什么是 ML 驱动的 NGFW？

积极主动的 NGFW

在过去十年中，企业安全行业的大部分工作都集中在缩短对网络攻击做出反应的时间上。如果用一种新的模式来取代反应式防火墙呢？这就是以机器学习（ML）为核心的防火墙背后的思路，它将防火墙从一个被动的安全控制点转变为一个主动的安全控制点。ML-Powered NGFW 通过从海量数据中持续学习来检测多方面的 威胁 。 

四种机制助长了以 ML 为动力的 NGFW。

1. 内联机器学习
   大规模分布的恶意软件 算法通常会攻击单个受害者，并由此扩展。老一代的防御系统要么需要花费很长时间来重新编程基础架构以防止后续攻击，要么不得不停止并检查每个文件，其缓慢的响应速度让用户感到沮丧。在 ML-Powered NGFW 中，ML 算法被嵌入到防火墙代码中。这意味着，防火墙可以在下载文件时对其进行检查，如果文件是恶意的，则立即将其拦截，而无需访问离线工具。采用这种方法，从发现到预防的时间接近于零。
2. 零延迟签名
   在线 ML 可以检测和阻止新的恶意软件变种，但最复杂的攻击者往往会从头开始开发新的恶意软件。由 ML 驱动的 NGFW 重新构建了签名交付方式。无需等待至少 5 分钟的计划推送，而是在完成 ML 分析后几秒钟内执行签名更新并将其传输到防火墙。这意味着新的威胁会在第一个用户使用时被阻止，以后的突变也会被自动阻止。
3. 由 ML 驱动的物联网设备可见性
   摄像头和其他电子设备等物联网设备正以令人眼花缭乱的速度被添加到企业网络中，从而增加了 对物联网安全的需求 。想象一下，一台新摄像机开始通过 FTP 向不同的网络系统传输文件。老式的 IoT 设备安全解决方案依赖于现有的设备定义，无法跟踪意外或危险行为。基于 ML 的 NGFW 可使用基于 ML 的分类自动对类似设备（如摄像头和平板电脑）进行分组。这样，它就能跟踪和防止异常和有害活动。
4. 自动化、智能化的策略建议
   安全管理员发现，在手动更新 安全策略 的同时，要跟上网络上应用程序、设备和攻击的变化速度是一项挑战。他们往往采用放任政策，使网络面临未知的威胁。而 ML-Powered NGFW 则会将数百万 IoT 设备的元数据与网络的元数据进行比较，从而建立正常的行为模式。对于每个 IoT 设备和类别，ML-Powered NGFW 都会推荐允许的行为策略，从而为网络管理员节省无数个小时的手动更新时间。

为什么选择 ML 驱动的 NGFW？

ML-Powered NGFW 颠覆了迄今为止的安全部署和执行方式：

• 根据测试，它能主动即时预防高达 95% 的新威胁。
• 它能阻止恶意脚本和文件，同时不影响用户体验。
• 它无需额外硬件，即可将可视性和保护功能扩展到 IoT 设备。根据客户数据，检测到的 IoT 设备数量增加了三倍。
• 它能减少人为错误，自动更新安全策略，防止最先进的攻击。

想了解 Palo Alto Networks 如何利用机器学习保护当今企业免受未来威胁的侵害？阅读我们的电子书《 由 ML 驱动的 NGFW 的 4 个关键要素》：机器学习如何颠覆网络安全。

资源

^{1.麦肯锡公司，《网络安全转型视角》，2019 年 3 月。}