答案很簡單：測試一下即可。

　　用戶及其憑證是任何企業(yè)安全基礎架構中最薄弱的環(huán)節(jié)之一。因此，阻止攻擊的關鍵首先在于防止竊取。

　　通過預防憑證竊取并阻止網絡釣魚攻擊，將減少針對企業(yè)的最普遍的攻擊形式之一的暴露風險。采用基于機器學習分析的新一代防火墻可以提高防護措施的實施速度。如果分析將站點識別為惡意站點，應該更新企業(yè)的防火墻并阻截該站點。

　　攻擊者可以通過多種方式獲取竊取的憑證：網絡釣魚、惡意軟件、社交工程、暴力破解或黑市購買。一旦攻擊者獲得竊取的憑證，便可以濫用這些信息以進入某個企業(yè)橫向移動，并通過升級權限來訪問未授權的應用和數(shù)據(jù)。

　　對企業(yè)的防火墻實施多重身份驗證 (MFA) 有助于防止攻擊者使用竊取的憑證橫向移動。MFA 是一個很好的工具，作為防火墻策略的一部分， MFA 提高了實施速度，因為企業(yè)只需將MFA 集成到網絡策略中，而不需要更改應用本身。這樣可以更快地部署防護措施來滿足合規(guī)性要求。

　　當首先創(chuàng)建數(shù)據(jù)中心環(huán)境的安全策略并部署到防火墻時，假定分配的 IP 地址在策略的整個生命周期中保持不變。這些策略是靜態(tài)的，以通用方式覆蓋和應用。為了解決虛擬化數(shù)據(jù)中心的安全問題，企業(yè)的防火墻安全策略應該基于工作負載的屬性，而不是綁定到靜態(tài) IP 地址，因為數(shù)據(jù)中心環(huán)境是高度動態(tài)的。這可以通過新一代防火墻上的動態(tài)地址組完成。

　　動態(tài)地址組將安全策略與 IP 地址分離，并根據(jù)虛擬工作負載的屬性構建細化安全策略。針對防火墻的策略使用映射到工作負載屬性的標簽。這使企業(yè)可以構建綁定到工作負載的安全策略，從而增強安全狀態(tài)。動態(tài)地址組通過降低應用和安全團隊之間的依賴性而減少了運營開銷。

　　為了響應業(yè)務需求，安全團隊需要足夠的靈活性，能夠通過集中式工具和在現(xiàn)場實時更改防火墻。為了最大程度減少在本地進行更改的延遲，并使安全性符合企業(yè)的指導方針，企業(yè)的防火墻應支持完整管理所有防火墻功能，并為多個管理員提供基于角色的訪問控制 (RBAC)。企業(yè)的本地防火墻管理器工具應支持集中式工具上的全部功能集以進行本地管理，使本地團隊能夠按時完成各自的任務。

　　企業(yè)需要新一代防火墻，它提供單一的視圖來管理所有防火墻，無論其形式和位置如何。它通過簡化安全策略的配置、部署和管理，降低了安全工作的復雜性。企業(yè)需要一個工具來關聯(lián)防火墻日志，以提供網絡和安全洞察并揭露惡意行為，這些行為通常會淹沒于海量的信息中。

　　新一代防火墻的各個功能專門針對解決特定網絡安全需求，同時幫助企業(yè)成長而設計。

　　安全即插件已變?yōu)閭鹘y(tǒng)模型。如今的安全方案應該在早期階段與系統(tǒng)和流程集成，以避免復雜的、孤立的安全工具和控制系統(tǒng)的積聚。根據(jù) Verizon 2019 年數(shù)據(jù)泄露調查報告，從攻擊者第一次采取行動到資產初步受損的時間可以用分鐘來衡量。這意味著企業(yè)需要能夠確�；�礎設施的所有部分都能有效通信、快速自動響應以識別已知和未知威脅的工具，并能夠在這些威脅的攻擊生命周期中更快地阻止它們。

　　自動化和 API 使企業(yè)能夠在無需等待人工干預的情況下采取行動來抵御威脅，縮短響應時間，并且如果以適當?shù)姆绞脚c正確的工具配合使用，可以防止攻擊成功。一個提供自動化和原生集成的 API 的安全供應商能夠幫助安全團隊擺脫基本的操作任務，專注于直接有利于企業(yè)的戰(zhàn)略性工作。減少人工干預能夠減少可避免的錯誤，最終實現(xiàn)更安全的安全狀態(tài)。

　　每年都會發(fā)現(xiàn)數(shù)百萬個新的惡意軟件樣本和惡意網站。傳統(tǒng)的解決方案主要是在企業(yè)中的第一個受害者已經受到損害后，針對新發(fā)現(xiàn)的威脅提供保護�，F(xiàn)代威脅通常是根據(jù)大多數(shù)惡意軟件分析工具和管理程序所使用的開源技術，從中獲取知識，進而完成設計的。識別和防御規(guī)避型惡意軟件的能力比以往任何時候都更為重要。

　　大多數(shù)新式惡意軟件都會使用這些先進技術，可以繞過傳統(tǒng)常見的網絡安全解決方案，通過網絡安全設備、防火墻和沙箱發(fā)現(xiàn)工具來傳輸攻擊或漏洞利用。雖然我們無法構建單獨的工具來檢測每一個規(guī)避型惡意軟件，但充分利用可以識別規(guī)避技術并自動加以處置的系統(tǒng)是至關重要的。

　　Palo Alto Networks （派拓網絡）的新一代防火墻可以?

　　實現(xiàn)快速防御，提高效率，更好地運用專業(yè)人員的才智，改善企業(yè)的安全狀態(tài)。

　　防火墻能夠導入有關預定規(guī)則和策略的列表，使用后，允許防火墻針對列表中的對象進行相應操作。將自動化和動態(tài)列表整合到新一代防火墻中，是提高企業(yè)安全狀態(tài)的最有效和最高效的方式。企業(yè)的新一代防火墻供應商通常會提供動態(tài)列表，企業(yè)可以手動或通過集成第三方威脅情報來更新這些列表。因此，只需對動態(tài)列表進行規(guī)則和策略更改，與動態(tài)列表綁定的所有防火墻就會定期自動導入最新更新的防護措施。

　　如今的攻擊類型與存在風險的設備數(shù)量都超過以往。網絡釣魚、憑證濫用、社交攻擊、拒絕服務、勒索軟件和后門或 C2 惡意軟件都構成了真正的威脅。

　　沒有任何一種安全產品能夠自行成功地抵御每種類型的攻擊。攻擊生命周期中存在多個階段，因此，應設立多個防御層來阻止現(xiàn)代攻擊。多層防御是干擾潛在攻擊的最有效方法，安全架構的新增內容應對整個網絡的安全防護起到補充作用。

　　成功防御現(xiàn)代攻擊需要掌握對網絡流量和應用實施情況的可視性，及各種基于用戶和內容的策略，不存在萬無一失的解決之道，對于有能力在企業(yè)內完成整個攻擊生命周期的過渡的攻擊，超越其攻擊速度實施保護的唯一辦法就是自動化。為了有效預防，企業(yè)必須使用自動化并在各種安全工具之間共享信息，減少物聯(lián)網安全風險暴露。

　　如今，用戶的移動性和分散性越來越高，經常需要從全球各地對應用進行遠程訪問。隨著應用遷移到云端，分支機構的位置需要與總部相同的連接性和安全性。

　　現(xiàn)在，分布式企業(yè)必須使用軟件定義廣域網 (SD-WAN)。這種方法采用商品鏈接，支持智能管理和控制分支機構與云實例之間的連接。新一代防火墻必須能夠作為分支位置的 SD-WAN 邊緣設備和中心位置的 SD-WAN 中心運行。SD-WAN 功能應易于啟用，并在單個網絡安全管理界面上集中管理。

　　借助 SD-WAN，每個設備都得到集中管理，采用基于應用策略的路由，因此 WAN 管理器可以根據(jù)網絡需求的變化實時創(chuàng)建和更新安全規(guī)則。企業(yè)應該在用戶工作的任何地方提供同等水平的安全保護，不受內部或外部限制。部署選項應具備靈活性，以一致覆蓋所有用戶和所有位置。這樣，無論用戶身在何處，都能夠輕松地連接到云服務或防火墻，從而針對已知和未知威脅獲得同等的安全保護。

　　把用戶分為“可信”或“不可信”的舊網絡安全方法已經不再有效。保護現(xiàn)代網絡安全的最有效方法是采用零信任方法，強制實施最小特權訪問，并檢查所有位置的所有用戶、設備、內容和應用。零信任不是讓系統(tǒng)可信，而是消除信任。其核心原則是“永不信任，始終驗證”。

　　零信任方法為企業(yè)提供了構建分段網絡的路線圖。零信任可以作為一種強大的防護策略在整個企業(yè)（從網絡到端點和云）中實施。通過集成的方法，安全團隊可以在整個企業(yè)中從創(chuàng)建和管理到部署和維護，自動化和簡化零信任策略管理。

　　零信任的一個標準是借助作為分段網關的新一代防火墻的第 7 層策略和實施。新一代防火墻能夠實現(xiàn)邊界的微分段，并充當執(zhí)行點以及傳感器網絡，以便全面了解企業(yè)的流量。

　　新的新一代防火墻和組成安全基礎設施的各種安全產品應該是全面的，包括最佳技術、運行效率、經驗豐富、響應迅速的服務團隊。

　　《選擇新一代防火墻時需要測試的 10 個問題》作為跨職能對話的指導方針，使用這些指南有助于企業(yè)擴展自己的視角，以新的方式來審視新一代防火墻，確定企業(yè)的潛在安全投資能夠輕松部署，減輕運營負擔，以及在現(xiàn)在和未來為企業(yè)帶來最佳的防護和價值。

　　白皮書內還有10個問題的精華解析

　　以及專業(yè)建議的 RFP 問題

　　想下載完整版白皮書信息：https://start.paloaltonetworks.cn/10-things-to-test-NGFW?CampaignId=7014u000001dMmdAAE&referer=null&utm_content=Palo+Alto+Networks+CN&utm_medium=social&utm_source=FY21+Q1+10+Things+to+Test+in+Your+Future+NGFW