Palo Alto PAN-OS 11.0 - ML 驱动的 NGFW

使用 PAN-OS 11.0 Nova 以零压力阻止零日恶意软件

请访问原文链接：Palo Alto PAN-OS 11.0 - ML 驱动的 NGFW，查看最新版。原创作品，转载请保留出处。

作者主页：www.sysin.org

---

PAN-OS 11.0 Nova

使用 PAN-OS 11.0 Nova 以零压力阻止零日恶意软件
Anand Oswal
​2022 年 11 月 16 日凌晨 5:00

宣布行业领先的 PAN-OS 11.0 版本发布

威胁行为者不断改进他们的技术以避免被发现，因为他们针对的是越来越多的漏洞。2021 年新公布的漏洞数量超过 11000 个。开始扫描这些漏洞 攻击者在 CVE 公布后的 15 分钟内。在攻击者和防御者之间的这场持续不断的竞赛中，网络安全需要找到新的方法来保持领先。随着当今威胁形势的复杂化，恶意软件比以往任何时候都更加规避 (sysin)。对于网络安全，尤其是传统的 IPS 和沙盒解决方案，持续创新以领先于没有先验知识的新兴威胁至关重要。今天，我们宣布推出 PAN-OS 11.0 Nova – 网络安全的下一个发展版本，让您能够以零压力阻止零日恶意软件。

现代恶意软件的演变

由于 “即服务” 产品，访问最先进的恶意软件的障碍已经大大降低，恶意软件的部署变得更加容易。攻击者现在利用 Cobalt Strike、Metasploit 和 Sliver 等框架以及内置规避技术轻松绕过传统安全措施 (sysin)。这是一个强大的组合，攻击量更大，更难以预防。事实上，我们看到使用 Cobalt Strike 的攻击同比增加了 73%。

现代恶意软件采用规避技术的组合来避免检测，从通过检测执行环境保持休眠状态到完全在内存中执行恶意活动。这给网络防御者带来了巨大的压力，以防止攻击并迅速缩小检测与预防之间的差距。

零日攻击呈上升趋势

除了攻击数量和复杂性的增加外，零日攻击的使用也显着增加。事实上，我们已经看到 同比增长 100%。，这是攻击者用来初始访问网络的最常用方法之一 这在一定程度上是由于注入攻击日益流行——根据开放 Web 应用程序安全项目 (OWASP) 的 “十大 Web 应用程序安全风险” 列表 (sysin)。此外，威胁参与者利用这些漏洞的速度比软件供应商修补它们的速度更快，从而在组织容易受到攻击的情况下创造了一个暴露窗口。一旦进入，攻击者就会利用 Cobalt Strike 等流行的红队工具进行进一步的利用（例如，数据窃取、命令和控制以及其他恶意活动，例如用于加密挖掘的基础设施劫持）。网络安全必须不断发展，以防止进一步利用已知漏洞和零日漏洞。

提高网络安全标准

今年早些时候，我们推出了 PAN-OS 10.2 Nebula。Nebula 是一个巨大的飞跃，为世界各地的组织提供了他们需要的保护，我们相信，他们应得的。Nebula 首次引入 内联深度学习，使组织能够领先于新兴威胁。

通过在网络流量上实时应用深度学习内联，我们可以检测和预防新威胁，包括恶意软件变体 (sysin)。在 Nebula 中引入这些内联深度学习功能标志着网络安全的转变，使我们能够在未知攻击发生时阻止它们，而不仅仅是事后补救。

但是，创新不能就此止步。威胁行为者继续寻找新的方法在安全防御的雷达下飞行并渗透网络。他们不断创新、改变和适应。网络安全必须继续这样做。是时候换点新东西了。

向 Nova 问好

正如早期天文学家认为新星是新星是因为它们照亮了夜空，PAN-OS 11.0 Nova 带来了新的安全创新，将照亮未知的威胁。作为 Palo Alto Networks 同类最佳 PAN-OS® 的最新版本，Nova 扩展了我们行业领先的在线深度学习功能，以阻止更加规避的零日威胁。

Nova 不仅通过持续抵御零日威胁为现代网络安全奠定了基础，还提高了组织如何主动改善网络卫生和简化安全架构的标准。Nova 包括许多创新：

抵御零日威胁的安全性

• 现代恶意软件越来越规避。我们新的 Advanced WildFire 使用多项专利检测技术，包括智能运行时内存分析，可检测和防止比传统沙盒解决方案多 26% 的规避恶意软件。通过使用隐蔽技术，Advanced WildFire 能够在云范围内检查驻留在内存中的恶意活动，并分析 85,000 多名客户的文件，以近乎实时地跨网络、云和端点提供保护 (sysin)。我们能够通过跨越全球 10 多个云位置的尖端基础架构来实现这一目标，以实现低延迟，并利用云交付的检测每天分析 8000 万个以上的独特文件。
• 基于 PAN-OS 10.2 Nebula 中引入了新的云交付检测，中引入的内联深度学习功能，我们在 Advanced Threat Prevention 与传统 IPS 解决方案相比，可以实时阻止多出 60% 的零日注入攻击。这种增强的服务重新构想了入侵防御系统 (IPS)，它具有业界首创的用于阻止零日注入攻击的内联功能。

简化且一致的安全性

• Nova 的 NGFW 客户引入了本地集成的 Web 代理功能 为从传统本地代理解决方案迁移。通过单一供应商来支持防火墙和代理需求，客户受益于单一管理平台和跨园区位置、分支机构和移动用户的一致安全性。
• 与 ML-Powered NGFW 和 Prisma SASE 原生集成，下一代 CASB（云访问安全代理）现在包括全新的 SaaS 安全态势管理 (SSPM)，以帮助查找和消除 60 多个企业 SaaS 应用程序中的危险错误配置 (sysin)。客户在现代协作应用程序和可疑用户行为检测中获得近乎实时的数据保护。这可以保护现代 SaaS 应用程序中的敏感数据免受受损帐户和内部威胁。

更强的网络态势

• AIOps NGFW 的 （今年早些时候推出以减少可能导致安全漏洞的错误配置）现在每月跨 50,000 个防火墙处理 29B 指标，并每月主动与客户共享 24,000 个错误配置和其他问题以供解决。借助 Nova，AIOps 更加主动。AIOps 现在可以防范违反最佳实践的行为，并能够在提交更改之前修复安全策略中的低效问题，从而帮助组织加强对网络攻击的防御。

正如萧伯纳曾经说过的，“不改变就不可能进步。” 在 Palo Alto Networks，我们始终坚信要让我们的行业变得更好。要详细了解我们的最新创新以及我们如何突破网络安全的界限，请注册我们于 2023 年 1 月 31 日举行的发布活动 “零压力阻止零日恶意软件”。

虚拟化版本系统要求

• VM-Series for VMware vSphere Hypervisor (ESXi)
• VM-Series for VMware NSX-V
• VM-Series for VMware NSX-T
• VM-Series for KVM
• VM-Series for Nutanix
• VM-Series for Hyper-V
• VM-Series for OpenStack
• Cisco ACI: Hardware and VM-Series Firewalls in Cisco ACI

VM-Series for VMware vSphere Hypervisor (ESXi)

PAN-OS Version Support(Minimum)	VMware ESXi Version Support	VMware Virtual Machine Hardware Version	I/O Enhancement Support	Base Image
PAN-OS 9.1.x (9.1.0)	6.5, 6.7	vmx-10	SR-IOV, DPDK	PA-VM-ESX-9.1.0.ova
PAN-OS 9.1.x (9.1.0), PAN-OS 10.1.x (10.1.0)	6.7, 7.0	vmx-10	SR-IOV, DPDK	PA-VM-ESX-9.1.0.ova, PA-VM-ESX-10.1.0.ova
PAN-OS 10.2.x (10.2.0), PAN-OS 11.0.x (11.0.0)	6.7, 7.0	vmx-10	SR-IOV, DPDK	PA-VM-ESX-10.2.0.ova, PA-VM-ESX-11.0.0.ova

VM-Series for KVM

PAN-OS Version Support (Minimum)	VM-Series for KVM Version Support (Minimum)	I/O Enhancement Support	PAN-OS for VM-Series KVM Base Images
PAN-OS 9.1.x (9.1.0)	CentOS/Red Hat Enterprise Linux: 7.x.x (7.6.x)8.x.x (8.0.x)	DPDK with SR-IOV, DPDK with Virtio	PA-VM-KVM-9.1.x.qcow2
PAN-OS 10.1.x (10.1.0), PAN-OS 10.2.x (10.2.0), PAN-OS 11.0.x (11.0.0)	CentOS/Red Hat Enterprise Linux: 7.x.x (7.6.x)8.x.x (8.0.x)9.x.x (9.0.x)	DPDK with SR-IOV, DPDK with Virtio	PA-VM-KVM-10.1.x.qcow2, PA-VM-KVM-10.2.x.qcow2, PA-VM-KVM-11.0.0.qcow2
PAN-OS 9.1.x (9.1.0), PAN-OS 10.1.x (10.1.0)	Ubuntu 18.04	DPDK with SR-IOV, DPDK with Virtio	PA-VM-KVM-9.1.x.qcow2, PA-VM-KVM-10.1.x.qcow2
PAN-OS 10.1.x (10.1.0)	Ubuntu 20.04	DPDK with SR-IOV, DPDK with Virtio	PA-VM-KVM-10.1.x.qcow2
PAN-OS 10.1.x (10.1.0)	SUSE Enterprise Server 15 with QEMU 3.1.1	MacVTapVirtio	PA-VM-KVM-10.1.x.qcow2

下载地址

PAN-OS 11.0 Nova
百度网盘链接：https://sysin.org/blog/pan-os-11/