
防火墙通常基于一组规则拒绝或准许网络传输。这些规则集通常被称为策略。例如,防火墙可以通过应用一组规则或策略来过滤入站业务。防火墙还可以通过应用一组规则或策略来过滤出站业务。防火墙还可以能够执行基本的路由功能。
附图说明
在以下详细描述和附图中公开了本发明的各种实施例。
图1是根据一些实施例的可以用于提供精细粒度策略实施和/或基于进程风险的出站/入站横向业务踢出(punting)的网络设备的架构的图。
图2是根据一些实施例的可以用于提供精细粒度策略实施和/或基于进程风险的出站/入站横向业务踢出的网络架构的图。
图3是图示根据一些实施例的用于提供精细粒度策略实施和/或基于进程风险的出站/入站横向业务踢出的另一网络架构的图。
图4是根据一些实施例的用于提供精细粒度策略实施和/或基于进程风险的出站/入站横向业务踢出的网络设备的硬件组件的图。
图5是根据一些实施例的用于提供精细粒度策略实施和/或基于进程风险的出站/入站横向业务踢出的网络设备的逻辑组件的图。
图6是根据一些实施例的用于提供精细粒度策略实施和/或基于进程风险的出站/入站横向业务踢出的整合的安全解决方案的网络架构的图。
图7是根据一些实施例的用于执行精细粒度策略实施的流程图。
图8是根据一些实施例的用于执行精细粒度策略实施的另一流程图。
图9是根据一些实施例的用于基于进程风险执行出站/入站横向业务踢出的流程图。
图10是根据一些实施例的用于基于进程风险执行出站/入站横向业务踢出的另一流程图。
具体实施方式
本发明可以以多种方式实施,包括作为过程;装置;系统;物质组合物;在计算机可读存储介质上实现的计算机程序产品;和/或处理器,诸如被配置为执行存储在耦合到处理器的存储器上和/或由耦合到处理器的存储器提供的指令的处理器。在本说明书中,这些实现方式或者本发明可以采取的任何其他形式可以被称为技术。通常,在本发明的范围内,可以改变所公开的过程的步骤的顺序。除非另外说明,否则被描述为被配置为执行任务的诸如处理器或存储器的组件可以被实现为临时被配置为在给定时间执行任务的通用组件或被制造为执行该任务的特定组件。如本文所使用的,术语"处理器"是指被配置为处理诸如计算机程序指令之类的数据的一个或多个设备、电路和/或处理核。
下面提供本发明的一个或多个实施例的详细描述连同图示本发明原理的附图。结合这样的实施例描述本发明,但本发明不限于任何实施例。本发明的范围仅由权利要求书限制,并且本发明包含许多替代、修改和等同物。在以下描述中阐述了许多具体细节,以便提供对本发明的透彻理解。这些细节是出于示例的目的而提供的,并且本发明可以根据权利要求来实施,而不需要这些具体细节中的一些或全部。为了清楚起见,没有详细描述与本发明相关的技术领域中已知的技术材料,以便不会不必要地模糊本发明。
防火墙通常保护网络不受未授权的访问,同时准许授权的通信通过防火墙。防火墙通常是为网络访问提供防火墙功能的一个设备、一组设备或在设备上执行的软件。例如,防火墙可以整合到设备(例如,计算机、智能电话、平板电脑或其他类型的具有网络通信能力的设备)的操作系统中。防火墙还可以被整合到各种类型的设备或安全设备中或作为软件应用在各种类型的设备或安全设备上执行,所述设备或安全设备诸如计算机服务器、网关、网络/路由设备(例如,网络路由器)或数据装置(例如,安全装置或其他类型的专用设备)。
防火墙通常基于一组规则来拒绝或准许网络传输。这样的规则集通常被称为策略(例如,安全策略,其还可以包括网络策略和/或网络安全策略)。例如,防火墙可以通过应用一组规则或策略来过滤入站业务,以防止不想要的外部业务到达受保护设备。防火墙还可以通过应用一组规则或策略(例如,可以在防火墙规则或防火墙策略中指定允许、阻止、监视、通知、记录和/或其他动作,其可以基于诸如本文所述的各种标准来触发)来过滤出站业务。
安全设备(例如,安全装置、安全网关、安全服务和/或其他安全设备)可以包括各种安全功能(例如,防火墙、反恶意软件、入侵预防/检测和/或其他安全功能)、联网功能(例如,路由、服务质量(QoS)、网络相关资源的工作负载平衡和/或其他联网功能)和/或其他功能。例如,路由功能可以基于源信息(例如,IP地址和端口)、目的地信息(例如,IP地址和端口)以及协议信息。
基本分组过滤防火墙通过检查在网络上传输的单独的分组来过滤网络通信业务(例如,分组过滤防火墙或第一代防火墙,它们是无状态分组过滤防火墙)。无状态分组过滤防火墙通常检查单独的分组本身,并基于所检查的分组来应用规则(例如,使用分组的源和目的地地址信息、协议信息和端口号的组合)。
应用防火墙还可以执行应用层过滤(例如,在TCP/IP栈的应用级上工作的应用层过滤防火墙或第二代防火墙)。应用层过滤防火墙或应用防火墙通常可以识别某些应用和协议(例如,使用超文本传输协议(HTTP)的web(网络)浏览、域名系统(DNS)请求、使用文件传输协议(FTP)的文件传输、以及各种其他类型的应用和其他协议,诸如Telnet、DHCP、TCP、UDP和TFTP(GSS))。例如,应用防火墙可以阻挡试图通过标准端口通信的未授权协议(例如,通常可以使用应用防火墙来识别试图通过使用该协议的非标准端口潜行的未授权/超出策略的协议)。
有状态防火墙还可以执行基于有状态的分组检查,其中在与分组/分组流的该网络传输的流相关联的一系列分组的上下文(例如,有状态防火墙或第三代防火墙)内检查每个分组。这种防火墙技术通常被称为有状态分组检查,因为它维护通过防火墙的所有连接的记录,并且能够确定分组是新连接的开始、现有连接的一部分还是无效分组。例如,连接的状态本身可以是触发策略内的规则的标准之一。
高级或下一代防火墙可以执行如上所述的无状态和有状态分组过滤以及应用层过滤。下一代防火墙还可以执行附加的防火墙技术。例如,某些较新的防火墙有时被称为高级或下一代防火墙,其也可以识别用户和内容(例如,下一代防火墙)。特别地,某些下一代防火墙正在将这些防火墙能够自动识别的应用的列表扩展到数千个应用。这种下一代防火墙的示例是从Palo Alto Networks公司(例如,Palo Alto Networks的PA系列防火墙,和Palo Alto Networks的VM系列防火墙,它们是它们的下一代防火墙的虚拟化形式因素,其可以基于来自包括VMware®、Amazon®Web服务、Microsoft®、Citrix®、和KVM的各种供应商的技术部署在公共和私有云计算环境的范围中)商业可得到的。例如,Palo AltoNetwork的下一代防火墙使企业能够使用各种识别技术来识别和控制应用、用户和内容,而不仅仅是端口、IP地址和分组,所述识别技术诸如用于准确应用识别的APP-ID、用于用户识别的用户-ID (例如,通过用户或用户组)、以及用于实时内容扫描的内容-ID (例如,控制网上冲浪并限制数据和文件传输)。这些识别技术允许企业使用商业相关概念而不是遵循由传统端口阻挡防火墙提供的传统方法来安全地实现应用使用。此外,用于下一代防火墙的专用硬件可以被实现为例如专用装置,其通常可以提供比在通用硬件上执行的软件更高的应用检查性能级别(例如,诸如由Palo Alto Networks公司提供的在安全设备上实现的上述PA系列防火墙,其利用例如专用的功能特定处理,该处理与单通软件引擎紧密整合以最大化网络吞吐量同时最小化延迟)。
使用会话APP ID和端点进程ID相关性的精细粒度防火墙策略实施的技术概述
虽然现有的高级或下一代防火墙通常可以执行如上所述的无状态和有状态分组过滤以及应用层过滤,但是企业(例如,企业的信息技术(IT)、网络和/或安全管理员(admin))可能希望实现更精细粒度的安全策略。具体地,现有的高级或下一代防火墙通常缺乏在端点(EP)设备上执行的进程/应用信息,该进程/应用信息与在实现防火墙的网络设备(例如,网络设备,诸如装置、服务器或其他网络设备)处的被检查的网络业务相关联。
因此,需要的是用于使用会话应用标识(例如,APP ID)和EP进程标识(例如,ID)相关性的精细粒度防火墙策略实施的新的和改进的技术。因此,公开了用于使用会话APP ID和端点进程ID相关性的精细粒度防火墙策略实施(例如,在网络设备处的安全/防火墙策略实施)的技术。在一些实施例中,公开了新的和改进的技术以促进在实现防火墙的网络设备(例如,诸如设备、服务器或其他网络设备的网络设备)处的EP进程/应用信息的收集和相关,以使用会话APP ID和EP进程ID相关性来实现精细粒度防火墙策略实施。
作为一个示例,企业可能希望配置安全策略,该安全策略可以基于安全策略(例如,由企业基于安全策略来认证或信任的特定进程/应用)将与特定APP-ID相关联的网络业务限制到某些授权的进程或授权的应用。作为另一示例,企业可能想要配置安全策略,该安全策略可以基于安全策略(例如,包括安全策略中用于认证和文件共享系统进程的规则,其将不允许其他进程/应用访问企业网络上的AD服务器或文件服务器,使得与WScript.exe可执行文件相关联的JavaScript解释器将不被允许访问该企业网络上的AD服务器或文件服务器)将对企业网络上的诸如活动目录(AD)服务器和/或文件服务器之类的某些资源的网络业务访问限制到授权的进程(例如,授权的应用)上。
因此,通过将网络会话与来自端点的进程信息(例如,进程ID信息)相关,防火墙可以提供用于在防火墙处的安全策略实施的更精细粒度的控制。例如,所公开的技术可以被应用于更有效地限制攻击向量和规避(例如,恶意软件试图规避防火墙/安全检测),和/或检测根程序包(rootkit)。作为另一示例,所公开的技术可被应用来提供用于安全分析的附加的和相关的遥测信息。
现在将描述可以使用所公开的技术来检测的规避的各种示例。作为一个示例,应用可以修改业务以欺骗或伪装成白名单的会话应用标识(例如,APP ID),匹配到允许的策略(例如,匹配到防火墙/安全策略中的准许/允许的活动)。作为另一示例,应用可以使用防火墙将没有任何方式与更可信的应用相区分的协议(例如,命令和控制(C&C)恶意软件可以使用准许/允许的协议(诸如通过DNS和/或HTTP协议)来通信。
在一些情况下,网络会话可以被防火墙识别为未知的TCP/UDP/SSL业务。通过应用所公开的用于将网络会话与来自端点的进程信息(例如,进程ID信息)相关的技术,防火墙可以将在端点上执行的进程与被识别为未知TCP/UDP/SSL业务的网络会话相关联(例如,通知管理员什么正在引起网络会话和/或基于该相关联的/附加的端点进程信息来应用防火墙/安全策略)。
在一些情况下,可以允许执行初始运行的零日恶意应用,直到安全/防火墙供应商或安全服务提供商确定(例如,确定判断)该应用是否是恶意/恶意软件。通过应用所公开的用于将网络会话与来自端点的进程信息相关的技术,防火墙可以将在端点上执行的进程与由初始运行的零日恶意应用发起的网络会话相关联,并且防火墙可以配置有安全策略以拒绝与应用相关联的传出业务,直到给出判断。
在一些情况下,可以创建应用以在恶意软件样本模拟测试期间安全/防火墙供应商或安全服务提供商未检测到的情况下执行隐藏例程(例如,后门)。如下面进一步讨论的,在所公开的用于将网络会话与来自端点的进程信息(例如,进程ID信息)相关的技术中,防火墙可以有助于识别这样的风险/欺诈会话(例如,并且这样的附加信息可以被用来基于不触发隐藏例程/后门执行的恶意软件样本模拟测试来增强/改善或校正先前的判断)。
在一些情况下,诸如根程序包之类的高级秘密恶意软件可能能够在绕过端点保护系统的同时访问网络。利用所公开的技术,不存在网络会话的有效进程ID关联是防火墙可以用于检测和阻止这样的业务的异常。
进程ID信息和分层进程ID
在一些实施例中,所公开的用于将网络会话与来自端点的进程信息相关的技术包括以下:在企业网络环境中的一个或多个端点上执行的可信代理、能够识别与企业网络环境中的网络会话相关联的APP ID的网络设备/防火墙、以及用于配置防火墙以基于网络会话(APP ID)和进程ID信息来执行安全策略实施的策略(例如,精细粒度安全策略)。例如,在EP设备(例如,TRAPS代理或GlobalProtect(GP)客户端,其是来自Palo Alto Networks公司的商业上可用的EP代理解决方案)上执行可信代理(例如,EP代理),其识别发起网络会话的进程并向防火墙通知与网络会话相关联的进程信息(例如,基于EP安全策略)。在一个示例性实现中,可以使用分层进程ID来提供进程ID (例如,可以从alternativeto.Net或另一商业上或公开可用的资源收集进程顶级分层分组数据),如下面进一步描述的。
收集端点进程信息并将其传送到防火墙
在一些实施例中,在实现防火墙的网络设备处从代理(例如,主机代理)接收进程ID信息,并在该网络设备上对该进程ID信息进行处理。例如,在端点(EP)上执行的代理(例如,主机/EP代理或其他软件组件)可以针对每个会话或所选择的会话向防火墙发送进程ID信息(例如,进程ID信息可以指示其是已知的进程、未知的进程、或已知但未预期的进程,诸如在基于web浏览器示例的策略的情况下,其中策略允许web浏览器用于HTTP/其他网络协议,但是限于Microsoft Internet Explorer®(IE) web浏览器,并且将仅允许另一浏览器(诸如Google Chrome®)访问在该示例性防火墙/EP安全策略中的企业网络上的特定内部服务器)。
在一个示例性实现中,使用EP代理,分组报头(TCP选项)可以被修改以提供附加信息,以促进EP代理和网络设备(例如防火墙)之间的更大协作和/或协调。例如,EP代理和防火墙之间的安全通信可以利用认证、使用分组标记、诸如使用分组报头中的TCP选项来执行,其可以使用数字签名(例如,可以周期性地执行的对TCP分组的5元组的散列/摘要,然后使用PKI非对称公钥/私钥来签名)、使用认证cookie (例如,对称密钥、由预共享密钥预先确定的伪随机数序列,其可以更频繁地使用,而对EP具有较不昂贵的处理影响)或者使用这些技术的二者的组合(例如,使用PKI机制来在防火墙和客户端之间周期性地交换预先共享的密钥)来保护和/或可以执行其他技术来促进EP代理和防火墙之间的安全通信。
例如,代理(例如,EP代理)可以在每个内部设备上执行,所述内部设备包括服务器、装置、终端用户设备和/或由防火墙保护的子网上的其他EP设备,防火墙可以监视业务并且(安全地)与代理通信(例如,查询代理和/或从代理接收)以获得进程ID信息。防火墙可以将防火墙所监视的网络会话相关信息(例如,APP ID和(可选地)其他信息,诸如用户ID、内容ID等)与进程ID信息相关。防火墙然后可以基于APP ID和进程ID信息来实现精细粒度安全策略(例如,在示例性安全策略中,可以仅准许Microsoft Active Server(微软活动服务器)/认证服务器执行对微软系统服务的认证,在该示例性安全策略中,微软活动服务器/认证服务器可以被列入白名单)。
在一个实施例中,进程ID信息被存储为与发起网络会话的进程相关联的二进制/可执行文件的文件名的摘要(例如,使用散列函数,诸如MD5、SHA-2或由EP上的代理执行的另一散列函数)。例如,由代理收集和存储的进程ID信息可以通过带内(例如,使用经由TCP选项的SYN分组标记或者可以实现其他协议/技术)或带外(例如,使用EP设备和防火墙之间的单独安全连接,可以执行该单独安全连接以(提前)用信号通知在代理和防火墙之间建立这样的认证机制)发送进程ID信息而被传送到防火墙,或者可以根据EP/防火墙资源、网络带宽和/或其他考虑来实现带内和带外通信技术二者的组合。
在该示例中,防火墙可以利用进程ID信息来应用精细粒度安全策略。例如,防火墙可以应用精细粒度安全策略,所述精细粒度安全策略确定在EP上执行的进程是否被允许访问企业网络上的特定资源,其中可以对摘要执行匹配操作以识别进程是良性的/已知的、恶意的还是未知的,以及对于良性的/已知的进程匹配,这样的进程是否可以被允许访问正被防火墙保护的资源。进程ID信息还可用于查询来自商业上可用的安全服务的进一步信息,诸如由Palo Alto Networks®提供的WildFireTM基于云的恶意软件分析环境(例如,请求进程的判断/状态,诸如进程是否已知:良性、恶意软件;或未知:未决、从未见)和/或由PaloAlto Networks®提供的AutoFocusTM上下文威胁智能服务(例如,加速分析、相关和防止工作流,这可便于对例如自动地用完整上下文区分优先级的唯一的、目标攻击的安全检测/响应,从而允许安全团队更快地响应关键攻击,而无需额外的IT安全资源)。
在一个示例性实现中,安全通信信道可以用于防火墙和代理之间的控制和数据信道二者,该防火墙和代理在EP设备上执行,使用分组标记、隧道传输或两者的组合,如上所述。可以用于执行所公开的技术的(一个或多个)示例性代理包括商业上可用的代理解决方案,诸如由Palo Alto Networks®提供的TrapsTM代理解决方案或能够监视EP设备上的进程活动(例如,执行在EP设备上执行的进程的运行时间摘要)的另一商业上可用的代理解决方案。如下面进一步描述的,所公开的技术促进了可以基于进程ID信息和APP ID的组合的更精细粒度的安全解决方案(例如,安全策略可以限制具有本地IP地址的内部网络设备(横向移动)在企业/受保护网络内执行某些动作,这可以防止用户对企业/受保护网络上的资源的未授权访问和/或防止在本地EP上执行的恶意软件进程对企业/受保护网络上的资源的未授权访问)。
在一个示例性实现中,在EP (例如,EP设备)上执行的代理执行在EP上本地执行的其它进程的进程监视。代理存储或高速缓存所监视的进程信息。可以基于由代理实现的EP安全策略来执行进程监视。例如,代理可以高速缓存在EP上执行的每个被监视进程的进程ID (例如,执行被监视进程的应用的摘要,诸如web浏览器应用或另一应用的散列版本和诸如"Chrome"的摘要名称)和/或其他信息(例如,其他信息可以包括诸如web浏览、协议、目的地、源或由代理、防火墙和/或安全服务监视的任何其他属性的APP ID)。可以由代理实现以用于EP上的安全实施的示例性策略(例如,EP安全策略)可以包括策略/规则,如果进程ID与web浏览器应用相关联,则该进程仅可以执行web浏览(例如,APP ID与web浏览相关联,诸如超文本传输协议(HTTP)),并且不被允许执行其他网络协议(例如,文件传输协议(FTP)或其他协议,其可以阻止恶意软件扩展经由web浏览器应用在EP上执行或者远程任意代码漏洞,其使得否则良性的应用运行发送非预期/恶意业务的恶意代码)。
基于进程ID信息和APP ID的精细粒度策略实施
进程ID信息可以用于更细粒度策略控制。在一些实施例中,可以应用进程ID信息以便于使用网络设备/防火墙的精细粒度安全策略实施,该网络设备/防火墙与在受保护网络中的EP设备上执行的代理通信。
例如,如果服务器消息块(SMB)协议的APP ID被白名单化以用于备份应用,代替允许企业网络中的任何客户端设备使用SMB协议连接到企业网络中的备份服务器的安全策略,精细粒度安全策略可以进一步指定仅允许来自在企业网络中的客户端设备上执行的企业授权备份应用的SMB业务。在该示例中,将阻止勒索软件应用使用SMB协议来加密企业网络中的备份服务器上的文件。作为另一示例,不存在用于源自TRAPS/GP保护的EP的会话的进程信息可以指示被危害的主机(例如,根程序包可以存在并且发送业务)。
作为另一示例,可以在网络设备防火墙处执行基于进程ID信息的匹配,以确定进程ID信息是否是未知进程和/或恶意软件进程,并且可以应用策略来阻止未知进程和/或恶意软件进程(例如,进程的摘要不匹配已知的、受信的可执行文件/应用和/或不匹配先前标识的恶意软件可执行文件)访问企业网络上的受保护资源。在该示例中,可以阻止特洛伊木马(例如,先前标识的特洛伊木马或新的、尚未标识的特洛伊木马)尝试修改受保护资源上的用户帐户的口令。
作为又一示例,防火墙可实现精细粒度安全策略以标记来自不可信进程的会话以用于受限访问和/或用于进一步检查和/或监视。例如,与来自EP (例如,EP设备)的未知进程或会话相关联的网络会话在没有安装可信代理(例如,物联网(IoT)设备或企业网络上的访客设备)的情况下可被阻止访问敏感服务器,并被标记以用于扩展检查,诸如解密、深度分组检查(DPI)(例如,包括第3、4和/或7层,诸如基于网络监视的签名匹配和/或启发法),可对网络会话执行日志记录 ,和/或其它增强的安全监视、防止和限制技术可被应用于网络会话。这样,这有助于识别企业网络上的较高风险业务,并且在不影响企业网络上的正常的、可信的业务的情况下,施加更精细粒度的并且在一些情况下更具限制性的策略。
使用分层进程ID按应用类型进行分层进程分组
在一些实施例中,使用分层进程ID提供按应用类型的分层进程分组。例如,按应用类型的分层进程分组可以使得选择哪些进程被允许和不允许对于网络/安全/IT管理员来说更易于管理(例如,类似于通常如何实现和管理URL过滤类别)。在一个示例性实现中,可以为web浏览器(例如,其可以包括诸如Apple Safari、Google Chrome和Microsoft IE web浏览器的商业上可用的web浏览器)提供分层进程分组。这样,网络/安全/IT管理员将不必指定这些web浏览器和/或版本中的每一个来促进安全策略中的端点应用的动态策略管理。这些进程分组可以手动创建和/或众包(例如,使用众包应用和替代信息,诸如由alternativeto.Net提供的),以便于按应用类型进行各种分层进程分组。例如,与每个进程相关联的一组权威的APP ID可以由网络/安全/IT管理员使用,以经由由安全/威胁研究订阅(例如,诸如可从Palo Alto Networks公司获得,诸如WildFireTM和/或AutoFocusTM)提供的默认简档或策略、商业上可用的管理安全服务、或诸如"允许与特定可信APP ID相关联的进程ID"的元动作来简化其策略的配置。因此,所公开的技术促进了基于进程ID信息提供自动的、被管理的和最新的安全策略的能力,而不需要管理员周期性地更新他们的配置或策略。
在一个示例性实现中,网络/安全/IT管理员可按应用程序类型(例如,web浏览器的策略)向分层进程分组动态地添加/移除摘要,并且仍然还可允许定制/特殊策略。在一个实施例中,网络/安全/IT管理员还可以标记从外部源(例如,外部/因特网网站或经由电子邮件,使得与进程ID相关联的源也可以在安全策略中使用或由诸如Apple、Google、Microsoft或其他实体的受信任实体签名,并且这可以由EP代理监视并与进程ID信息一起被提供给网络设备/防火墙(或者如果由其端点上的本地开发者编译))下载的应用的二进制/摘要。
进程更新和新摘要
当应用程序/可执行程序被更新时,为应用程序和其它可执行程序生成的摘要可以改变。例如,对商业上可用的web浏览器(例如,新版本的Apple Safari、Google Chrome和Microsoft IE web浏览器)的每次更新将产生与更新版本的web浏览器相关联的新摘要。结果,执行匹配操作以识别进程ID信息是否匹配已知的、商业上可用的web浏览器的摘要,一般可以通过生成和存储每个商业上可用的web浏览器的先前/过去版本和新/更新版本的每个的摘要来实现。可以类似地生成和存储用于企业中使用的其他商业和专有应用的摘要,以便于使用摘要进行匹配来执行所公开的技术。
在一个示例性实现中,安全服务(例如,商业上可用的安全服务,诸如由Palo AltoNetworks®提供的WildFireTM基于云的恶意软件分析环境)可以监视应用的任何新的更新版本,并且使用众包解决方案来生成应用的任何新的更新版本的摘要。安全服务可以执行应用的预定义列表(例如,基于由安全服务的一个或多个客户/订户所标识的感兴趣的应用)和/或来自众包解决方案的前n个应用(例如,使用众包应用和诸如由alternativeto.Net提供的替代信息),并且周期性地执行更新检查以标识此类应用的新版本/更新,并且然后生成此类应用的任何此类新版本/更新的摘要。这样,安全服务通常可以比等待从防火墙或订户上传到安全服务更快地生成新的可信摘要,以便于进程ID信息匹配和进程ID分层、分类(例如,Web浏览器->chrome.exe->摘要1/v43、摘要2/v44、摘要3/v45等)。
与安全服务整合以利用遥测技术和大数据分析来提供增强的安全性
在一些实施例中,提供与安全服务的整合以利用遥测和大数据分析用于增强的安全性。具体讲,来自一个或多个进程的会话可以被识别为感兴趣的(例如,基于EP安全策略),并且可以从网络业务(例如,使用用于监视网络业务的防火墙)和从在端点上执行的进程(例如,使用在端点上执行的代理,其中代理与防火墙通信)二者收集附加数据。
例如,安全服务(例如,商业上可用的安全服务,诸如由Palo Alto Networks®提供的WildFireTM基于云的恶意软件分析环境)可以接收被识别为感兴趣的一个或多个进程的收集的数据(例如,基于防火墙/EP安全策略)。安全服务可以执行各种遥测和大数据分析技术以识别与可以指示目标攻击的进程相关联的异常网络活动/行为(例如,如果对针对该进程的所监视的网络活动数据的分析指示其连接到第四服务器IP和/或与四个不同的APPID相关联,则历史上/通常仅连接到三个服务器或者历史上/通常仅使用三个不同的APP ID的进程可以被识别为潜在地是异常进程)。
与安全服务整合以识别良性或恶意软件进程
在一些实施例中,提供与安全服务的整合以识别良性或恶意软件进程以用于增强的安全性。例如,已知的二进制摘要的列表可以从安全服务(例如,商业上可用的安全服务,诸如由Palo Alto Networks®提供的WildFireTM基于云的恶意软件分析环境)被提供给防火墙,并且防火墙可以将它们匹配到用于那些进程的批准/拒绝的APP ID的列表。在该示例中,可以执行将来自EP的进程监视数据与在防火墙处的网络监视数据相关,以确定进程是否正在发送/接收先前尚未与该进程相关联的APP ID。这种相关性对于利用在各种上下文中有条件地触发的隐藏例程创建的进程可以是有益的(例如,如果这种恶意软件分析没有触发隐藏例程,则对于进程/应用的安全服务判定(诸如良性判定)可能是不正确的(或至少是不完整的),这可以使用如本文进一步描述的所公开的相关性技术来确定)。
作为另一示例,端点和网络设备/防火墙监视数据的相关性可类似地被应用于确定是否响应于被认为是对尚未具有来自安全服务的良性判断的进程的风险的某些网络业务(例如,阻止/丢弃或进一步监视/记录会话)来执行动作。在该示例中,如果EP代理通知网络设备/防火墙会话是来自不匹配良性摘要的进程(例如,先前没有被安全服务分析/识别为良性)的,则网络设备/防火墙就可以应用安全策略来阻止该会话,诸如如果网络会话与高风险APP ID相关联。这样,企业就可以应用这些技术来指定基于APP ID的限制和/或基于在企业网络中的EP上执行的未知进程的安全策略中的其他准则(例如,用户ID、内容ID、位置信息和/或其他参数) (例如,以降低与未知进程相关联的安全风险,该未知进程可能与零日威胁或之前未被安全服务识别的新恶意软件相关联)。
从网络设备/防火墙到用于处理的端点代理的选择性资源分配
在一些实施例中,执行从网络设备(例如防火墙)到用于处理的EP代理的选择性资源分配。例如,如果网络设备以处理能力或接近处理能力进行处理,那么网络设备/防火墙可以配置为分配某些防火墙/安全处理给EP代理,以利用EP的处理资源(例如,CPU和存储器) 在EP本地执行,去执行某些防火墙处理功能。例如,EP端点处理能力可以用于资源昂贵的业务本身(例如,网络业务和/或与网络业务相关联的文件的解压缩和/或解密)。
用于利用进程ID信息的精细粒度策略实施的示例性用例场景
作为第一示例用例场景,所公开的技术可以被应用以允许企业将不同的安全策略应用于在执行通常不与这样的二进制相关联的网络活动的EP上执行的二进制 (例如,基于安全/防火墙策略,未被列入白名单或允许用于这样的二进制的APP ID)。例如,勒索软件攻击可以作为附在电子邮件上的文件(例如,具有.js文件扩展名的JavaScript文件)传播,并且当在EP设备(例如,Microsoft Windows或其他计算设备)上双击/打开时被启动/执行。然后,启动/执行的文件下载并在EP设备上执行可执行二进制文件(例如,wscript.exe二进制文件)。可执行二进制文件然后执行网络活动,该网络活动对于防火墙/网络设备表现为是与web浏览相关的网络活动(例如,APP ID是web浏览)。然而,在该示例中,可执行二进制文件不应执行web浏览相关的网络活动(例如,它不是已知的进程ID/应用,诸如已知的/商业上可用的web浏览器)。这样,所公开的技术可以被应用于基于利用APP ID和进程ID信息来执行精细粒度的安全策略实施的策略来阻止这样的勒索软件,该精细粒度的安全策略实施先前不会被现有防火墙技术阻止。
作为第二示例性用例场景,所公开的技术还可以被应用以允许企业将不同的安全策略应用于在执行网络活动的EP上执行的未知/不可信二进制文件。例如,企业可以配置策略(例如,由防火墙/网络设备实现和/或由在EP上执行的代理在EP处本地实现)以对与关联于未知/不可信二进制(例如,未知/不可信进程ID)的会话相关联的所有分组执行响应动作(例如,阻止/丢弃、保持/隔离、日志记录、节流和/或执行其他响应动作),直到确定了与该会话相关联的APP ID为止。在确定了与会话相关联的APP ID之后,防火墙/网络设备使用相关的APP ID和进程ID信息(例如,并且在一些情况下,与其他信息相结合)基于精细粒度安全策略来执行响应动作(例如,允许、阻止/丢弃、保持/隔离、日志记录、节流和/或执行其他响应动作)。
作为第三示例性用例场景,所公开的技术还可被应用于提供针对根程序包恶意软件攻击的安全保护。例如,假设二进制/代码在EP上的内核空间内执行。在该示例中,EP代理通常不能检测在内核中执行的这种恶意软件活动(例如,假设代理只监视EP上的用户空间活动)。然而,防火墙/网络设备可以检测不是典型的网络业务,在该示例中,是Windows膝上型计算机,并且该用户端点的代理不将该业务与任何用户级应用相关联,并且防火墙/网络设备可以被配置为执行针对与该会话相关联的网络活动的根程序包检测。
作为第四示例性用例场景,所公开的技术还可以应用于所监视的网络业务/会话的日志(例如,网络业务/会话的防火墙/网络设备记录的数据),以将被阻止或未被阻止的网络业务/会话与EP上的记录的进程ID (例如,EP上执行的进程ID的代理记录的数据)相关联/相关。例如,可以执行这种记录的网络业务会话与EP上的进程ID的相关,以确定哪个进程ID正在引起特定的网络业务/会话,以及为什么它可能没有被阻止/丢弃,或者由防火墙/网络设备和/或代理执行某种其他响应动作。在一些情况下,这些技术可以被应用来帮助IT/网络/安全管理员和/或安全服务执行故障排除,并且确定特定的二进制(例如,进程ID)是否可能是可疑的/恶意软件、定制的/新的二进制(例如,并且应当被列入白名单),或者如果EP上的经认证的代理没有检测到与该网络活动/会话相关联的本地执行的进程或者可以指示EP上的根程序包,则潜在地是被欺骗的IP地址被用于业务的结果。
基于进程风险的出站/入站横向业务踢出技术的概述
如上类似所述,虽然现有的高级或下一代防火墙通常可以执行如上所述的无状态和有状态分组过滤以及应用层过滤,但是企业(例如,企业的信息技术(IT)、网络和/或安全管理员(admin))可能期望实现可以应用于企业网络中的横向业务的更精细粒度的安全策略(例如,精细粒度的防火墙策略)。例如,检测企业网络中的可疑横向移动(例如,可疑出站/入站横向业务)是期望的,以对抗在搜索关键资产和数据期间(例如,试图在企业网络中执行横向移动并且在企业网络中的这种横向移动期间规避检测/安全策略实施的横向攻击阶段)可以使用更有针对性的方法来传播通过网络的复杂攻击者。
因此,需要用于检测可疑的横向移动的新的和改进的技术来,并基于进程风险执行出站/入站横向业务踢出。因此,公开了用于基于进程风险的出站/入站横向业务踢出的技术。在一些实施例中,公开了用于基于进程风险的出站/入站横向业务踢出的新的和改进的技术,其使用EP代理来监视套接字映射以确定进程ID (例如摘要)和与进程ID相关联的网络会话的源IP地址、目的地IP地址和端口号,然后利用其来选择性地拒绝去往网络设备的横向业务(例如,基于EP安全策略)以用于业务检查(例如,使用由网络设备实现的防火墙检查会话业务)和/或用于业务检查的安全服务。例如,防火墙策略(例如,使用网络设备/防火墙实施的精细粒度防火墙策略)可以被配置为允许与可信/已知进程ID相关联的网络会话横向移动而没有在网络设备处的业务检查的性能惩罚,同时仍然允许对与潜在风险/恶意进程相关联的感知的横向移动(例如,与非可信/未知进程ID或其他类型的潜在风险/恶意进程/进程活动相关联的网络会话)的可见性/控制。
在一些实施例中,基于与网络业务相关联的进程ID信息来执行网络业务的选择性拒绝(例如,隧道传输)。例如,可以允许已知的/信任的/列入白名单的进程ID摘要(例如,基于EP安全策略)在最短路径上继续到其目的地,而未知的/不信任的/列入黑名单的进程ID摘要(例如,基于EP安全策略)可以被拒绝/重定向到指定的防火墙以用于进一步检查,如下面进一步描述的。
例如,所选择的网络业务(例如,用于与不可信/未知进程ID相关联的网络会话)可以通过预先建立的隧道(例如,虚拟专用网络(VPN)隧道)被路由到网络设备(例如,实现防火墙)和/或安全服务(例如,基于云的安全服务,诸如GlobalProtect®云服务,其是由PaloAlto Networks®公司提供的商业上可用的基于云的安全服务)以用于执行所选择的网络业务的安全检查。在该示例中,EP代理可以配置有用于基于进程ID信息(例如,用于与不可信/未知进程ID相关联的网络会话或其他类型的潜在风险/恶意进程/进程活动)选择性地转发某些网络业务的策略(例如,EP安全策略)。
在一些情况下,策略可以包括进程(例如,进程摘要)的白名单和/或黑名单,其可以是管理员选择的和/或基于来自安全服务(例如,商业上可用的安全服务,诸如使用由Palo Alto Networks公司提供的WildFireTM基于云的恶意软件分析环境)的自动安全风险分析。例如,具有感兴趣的业务的进程可以包括不常见的进程(例如,通常不是由防火墙和/或安全服务监视的)、历史上已知要利用的进程、具有已知漏洞的进程和/或管理员包括/排除的进程(例如,包括在进程的白名单和/或黑名单上)。
作为另一示例,去往潜在风险/恶意进程(例如,与不可信/未知进程ID相关联的网络会话)的入站业务也可被踢到网络设备和/或安全服务以用于业务检查。在一些实施例中,为了避免双重踢出,如果在出站设备/服务器上检查业务,则可以设置分组中的报头标志以验证对接收设备/服务器的这样的业务检查以避免执行双重检查(例如,为了避免双重检查,网络会话的接收侧/EP设备可以识别网络会话的发送者侧/EP设备是否具有安装的和起作用的EP代理,这可以使用带外和/或带内通信来执行,诸如通过具有直接EP代理到EP代理通信,或者通过在如在该示例中描述的那样接收它们时处理 (诸如由发送者EP代理)潜在修改的分组(在该示例中的报头标志))。例如,对于Windows文件共享服务器,所有认证/可信用户被认为使用企业发布的计算机,其应该安装了EP代理。如果尚未被代理踢出或以其他方式标记为可信的会话到达,则接收设备/服务器被配置为对网络业务执行更多检查。
因此,所公开的技术可以被应用于选择网络业务以发送到防火墙,并且当在所选择的网络业务的网络路径中没有已经存在防火墙时用于业务检查。这样,所选择的横向业务就可以被防火墙检查和策略控制,而不是自由地通过内部企业网络(例如,其可以以其他方式横向地穿过内部企业网络而不被防火墙检查)。例如,由在EP设备上执行的EP代理实现的EP安全策略可以被应用来选择与潜在风险/恶意进程(例如,与不可信/未知进程ID相关联的网络会话)相关联的网络业务会话(例如,出站/入站横向业务)以用于入站/出站踢出以便使用防火墙进行检查,这是更高效且有效的,因为检查网络(例如,企业网络)内的所有横向移动通常在计算上太昂贵。
基于进程风险的出站/入站横向业务踢出的示例性用例场景
所公开的用于基于进程风险的出站/入站横向业务踢出的技术可以应用于各种示例性用例场景。作为第一示例性用例场景,假设在企业网络上的设备/服务器处从未知源(例如,并且在一些情况下,在源设备/服务器上没有安装/执行EP代理)或未知进程接收网络业务,并且假设网络业务尚未通过企业网络上的防火墙(例如,业务先前未被防火墙检查),则接收设备/服务器上的EP代理可以将该会话重定向(例如,经由隧道传输)到防火墙以用于额外检查。
作为第二示例性用例场景,假设没有EP代理的膝上型计算机被恶意软件(例如特洛伊、根程序包或其他恶意软件)感染,或者没有EP代理的服务器(例如在企业网络上但是没有被企业信息技术(IT)管理的服务器,诸如实验室服务器或其他服务器)被恶意软件(例如特洛伊恶意软件或其他恶意软件)感染,并且尝试访问被管理/保护的EP设备(例如另一膝上型计算机或被保护服务器,诸如活动目录(AD)服务器、文件共享服务器、web服务器和/或另一服务器) (例如在该示例性策略中,EP设备不是可信的,这仅仅是因为它已经经由企业网络上的插件LAN访问或DHCP被分配了本地IP地址,并且业务没有被标记,因此可以确定业务先前没有通过企业防火墙并且没有被企业防火墙检查,并且在源设备上没有本地安装/执行的EP代理),然后可以将这样的业务踢到/重定向到防火墙LAN以用于额外的检查。
作为第三示例性用例场景,网络会话可以被重定向到强制门户以要求周期性的用户认证(例如,单因素或多因素认证(MFA)),并且提供一段时间(例如,一小时、一天、一周等)的认证。在该示例中,还可以基于业务剖析来要求MFA (例如,可以授权网络会话用于web浏览,但是不授权用于其他类型的网络活动/访问,诸如不允许访问AD服务器、SMB服务器和/或企业网络上的其他资源)。作为另一个示例,没有安装/执行EP代理的端点设备上的用户可以自动重定向到强制门户以下载EP代理。
作为第四示例性用例场景,所公开的技术可以应用于限制对企业网络上的资源的横向业务访问。例如,EP代理可以被安装和配置在资源(例如,企业网络上的源代码储存库(SCR)服务器或其他资源)上,以仅允许经认证的用户/EP访问SCR服务器(例如,如上所述类似地,分配IP地址范围/锁定到IP范围和/或用于认证的周期性MFA要求)。
作为第五示例性用例场景,所公开的技术可以应用于检测根程序包,该根程序包可以以其他方式规避EP/主机代理检测/安全策略实施。例如,假设EP设备/服务器被根程序包感染,并且该根程序包试图横向移动。当网络会话不能匹配到EP代理套接字时,可以检测到根程序包。作为另一示例,未知网络会话和/或SSL/加密的网络会话可具有与此类会话相关联的进程ID。
作为第六示例性用例场景,所公开的技术可以应用于实施用于web浏览网络业务的更精细粒度的安全策略。例如,可以基于相关联的进程ID信息来允许/不允许web浏览网络业务,从而允许对哪些浏览器可以访问企业网络中的哪些资源的控制。所公开的技术还可以被应用来防止通过较高风险协议进行通信的潜在恶意进程/应用,同时允许那些协议仍然被允许用于某些其他进程/应用(例如,基于精细粒度防火墙策略)。作为一个示例,可以为网络设备和EP代理配置安全策略,以禁止除HTTP/HTTPS之外的业务类型用于web浏览网络业务。
作为第七示例性用例场景,所公开的技术可以应用于禁止网络业务,或者将网络业务转向到不同网络段,如果不同网络段与具有禁用、受损、故障和/或卸载的EP代理的源设备/服务器相关联的话。
在示例性实现方式中,(一个或多个)EP代理可以包括可从Palo Alto Networks公司商业上可用的GlobalProtect(GP)代理,或者能够监视EP的新网络连接/活动并且可以被配置为基于策略(例如端点安全策略)踢出/重定向(例如,使用VPN隧道或其他安全通信技术)入站/出站业务的另一代理/组件。所公开的技术可以被实现为促进企业网络的更细粒度的安全性,因为即使来自具有本地IP地址的企业网络上的内部设备(例如,内部网络内的横向移动)的进程/业务 (例如,没有安装/执行EP代理,并且这可以与尝试未授权访问的有效用户和/或在尝试未授权访问的本地设备/服务器上执行的恶意软件进程相关联),也不需要被信任。
因此,公开了用于使用会话APP ID和端点进程ID相关性来提供精细粒度防火墙策略实施(例如,在网络设备处的安全/防火墙策略实施)的各种技术。此外,公开了用于基于进程风险(例如,基于精细粒度防火墙策略)提供出站/入站横向业务踢出的各种技术。如本领域技术人员鉴于本文描述的各种技术和实施例将会明白,本文描述的用于提供精细粒度防火墙策略实施和/或基于进程风险的出站/入站横向业务踢出的各种技术也可以类似地使用基于云的安全解决方案、基于网络设备的安全解决方案、基于主机/基于代理的安全解决方案、基于虚拟化/软件定义网络(SDN)的安全解决方案和/或其各种组合来执行,诸如以下针对各种实施例进一步描述的。
用于提供精细粒度策略实施和/或基于进程风险的出站/入站横向业务踢出的网络设备的系统架构
图1是根据一些实施例的可以用于提供精细粒度策略实施和/或基于进程风险的出站/入站横向业务踢出的网络设备的架构的图。如图1所示,在防火墙100处监视网络业务。在一个实施例中,使用诸如数据装置(例如,包括安全功能的数据装置,诸如包括防火墙的安全设备/装置)的网络设备来监视网络业务。在一个实施例中,使用诸如网关(例如,包括诸如安全网关之类的安全功能的网关)之类的网络设备来监视网络业务。在一个实施例中,使用通过(例如,联机)监视技术来监视网络业务。
在一个实施例中,使用基于状态的防火墙来监视网络业务。在一个实施例中,基于状态的防火墙可以使用应用(app)标识符(ID)和用户标识符(ID)引擎(例如,在图1中被示为APP ID检查和用户ID检查组件108,其可以被实现为防火墙100中的整合组件或不同的组件)来监视业务流。例如,所监视的网络业务可以包括HTTP业务、HTTPS业务、FTP业务、SSL业务、SSH业务、DNS请求、未分类的应用业务(例如,未知的应用业务)和/或其它类型的业务(例如,使用其它类型的已知或未知协议的业务)。
如图1所示,网络业务监视开始于102。IP地址和端口引擎104基于分组分析来确定所监视的业务流(例如会话)的IP地址和端口号。策略检查引擎106基于IP地址和端口号来确定是否可以应用任何策略。同样如图1所示,APP ID检查和用户ID检查108识别与所监视的网络业务(例如,会话)相关联的应用和用户。例如,可以使用APP ID引擎(108)使用各种应用签名来识别应用,以基于分组流分析来识别应用。还可以使用用户ID检查引擎(108)基于源IP地址来确定用户标识。在该示例中,APP ID引擎(108)可以被配置为确定会话涉及什么类型的业务,诸如HTTP业务、HTTPS业务、FTP业务、SSL业务、SSH业务、DNS请求、未知业务和各种其它类型的业务,并且这样的分类的业务可以被定向到适当的解码器,诸如解码器112、114和116,以处理针对每个监视的会话的业务流的分类的业务。如果所监视的业务被加密(例如,使用HTTPS、SSL、SSH或另一已知的加密协议加密),则所监视的业务可以使用解密引擎110(例如,用于使用自签名证书来应用可信中间人技术的防火墙100的解密组件,如下面进一步描述的)来解密。已知协议解码器引擎112使用已知协议(例如,用于对已知协议应用各种签名的防火墙100的已知协议解码器组件)解码和分析业务流,并将所监视的业务分析报告给报告和实施策略引擎120 (例如,用于基于策略执行报告和实施动作的防火墙100的报告和实施策略组件,如下面进一步描述的)。所标识的业务(不需要解码)引擎114将所标识的业务报告给报告和实施策略引擎120。未知协议解码器引擎116解码并分析业务流(例如,用于使用未知协议对网络业务应用各种启发法的防火墙100的未知协议解码器组件),并将所监视的业务分析报告给报告和实施策略引擎120。
在一个实施例中,将使用上述已知协议解码器引擎112、标识业务引擎114和未知协议解码器引擎116的各种业务监视技术的结果,提供给报告和实施策略引擎120 (例如,网络/路由策略、安全策略和/或防火墙策略,其可以包括精细粒度防火墙策略)。例如,可以使用应用标识、用户标识、内容标识(例如,APP ID和用户ID检查组件108还可以包括作为防火墙100的整合的不同组件的内容ID组件,其中内容ID组件可以提供实时内容扫描,诸如用于监视和/或控制文件传输活动)和/或其他信息来匹配签名(例如,基于文件的、基于协议的、和/或用于检测恶意软件或可疑行为的其他类型/形式的签名),来将防火墙策略应用于所监视的网络业务。
在一个实施例中,防火墙100还包括内容ID引擎(未示出)。在一个实施例中,内容ID引擎的所标识的内容还被报告和实施策略引擎120使用,可能以与诸如应用、用户和/或其他信息之类的其他信息的各种组合来实施各种安全/防火墙策略/规则(例如,精细粒度防火墙策略)。
在一个实施例中,防火墙100还包括端点进程ID相关组件118和用于使用防火墙提供精细粒度策略实施的精细粒度策略实施组件122。例如,防火墙可以从EP代理接收和存储与会话相关联的进程ID信息,并且可以将与进程ID信息相关的APP ID (以及用户ID信息、内容ID信息和/或其他信息)的组合提供给报告和实施策略 (120)以促进使用诸如上文描述和下文进一步描述的所公开的技术来提供精细粒度策略实施(122)。如果确定会话与未授权的网络活动相关联,则防火墙(100)可基于精细粒度策略(122)确定响应动作。下面将进一步描述用于提供精细粒度策略实施和/或基于进程风险的出站/入站横向业务踢出的这些和其他示例,包括利用可以与基于网络设备的防火墙技术整合的端点代理和云安全技术。
在一个实施例中,提供各种其他功能架构和流程来实现用于提供精细粒度策略实施和/或基于进程风险的出站/入站横向业务踢出的技术(例如,包括使用防火墙和/或其他技术,包括可以与基于网络设备的防火墙技术整合的端点代理和云安全技术),如本文所描述的。例如,这些基于网络设备的防火墙功能中的一些可以以在通用处理器上执行的软件来实现,和/或这些功能中的一些可以使用用于网络业务的更快分组处理的硬件加速技术来实现,如下面进一步描述的。
用于提供精细粒度策略实施和/或基于进程风险的出站/入站横向业务踢出的网络架构
图2是根据一些实施例的可以用于提供精细粒度策略实施和/或基于进程风险的出站/入站横向业务踢出的网络架构的图。如图所示,数据装置202 (例如,包括安全功能的网络设备、诸如包括防火墙的安全装置/设备,包括安全功能的网关、诸如安全网关,包括安全功能的服务器和/或包括如本文所述的防火墙功能的任何其它网络设备)位于受保护网络210的周边,其包括客户端204、206和208 (例如,台式计算机、膝上型计算机、平板计算机/平板电脑、智能电话和/或可以使用网络通信(有线或无线网络通信,和/或可以将数据从企业网络210上的客户端设备和/或其它设备传送到本地存储装置,诸如便携式存储设备/USB存储设备)来访问企业网络210上的数据的其它类型的客户端设备)。
在一个实施例中,数据装置202包括防火墙组件,诸如如上所述的防火墙100,以保护受保护网络210内的网络和客户端,所述网络210与因特网214和各种服务器通信,所述服务器诸如服务器216、218和220 (例如,web服务器、邮件服务器、文件服务器和/或其他类型的服务器)。每个客户端设备包括安装的和执行的EP代理,其可以安全地将进程ID信息传送到数据装置(202),如上所述和下面进一步描述的。
图3是图示根据一些实施例的用于提供精细粒度策略实施和/或基于进程风险的出站/入站横向业务踢出的另一网络架构的图。如图3所示,客户端设备304A、304B和304C经由网络设备302 (例如,数据装置,诸如类似于以上针对图2所描述的)与因特网306和各种网站、云服务和/或被示为服务器308A-C的其他远程服务器/站点通信。在一个实施例中,网络设备302包括如图所示的防火墙312 (例如,可以以在网络设备的硬件处理器上执行的软件来实现的防火墙组件,或者至少部分地以诸如本文类似地描述的硬件和/或其组合来实现的防火墙组件),其可以用于企业网络320的安全性。在一个实施例中,网络设备302包括数据装置(例如,安全装置)、网关(例如,安全服务器)、服务器(例如,执行包括防火墙312的安全软件的服务器)和/或一些其他网络/安全设备,其例如可以使用计算硬件、软件或其各种组合来实现。
如图所示,客户端设备304A-304C包括主机代理314A-314C和包括主机代理314D(例如,主机代理在此也被称为EP代理)的服务器350 (例如,文件(SMB)服务器、认证服务器、web服务器、应用服务器、数据存储/数据库、源代码储存库(SCR)和/或另一企业资源/服务器/数据装置)。例如,代理(314A-314D)可以被实现为在客户端/主机设备上执行的端点(EP)代理(例如,EP网络/安全代理) (例如,在可以以在客户端/主机设备的硬件处理器上执行的软件中实现),其可以与网络设备302、防火墙312和/或安全服务310 (例如,云安全服务)协调地执行各种功能,以促进端点保护并且促进用于提供精细粒度策略实施和/或基于进程风险的出站/入站横向业务踢出的各种技术,诸如下面进一步描述的。在一个示例性实现方式中,代理(314A-314D)可以由轻量代理(例如,商业上可用的端点代理,诸如从PaloAlto Networks公司可用的Palo Alto Networks® TrapsTM代理,其是用于端点安全的高度可扩展的轻量代理,如上文类似地描述的Palo Alto Networks® GlobalProtect客户端(GP)和/或其他商业上可用的EP代理解决方案)提供,该轻量代理可以在例如各种不同的客户端/主机设备平台(例如,Microsoft® Windows® OS平台、Apple iOS/MAC® OS平台、Google Andriod® OS平台、Linux OS平台和/或用于客户端、服务器和/或移动电话/其他设备的其他操作系统)上执行以便于与网络设备302、防火墙312和/或云安全服务310协调地执行所公开的技术,诸如下文进一步描述的。
例如,可以执行所公开的技术以应用精细粒度策略实施来保护企业资源(例如,客户端设备(304A-C)、服务器(350)和/或企业网络上的另一资源/设备)。作为另一个示例,可以执行所公开的技术以基于进程风险重定向出站/入站横向业务,以保护企业资源(例如,客户端设备(304A-C)、服务器(350)和/或企业网络上的另一个资源/设备),诸如检测/响应尝试访问企业资源的未知/不可信进程ID和/或检测/响应以企业资源为目标的另一个可疑/恶意活动。
现在将显而易见的是,关于图1-3描述的各种功能可以由安全服务310来辅助或(部分地)实现。例如,安全服务310可以减少网络设备302上的处理。作为另一示例,基于精细粒度策略的防火墙策略违背的检测可由网络设备302报告给安全服务310和/或基于进程风险可将出站/入站横向业务踢到安全服务310。在一个示例性实现方式中,企业网络订阅道安全服务,并且网络设备可以安全地与安全服务通信(例如,使用诸如由Palo AltoNetwork®提供的商业上可用的基于云的安全服务,其经由WildFire API提供API支持,诸如用于提交文件或PCAP或其他内容以供恶意软件分析)。另一示例是使用URL过滤订阅服务(例如,Palo Alto Networks PAndb URL过滤订阅服务或另一商业上可用的URL过滤订阅服务)来提交一个或多个URL (例如,URL、网页的全部或部分、网页的统计/变换版本的提交,其可以包括表单字段名、类型、默认值、参数等的列表)以用于基于云的异步分析。然后,基于云的异步分析的结果可以被提供回网络设备/防火墙(和/或其他网络/过滤设备)和/或EP代理,以用于可能的响应动作。
用于提供精细粒度策略实施和/或基于进程风险的出站/入站横向业务踢出的网络设备的硬件组件
图4是根据一些实施例的用于提供精细粒度策略实施和/或基于进程风险的出站/入站横向业务踢出的网络设备的硬件组件的图。所示的示例是可以包括在网络设备302中的物理/硬件组件(例如,装置、网关或服务器)的表示。具体地,网络设备302包括高性能多核CPU 402和RAM 404。网络设备302还包括存储装置410 (例如,一个或多个硬盘或固态存储单元),其可以用于存储策略和其他配置信息以及签名。在一个实施例中,存储装置410存储精细粒度策略和(一个或多个)表(例如,或另一数据存储格式),所述表包括进程ID信息(例如,进程ID摘要)、相关联的网络会话信息(例如,相关联的IP地址)、用于相关联的网络会话的APP ID和可能的其他信息(例如,用户ID、内容ID和/或其他信息),以用于提供精细粒度策略实施和/或出站/入站横向业务踢出,诸如下面进一步描述的。网络设备302还可以包括一个或多个可选的硬件加速器。例如,网络设备302可以包括被配置为执行加密和解密操作的密码(crypto)引擎406,以及被配置为执行签名匹配、充当网络处理器和/或执行其他任务的一个或多个FPGA 408。
用于提供精细粒度策略实施和/或基于进程风险的出站/入站横向业务踢出的网络设备的逻辑组件
图5是根据一些实施例的用于提供精细粒度策略实施和/或基于进程风险的出站/入站横向业务拒绝的网络设备的逻辑组件的图。所示的示例是可以包括在网络设备302中的逻辑组件的表示。如图所示,网络设备302包括管理平面502和数据平面504。在一个实施例中,管理平面负责管理用户交互,诸如通过提供用于配置策略和查看日志数据的用户接口。数据平面例如通过执行分组处理和会话处置来负责管理数据。
假设客户端304A试图使用诸如SSL等经加密的会话协议来访问服务器308B。网络处理器506被配置为从客户端304A接收分组,并且将分组提供给数据平面504以进行处理。流508将分组标识为新会话的一部分,并创建新会话流。基于流查找,后续分组将被识别为属于会话。如果适用,SSL解密引擎510使用如本文所述的各种技术来应用SSL解密(例如,如上文关于图1的解密组件110类似地描述)。否则,省略SSL解密引擎510的处理。应用标识和用户标识(APP ID)模块512被配置为确定会话涉及什么类型的业务/协议,并且被配置为标识与业务流相关联的用户,以提供app/用户控制和内容控制,用于执行用于提供精细粒度策略实施和/或基于进程风险的出站/入站横向业务踢出的所公开的技术(例如,如上文关于图1的APP ID和用户ID检查组件108类似地描述的)。例如,APP ID 512可以识别所接收的数据中的GET请求,并且推断会话需要HTTP解码器。对于每种类型的协议,都存在对应的解码器514 (例如,如以上针对图1的网络业务处理组件112、114和116类似地描述的)。在一个实施例中,应用标识由应用标识模块(例如,APP-ID引擎/组件)执行,用户标识由另一功能/组件执行,和/或内容标识由又一功能/组件执行。基于APP ID 512所做出的确定,分组被发送到适当的解码器514。解码器514被配置为将分组(例如,其可以是无序接收的)组装成正确的顺序,执行令牌化,并提取出信息(例如,提取URL和/或其他信息)。解码器514还执行签名匹配以确定分组应该发生什么。SSL加密引擎516使用如本文所述的各种技术来执行SSL加密。可以使用转发组件518来转发分组。还如附图所示,策略520 (例如,包括精细粒度防火墙策略)被接收并存储在管理平面502中。在一个实施例中,如本文关于各种实施例所描述的,基于所监视、解密、识别和解码的会话业务流,应用策略实施(例如,策略可以包括一个或多个规则,其可以使用域和/或主机/服务器名称来指定,并且规则可以应用一个或多个签名或其他匹配准则或启发法,包括基于相关的APP ID和进程ID信息(以及可选地其他信息,诸如用户ID、内容ID、URL和/或其他信息)的规则,诸如如本文所公开的用于提供精细粒度策略实施和/或基于进程风险的出站/入站横向业务踢出)。
还如图5所示,还提供了高速缓存522 (例如,进程ID高速缓存,其可以维护包括进程ID (进程ID摘要)和相关联的会话信息的表或其他数据存储格式),用于维护企业网络上的会话的进程ID信息(例如,如本文所公开的,可以从EP代理接收进程ID信息),其可以用于实现用于提供精细粒度的策略实施和/或基于进程风险的出站/入站横向业务踢出的所公开的技术,如以下将进一步描述的。例如,进程ID高速缓存可以被维护在网络设备的管理平面(如图所示)和/或数据平面中。
用于提供精细粒度策略实施和/或基于进程风险的出站/入站横向业务踢出的整合的安全解决方案
图6是根据一些实施例的用于提供精细粒度策略实施和/或基于进程风险的出站/入站横向业务踢出的整合的安全解决方案的网络架构的图。在一个实施例中,网络设备602可以如上文参考图1-5类似地描述的那样实现,并且可以执行上文参考图1-5描述以及如下文进一步描述的功能。
参考图6,企业网络612包括网络设备602。在一个实施例中,网络设备602与用于管理端点(EP)代理608A、608B和608C (例如,主机/EP代理,诸如如上类似地描述的)的端点安全管理器(ESM) 604 (如图所示) (安全的)通信或整合。在示例性实现方式中,ESM可以被实现为不同的组件/服务器,或者可以被实现为网络设备的整合的组件。例如,ESM可以使用可从Palo Alto Networks公司获得的商业上可用的管理解决方案或其他商业上可用的管理解决方案来实现,诸如用于管理端点安全代理的端点安全管理器(ESM)服务器和用于管理多个ESM服务器的ESM控制台。
在一个实施例中,提供网络网关防火墙管理器(NGFWM) (未示出)用于管理网络网关防火墙 (NGFW)设备(例如,网络设备/防火墙,诸如图6所示的网络设备/防火墙602)。在该实施例中,ESM (604)可以与NGFWM整合在一起或通信。在一个示例性实现方式中,NGFWM可以实现为不同的组件/服务器,或者可以实现为企业网络上的一个或多个网络设备的整合的组件。例如,NGFWM可以使用可从Palo Alto Networks公司获得的商业上可获得的管理解决方案来实现,以用于管理多个网络设备/防火墙,诸如用于集中式设备管理的PanoramaTM网络安全管理,其使得用户能够集中地管理配置网络设备、部署安全策略、执行司法鉴定分析以及生成跨下一代防火墙的整个网络的报告的进程(例如,可作为虚拟装置或专用管理平台获得的)。例如,NGFWM可以使用可从Palo Alto Networks公司获得的商业上可获得的管理解决方案或其他商业上可获得的管理解决方案来实现,诸如用于管理网络设备/防火墙的NGFWM服务器和用于管理多个网络设备/防火墙的NGFWM控制台。
如图所示,网络设备602与安全服务610通信。例如,安全服务可以提供与以上参考图3的安全服务310所描述的以及以下进一步描述的类似的整合和协调。在一个示例性实现方式中,安全服务可以使用商业上可获得的安全服务来实现,诸如由Palo Alto Networks®提供的WildFireTM基于云的恶意软件分析环境。
同样如图6所示,EP代理608A-C与网络设备602通信(例如,如上所述类似地,在EP代理和网络设备之间可以实现各种安全通信/隧道传输技术)。例如,EP代理608C可以配置有策略(例如,EP安全策略),以向网络设备602报告用于所选择的进程(例如,未知/可信的进程或其他可疑进程,以及在一些情况下,已知/可信的进程,诸如基于EP安全策略)的进程ID信息(例如,如上所述类似的摘要)和相关联的会话信息(例如,源/目的地端口号和IP地址信息,以及可选地其他信息)。网络设备602可以存储进程ID信息和相关联的网络会话信息(例如,如上所述的类似的在高速缓存中)。如果会话不能以其他方式被检查/通过网络设备602,那么EP代理608C可以被配置有策略(例如EP安全策略)以将会话踢到/重定向到网络设备602,以允许使用网络设备602进行安全检查。网络设备602检查与网络会话相关联的网络业务,并且确定与相同网络会话的进程ID信息相关的APP ID (例如,以及潜在地其他信息,诸如用户ID、内容ID、URL和/或其他信息)。网络设备602使用相关的APP ID和进程ID信息(例如,以及潜在的其他信息,诸如用户ID、内容ID、URL和/或其他信息)来应用策略,以确定是否执行响应动作(例如,基于该相关的信息和在安全/防火墙策略中配置的一个或多个规则,诸如精细粒度防火墙策略)。在该示例中,网络设备602提供安全响应给EP代理608C,如图6所示,诸如以允许或取消该进程和/或执行另一个响应动作。网络设备还可以在网络设备处执行响应/安全动作,以诸如允许、丢弃或阻止网络设备处的网络业务。如在该示例中还示出的,网络设备602与安全服务610通信,并且在一些情况下,网络设备向安全服务提供相关的APP ID和进程ID信息(例如,恶意软件进程和摘要映射,以及潜在的其他信息,诸如用户ID、内容ID、URL和/或其他信息),其可以执行对进程的进一步分析(例如,安全服务可以基于确定进程是否是恶意软件(并且应当被添加到针对相关联的APP ID的未授权进程的黑名单)或者是已知的/可信的(并且应当被添加到针对相关联的APP ID的授权进程的白名单)来提供判断)。
在一个实施例中,整合的安全解决方案促进企业网络中和与企业网络相关联的EP设备上精细粒度策略实施和/或基于进程风险的出站/入站横向业务踢出。例如,所公开的平台可以提供可以跨企业网络延伸的精细粒度策略实施和/或基于进程风险的出站/入站横向业务踢出,所述企业网络包括内部以及移动用户和各种其他EP设备(例如,认证/访问企业网络可以导致/要求使用公知技术将EP代理部署到移动设备)。
如下面进一步描述的,所公开的技术可以防止/阻挡各种安全威胁(例如,内部威胁和/或试图在企业网络中横向移动的恶意软件)。所公开的技术还可以保护企业网络和相关联的端点免受各种零日威胁和未知恶意软件威胁。
此外,整合的安全解决方案还与提供整合的安全智能的安全服务通信,以促进企业网络上的精细粒度策略实施和/或基于进程风险的出站/入站横向业务踢出,包括网络设备和与企业网络相关联的EP设备。这样,所公开的技术促进跨企业网络各处的所有威胁向量的精细粒度策略实施和/或基于进程风险的出站/入站横向业务踢出。
用于使用会话APP ID和端点进程ID相关性的精细粒度防火墙策略实施的过程
图7是根据一些实施例的用于执行精细粒度策略实施的流程图。在各种实施例中,图7中所示的过程由网络设备/防火墙执行,如以上参考图1-6类似地描述的。
在702处,在企业网络上的网络设备处接收来自在EP设备上执行的EP代理的进程标识(ID)信息。例如,进程标识信息标识从企业网络上的EP设备发起网络会话的进程。
在704处,在网络设备处监视与网络会话相关联的网络通信,以识别网络会话的应用标识(APP ID)。例如,可以在网络设备/防火墙处监视网络业务以确定APP ID (例如,和/或其他信息,诸如用户ID、内容ID、URL和/或其他信息),诸如图3中所示的网络设备302/防火墙312和图6中所示的网络设备602/防火墙604。
在706处,使用进程ID信息和APP ID基于安全策略执行动作。例如,(一个或多个)响应动作可以包括以下中的一个或多个:节流网络会话,阻止网络会话,向EP代理发送请求以终止在EP设备上执行的进程,生成警报,记录网络会话,向EP代理发送进程ID信息和APPID,以及向安全服务发送进程ID信息和APP ID以基于进程ID信息和APP ID请求判断。
在一个实施例中,网络设备/防火墙与安全服务通信,并且可以帮助执行上述技术,以使用来自一个或多个网络设备/防火墙、EP代理的共享智能来进行精细粒度策略实施,以诸如收集/接收相关的进程ID信息和APP ID信息,并且对不可信/未知进程ID (例如,与这样的进程ID相关联的样本)执行恶意软件分析。
图8是根据一些实施例的用于执行精细粒度策略实施的另一流程图。在各种实施例中,图8中所示的过程由网络设备/防火墙执行,如以上参考图1-6类似地描述的。
在802处,在企业网络上的网络设备处接收来自在EP设备上执行的EP代理的进程标识(ID)信息。例如,进程标识信息标识从企业网络上的EP设备发起网络会话的进程。
在804处,在网络设备处监视与网络会话相关联的网络通信,以识别网络会话的应用标识(APP ID)。例如,可以在网络设备/防火墙处监视网络业务以确定APP ID (例如,和/或其他信息,诸如用户ID、内容ID、URL和/或其他信息),诸如图3中所示的网络设备302/防火墙312和图6中所示的网络设备602/防火墙604。
在806处,执行在网络设备处将进程ID信息和APP ID相关。例如,网络设备可以高速缓存/存储相关的进程ID信息和APP ID的表(例如,和/或诸如用户ID、内容ID和/或URL之类的其他信息也可以被包括在该表中)。
在808处,执行基于进程ID信息和APP ID来确定要执行的响应动作以实施精细粒度防火墙策略。例如,(一个或多个)响应动作可以包括可以响应于基于相关的进程ID信息和APP ID检测到可疑活动而执行的以下中的一个或多个:节流网络会话,阻止网络会话,向EP代理发送请求以终止在EP设备上执行的进程,生成警报,记录网络会话,向EP代理发送进程ID信息和APP ID,以及向安全服务发送进程ID信息和APP ID以基于进程ID信息和APP ID请求判断。
基于进程风险的出站/入站横向业务踢出的过程
图9是根据一些实施例的用于执行基于进程风险的出站/入站横向业务踢出的流程图。在各种实施例中,图9中所示的过程由网络设备/防火墙执行,如以上参考图1-6类似地描述的。
在902处,基于由在EP设备上执行的EP代理实现的EP安全策略,选择用于踢到企业网络上的网络设备的进程。
在904处,在企业网络上的网络设备处接收来自在EP设备上执行的EP代理的进程标识(ID)信息。例如,进程标识信息标识从企业网络上的EP设备发起网络会话的进程,其中EP代理选择网络会话用于踢到网络设备进行检查。
在906处,在网络设备处监视与网络会话相关联的网络通信,以识别网络会话的应用标识(APP ID)。例如,可以在网络设备/防火墙处监视网络业务以确定APP ID (例如,和/或其他信息,诸如用户ID、内容ID、URL和/或其他信息),诸如图3中所示的网络设备302/防火墙312和图6中所示的网络设备602/防火墙604。
在908处,基于进程ID信息和APP ID来执行确定响应动作以用于实施安全策略(例如,精细粒度防火墙策略)。例如,(一个或多个)响应动作可以包括以下中的一个或多个:节流网络会话,阻止网络会话,向EP代理发送请求以终止在EP设备上执行的进程,生成警报,记录网络会话,向EP代理发送进程ID信息和APP ID,以及向安全服务发送进程ID信息和APPID以基于进程ID信息和APP ID请求判断。
图10是根据一些实施例的用于执行基于进程风险的出站/入站横向业务踢出的另一流程图。在各种实施例中,图10中所示的过程由网络设备/防火墙执行,如以上参考图1-6类似地描述的。
在1002处,在EP设备处使用在EP设备上执行的EP代理监视进程活动,以识别与进程相关联的网络会话。例如,网络会话可以对应于企业网络中的横向移动,如果不被踢到网络设备进行检查,则其可以以其他方式规避防火墙/安全检查。
在1004处,执行生成进程标识(ID)信息。例如,进程标识信息(例如,包括进程摘要和其他信息,诸如源/目的地IP地址、源/目的地端口号和协议)标识与网络会话相关联的进程。
在1006处,执行基于由网络设备实现的安全策略来选择用于踢到企业网络上的网络设备以供检查的网络会话。例如,由在EP设备上执行的EP代理实现的EP安全策略可以被应用来选择与潜在风险/恶意进程相关联的网络业务会话(例如,与不可信/未知进程ID相关联的网络会话),以用于入站/出站踢出以供使用防火墙进行检查,这是更高效和有效的,因为检查网络内的所有横向移动通常在计算上太昂贵。
在1008处,执行将进程ID信息发送到企业网络上的网络设备。例如,网络设备使用在网络设备处针对网络会话确定的进程ID信息和APP ID,基于安全策略来确定要执行的动作。
在1010处,执行基于安全策略将网络会话踢到网络设备以供检查。例如,所选择的网络会话可以通过预先建立的隧道(例如,虚拟专用网络(VPN)隧道)被路由到网络设备(例如,实现实施精细粒度安全策略的防火墙)。
尽管为了清楚理解的目的已经相当详细地描述了上述实施例,但是本发明并不限于所提供的细节。存在许多实现本发明的可选方式。所公开的实施例是说明性的而非限制性的。

Claims (18)

1.一种系统,包括:
在企业网络上的网络设备的处理器,被配置为:
从在EP设备上执行的端点(EP)代理接收进程标识(ID)信息,其中所述进程标识信息标识在企业网络上从EP设备发起网络会话的进程;
在网络设备处监视与网络会话相关联的网络通信,以识别网络会话的应用标识(APPID);以及
使用进程ID信息和APP ID基于安全策略实施动作,包括执行以下中的一个或多个:
A)基于对应于二进制文件的进程ID不具有与针对网络通信标识的APP ID的已知关联而确定在EP设备上执行的二进制文件实施未被列入白名单或二进制文件允许的网络通信;以及
响应于确定二进制文件实施未被列入白名单或二进制文件允许的网络通信,阻止与二进制文件关联的网络通信;
B)确定与网络会话关联的分组与未知进程ID或不可信进程ID相关联,直到确定与网络会话相关联的APP ID为止;以及
响应于确定与网络会话关联的分组与未知进程ID或不可信进程ID相关联,直到确定与网络会话相关联的APP ID为止,阻止/丢弃分组,保持/隔离分组,对分组记录日志或对分组节流;或者
C)确定来自EP设备的网络会话的网络业务未被EP代理与EP设备上的任何应用相关联;以及
响应于确定来自EP设备的网络会话的网络业务未被EP代理与EP设备上的任何应用相关联,执行与网络会话相关联的网络活动的根程序包检测;
存储器,耦合到处理器并被配置以向处理器提供指令。
2.根据权利要求1所述的系统,其中所述EP代理实现EP安全策略,其中所述网络设备包括防火墙,并且其中所述安全策略包括精细粒度防火墙策略,所述精细粒度防火墙策略包括使用分层进程ID的分层进程分组。
3.根据权利要求1所述的系统,其中所述网络会话和/或所述进程基于安全策略和/或基于由EP代理实现的EP安全策略而被确定为可疑的。
4.根据权利要求1所述的系统,其中所述处理器还被配置为:
在所述网络设备处将进程ID信息与APP ID相关联。
5.一种系统,包括:
在企业网络上的网络设备的处理器,被配置为:
从在EP设备上执行的端点(EP)代理接收进程标识(ID)信息,其中所述进程ID信息标识与企业网络上的EP设备上的出站或入站网络会话相关联的进程,并且其中所述EP代理选择网络会话用于踢到网络设备以供检查;
在网络设备处监视与网络会话相关联的网络通信,以识别网络会话的应用标识(APPID);以及
使用进程ID信息和APP ID基于安全策略实施动作,包括实施以下中的一个或多个:
A)基于对应于二进制文件的进程ID不具有与针对网络通信标识的APP ID的已知关联而确定在EP设备上执行的二进制文件实施未被列入白名单或二进制文件允许的网络通信;以及
响应于确定二进制文件实施未被列入白名单或二进制文件允许的网络通信,阻止与二进制文件关联的网络通信;
B)确定与网络会话关联的分组与未知进程ID或不可信进程ID相关联,直到确定与网络会话相关联的APP ID为止;以及
响应于确定与网络会话关联的分组与未知进程ID或不可信进程ID相关联,直到确定与网络会话相关联的APP ID为止,阻止/丢弃分组,保持/隔离分组,对分组记录日志或对分组节流;或者
C)确定来自EP设备的网络会话的网络业务未被EP代理与EP设备上的任何应用相关联;以及
响应于确定来自EP设备的网络会话的网络业务未被EP代理与EP设备上的任何应用相关联,执行与网络会话相关联的网络活动的根程序包检测;以及
存储器,耦合到处理器并且被配置以向处理器提供指令。
6.根据权利要求1或5所述的系统,其中所述进程ID信息被确定为未知或不可信的进程,并且其中所述网络会话和/或所述进程基于安全策略和/或基于由EP代理实现的EP安全策略被确定为可疑的。
7.根据权利要求1或5所述的系统,其中所述进程ID信息被确定为已知进程,其未被授权用于基于安全策略在企业网络上执行对应于APP ID的网络会话,并且其中所述网络会话和/或所述进程基于安全策略而被确定为可疑的。
8.根据权利要求1或5所述的系统,其中,所述处理器还被配置为:
在网络设备处将进程ID信息与APP ID相关。
9.根据权利要求1或5所述的系统,其中,所述处理器还被配置为:
在网络设备处将进程ID信息与APP ID相关;以及
基于相关的进程ID信息和APP ID来检测可疑活动。
10.根据权利要求1或5所述的系统,其中所述安全策略是精细粒度防火墙策略,并且其中所述处理器还被配置为:
在网络设备处将进程ID信息与APP ID相关;以及
基于进程ID信息和APP ID来确定要执行的响应动作以用于精细粒度防火墙策略的实施。
11.根据权利要求1或5所述的系统,其中,使用进程ID信息和APP ID基于安全策略实施动作包括以下中的一个或多个:
节流网络会话,阻止网络会话,向EP代理发送请求以终止在EP设备上执行的进程,生成警报,记录网络会话,向EP代理发送进程ID信息和APP ID,以及向安全服务发送进程ID信息和APP ID以基于进程ID信息和APP ID请求判断。
12.根据权利要求1或5所述的系统,其中,所述处理器还被配置为:
建立与EP设备的安全通信信道,用于接收进程ID信息并且使用进程ID信息和APP ID基于安全策略发送要执行的响应动作,其中所述响应动作包括终止在EP设备上执行的进程和/或卸载与EP设备上的进程相关联的可执行文件。
13.根据权利要求5所述的系统,其中所述EP代理实现EP安全策略以将网络会话选择性地踢到企业网络上的网络设备,其中所述网络设备包括防火墙,并且其中所述安全策略包括精细粒度防火墙策略。
14.根据权利要求5所述的系统,其中所述网络会话是入站网络会话或出站网络会话,并且其中所述网络会话和/或所述进程基于安全策略和/或基于由EP代理实现的EP安全策略被确定为可疑的。
15.根据权利要求5所述的系统,其中所述处理器还被配置为:
验证所述网络会话先前未被另一网络设备检查。
16.一种系统,包括:
在企业网络上的端点(EP)设备的处理器,被配置为:
使用在EP设备上执行的EP代理监视在EP设备处的进程活动以识别与进程相关联的网络会话,其中所述网络会话对应于企业网络中的出站或入站横向移动;
生成进程标识(ID)信息,其中所述进程ID信息标识与网络会话相关联的进程;
基于由网络设备实现的安全策略来选择网络会话用于踢到企业网络上的网络设备以供检查,其中,所述网络会话是入站网络会话或出站网络会话,包括实施以下中的一个或多个:
A)接收与网络会话相关联的网络业务,其中网络业务具有未知源或未知进程;以及
将网络业务重定向到网络设备以用于附加检查;
B)从没有EP代理的设备接收网络业务,其中网络业务试图访问管理/受保护EP设备;以及
将来自没有EP代理的设备的网络业务重定向到网络设备以用于附加检查;
C)将网络会话重定向到强制门户以要求周期性用户认证以及提供一段时间内的认证;
D)将到企业网络上的资源的访问限制到分配的IP地址范围,锁定到IP范围,用于认证的周期性多因素要求或其任何组合;
E)确定来自EP设备的网络会话不能与EP代理套接字匹配;以及
响应于确定来自EP设备的网络会话不能与EP代理套接字匹配确定EP设备没有被根程序包感染;或者
F)确定与源设备或服务器相关联的EP代理已经被禁用、损坏、故障、卸载或其组合;以及
响应于确定与源设备或服务器相关联的EP代理已经被禁用、损坏、故障、卸载或其组合,禁止网络业务或将与源设备或服务器关联的网络业务转向到不同网络段;以及
存储器,耦合到处理器并且被配置以向处理器提供指令。
17.根据权利要求16所述的系统,其中所述EP代理实现EP安全策略以将网络会话选择性地踢到企业网络上的网络设备,其中所述网络设备包括防火墙,并且其中所述安全策略包括精细粒度防火墙策略。
18.根据权利要求16所述的系统,其中为了避免双重检查,使用带外和/或带内通信来确定经由网络会话与EP设备通信的另一EP设备是否具有安装的和起作用的EP代理。
CN201880072875.9A 2017-09-15 2018-09-14 使用会话app id和端点进程id相关性的精细粒度防火墙策略实施 Active CN111295640B (zh)

Applications Claiming Priority (5)

Application Number Priority Date Filing Date Title
US15/705512 2017-09-15
US15/705,512 US10855656B2 (en) 2017-09-15 2017-09-15 Fine-grained firewall policy enforcement using session app ID and endpoint process ID correlation
US15/705,516 US10931637B2 (en) 2017-09-15 2017-09-15 Outbound/inbound lateral traffic punting based on process risk
US15/705516 2017-09-15
PCT/US2018/051152 WO2019055830A1 (en) 2017-09-15 2018-09-14 FINE FIREWALL POLICY APPLICATION USING SESSION APPLICATION IDENTIFICATION CORRELATION AND END-POINT PROCESS IDENTIFICATION

Publications (2)

Publication Number Publication Date
CN111295640A CN111295640A (zh) 2020-06-16
CN111295640B true CN111295640B (zh) 2024-05-24

Family

ID=65723090

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201880072875.9A Active CN111295640B (zh) 2017-09-15 2018-09-14 使用会话app id和端点进程id相关性的精细粒度防火墙策略实施

Country Status (3)

Country Link
EP (1) EP3682325A4 (zh)
CN (1) CN111295640B (zh)
WO (1) WO2019055830A1 (zh)

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111917764A (zh) * 2020-07-28 2020-11-10 成都卫士通信息产业股份有限公司 一种业务运行方法、装置、设备及存储介质
CN112087294B (zh) * 2020-08-13 2022-03-18 中国电子科技集团公司第三十研究所 一种基于密态哈希标签防护的便携式安全计算机系统
CN112839049B (zh) * 2021-01-18 2023-07-11 北京长亭未来科技有限公司 Web应用防火墙防护方法、装置、存储介质及电子设备
CN113794640B (zh) * 2021-08-20 2022-11-18 新华三信息安全技术有限公司 一种报文处理方法、装置、设备及机器可读存储介质
CN113992412B (zh) * 2021-10-28 2023-06-16 唯品会(广州)软件有限公司 一种云原生防火墙的实现方法及相关设备

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8365276B1 (en) * 2007-12-10 2013-01-29 Mcafee, Inc. System, method and computer program product for sending unwanted activity information to a central system
CN102918801A (zh) * 2010-05-27 2013-02-06 瑞科网信科技有限公司 将网络流量策略应用于应用会话的系统和方法
CN103765846A (zh) * 2011-02-23 2014-04-30 迈克菲股份有限公司 用于互锁主机和网关的系统和方法

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20030084323A1 (en) * 2001-10-31 2003-05-01 Gales George S. Network intrusion detection system and method
US9781148B2 (en) * 2008-10-21 2017-10-03 Lookout, Inc. Methods and systems for sharing risk responses between collections of mobile communications devices
US8839404B2 (en) * 2011-05-26 2014-09-16 Blue Coat Systems, Inc. System and method for building intelligent and distributed L2-L7 unified threat management infrastructure for IPv4 and IPv6 environments
EP3061030A4 (en) * 2013-10-24 2017-04-19 McAfee, Inc. Agent assisted malicious application blocking in a network environment
US10354070B2 (en) * 2015-08-22 2019-07-16 Avocado Systems Inc. Thread level access control to socket descriptors and end-to-end thread level policies for thread protection
WO2017100364A1 (en) * 2015-12-07 2017-06-15 Prismo Systems Inc. Systems and methods for detecting and responding to security threats using application execution and connection lineage tracing
US9984248B2 (en) * 2016-02-12 2018-05-29 Sophos Limited Behavioral-based control of access to encrypted content by a process

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8365276B1 (en) * 2007-12-10 2013-01-29 Mcafee, Inc. System, method and computer program product for sending unwanted activity information to a central system
CN102918801A (zh) * 2010-05-27 2013-02-06 瑞科网信科技有限公司 将网络流量策略应用于应用会话的系统和方法
CN103765846A (zh) * 2011-02-23 2014-04-30 迈克菲股份有限公司 用于互锁主机和网关的系统和方法

Also Published As

Publication number Publication date
CN111295640A (zh) 2020-06-16
EP3682325A4 (en) 2021-06-02
WO2019055830A1 (en) 2019-03-21
EP3682325A1 (en) 2020-07-22

Similar Documents

Publication Publication Date Title
US12003485B2 (en) Outbound/inbound lateral traffic punting based on process risk
US10855656B2 (en) Fine-grained firewall policy enforcement using session app ID and endpoint process ID correlation
US20230388349A1 (en) Policy enforcement using host information profile
US11128656B2 (en) Selective sinkholing of malware domains by a security device via DNS poisoning
JP6106780B2 (ja) マルウェア解析システム
US10652210B2 (en) System and method for redirected firewall discovery in a network environment
EP3519911B1 (en) Multifactor authentication as a network service
CN111295640B (zh) 使用会话app id和端点进程id相关性的精细粒度防火墙策略实施
AU2012259113A1 (en) Malware analysis system
US20220070223A1 (en) Security platform with external inline processing of assembled selected traffic
US20240039893A1 (en) Beacon and threat intelligence based apt detection
WO2024025705A1 (en) Cobalt strike beacon http c2 heuristic detection

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant