De acuerdo

Comprendiendo el flujo de defensa APT dentro de la solución Huawei NIP6000

29 0 0 0

En esta publicación describiremos el mecanismo de implementación y el procedimiento de defensa APT a través del interfuncionamiento entre el NIP y el sandbox.

 

El NIP proporciona la función de defensa profesional IAE y APT e interfunciona con el entorno sandbox para detectar el tráfico de red. El NIP actualiza el archivo malicioso en caché y las listas de URL maliciosas en función del resultado de la detección. Si el tráfico posterior coincide con el archivo malicioso o la lista de URL maliciosas, se realiza la acción de bloqueo o alerta. La Figura 1 muestra el procedimiento de la defensa APT.

 

Figura 1 Procedimiento de la defensa APT


p3


Una vez que se activa la defensa APT, el NIP procesa el tráfico de red e interactúa con el entorno limitado de la siguiente manera:

 

1. Si el perfil de defensa APT coincide

Después de que el tráfico de red ingresa al NIP y pasa por la detección de la política de seguridad, el tráfico se envía al IAE para su detección. El IAE identifica dicha información como el protocolo de aplicación utilizado por el tráfico y realiza acciones de detección APT basadas en la configuración real.

 

Si el tráfico coincide con un perfil de defensa APT, se realiza la inspección posterior. Si el tráfico no coincide con un perfil de defensa APT, el tráfico se reenvía.


2. Si una URL maliciosa coincide

Si la detección de URL maliciosa está habilitada en el perfil de defensa APT, el dispositivo coincide con la URL del archivo a inspeccionar contra las URL maliciosas almacenadas en caché en el dispositivo. Si la URL coincide con una URL maliciosa, el dispositivo la bloquea y no se requiere ninguna inspección adicional. Las URL maliciosas almacenadas en caché en el dispositivo se generan en función de los resultados de la inspección del entorno sandbox.

 

3. Consulta de reputación web

La reputación web describe hasta qué nivel es confiable un sitio web. El NIP extrae la información del campo del host de la URL de un sitio web al que se accede y hace coincidir la cadena con las categorías del sitio web de reputación web. La reputación determina si extraer archivos del tráfico de la red y los envía al entorno sandbox para su detección. El procedimiento de consulta detallado es el siguiente:


p4


4. Si la reputación del archivo coincide

Si la función de detección de reputación de archivos está habilitada en el perfil de defensa APT, el dispositivo coincide con el archivo a inspeccionar contra las entradas de archivos maliciosos almacenados en caché en el dispositivo. Si el archivo coincide con un archivo malicioso, el dispositivo verifica si el archivo malicioso coincide con una excepción de reputación de archivo. En caso afirmativo, el dispositivo permite el archivo. Si no, el dispositivo realiza la acción correspondiente en el archivo y el archivo no necesita ser restaurado. De lo contrario, el archivo debe ser restaurado. Los archivos maliciosos almacenados en caché en el dispositivo pueden provenir de las siguientes fuentes:

 

Archivos maliciosos detectados por el sandbox

 

Archivos maliciosos en bases de datos de reputación de archivos, incluidas la base de datos de firmas de reputación de archivos y la base de datos de puntos de acceso de reputación de archivos.


Listas MD5 importadas de la web

 

Archivos maliciosos en la base de datos de reputación local en el CIS.

 

Archivos maliciosos obtenidos de un servidor de reputación remoto

 

5. Consulta remota de reputación de archivos

Antes de enviar los archivos restaurados al sandbox, el dispositivo realiza una consulta remota de reputación de archivos para determinar si son maliciosos. Si un archivo se determina como un archivo malicioso, el dispositivo actualiza la lista de archivos maliciosos almacenados en caché y no es necesario enviar el archivo al sandbox para su inspección. Si el tráfico posterior que llega al NIP coincide con un archivo malicioso, se realiza la acción especificada.

 

6. Archivos enviados al sandbox para detección

Los sandbox se dividen en locales y en la nube. El sandbox local ahorra los esfuerzos de transmisión de archivos a la extranet y garantiza la seguridad de los archivos. El entorno sandbox de la nube ofrece una capacidad de detección más completa, una actualización más oportuna de la información sobre amenazas y una mejor protección en la red empresarial.

 

El administrador seleccionará la aplicación y los tipos de archivo y el tipo de espacio aislado en el perfil de defensa APT en función de los requisitos reales y las redes. Los archivos restaurados se envían al entorno limitado especificado en el perfil de defensa APT. Todos los archivos contenidos en un flujo deben enviarse al sandbox de un solo tipo para su detección. Después de obtener los archivos, el sandbox ejecuta los archivos y compara sus firmas de comportamiento con la base de datos de firmas de comportamiento para determinar si el archivo es un archivo malicioso o si la URL para transferir el archivo es una URL maliciosa.


p5


7. Bloqueo de tráfico posterior basado en el resultado de detección de sandbox

El NIP lee periódicamente los resultados de detección de archivos del entorno sandbox. Después de habilitar la detección de URL maliciosa y la detección de reputación de archivos, el IAE actualiza el archivo malicioso en caché y las listas de URL maliciosas en función de los resultados de la inspección de sandbox. Si el tráfico posterior que llega al NIP coincide con un archivo malicioso o URL, se realiza la acción especificada. Si el tráfico coincide con una URL maliciosa, el dispositivo bloquea el tráfico. Si el tráfico coincide con un archivo malicioso, se realiza la acción especificada.

 

Si solo necesita determinar si existen amenazas en el tráfico sin realizar ninguna acción preventiva, no es obligatorio habilitar la detección de URL maliciosa o la detección de archivos maliciosos.

 

Saludos.

 

FIN

Comunidad Huawei Enterprise
https://forum.huawei.com/enterprise/es/forums

 

#ComunidadEnterprise

#OneHuawei

 


  • x
  • convención:

Comentar

Responder
Debe iniciar sesión para responder la publicación Inicio de sesión | Registrarse

Aviso Aviso: Para garantizar sus legítimos derechos e intereses, la comunidad y los terceros no publicarán contenido que pueda generar riesgos legales a las partes, por ejemplo, pornografía, contenido político, contenido sobre juego, consumo y tráfico de drogas, así como contenido que viole los derechos de propiedad intelectual de terceros, por ejemplo, secretos comerciales, marcas, derechos de autor, patentes y privacidad personal. No comparta su cuenta ni su contraseña con terceros. Todas las operaciones realizadas usando su cuenta se considerarán como sus acciones y todas las consecuencias que estas acciones generen serán responsabilidad suya. Para obtener información detallada, consulte la “ Política de privacidad.”
Si el botón para adjuntar no está disponible, actualice Adobe Flash Player con la versión más reciente

My Followers

¡Ingresa y disfruta de todos los beneficios para los miembros!

Inicia sesión

Comunidad Huawei Enterprise
Comunidad Huawei Enterprise