Aktualności

Aktualności:

Palo Alto Networks TRAPS – EXPLOITY w PUŁAPCE
2 listopada 2017
SDSN i BEZPIECZEŃSTWO SIECI ZAPRASZAMY na WARSZTATY
6 października 2017
CISCO UMBRELLA + INVESTIGATE w pytaniach i odpowiedziach
18 września 2017
GDPR a rozwiązania CISCO KONFERENCJA w OLSZTYNIE
12 września 2017
JUNOS IN ONE DAY ZAPRASZAMY NA WARSZTATY
8 września 2017
EXABEAM – ZNACZNIE więcej niż SIEM
14 czerwca 2017
EXTREMESWITCHING NOWA SERIA 200
2 lutego 2017
GDPR i DANE WARTE 10 000 000 EUR lub więcej…
12 stycznia 2017
BACKUP PIERWSZEJ WODY
4 stycznia 2017
CZAS NA FLASH, ALL-FLASH
16 listopada 2016
Czy wiesz KTO MA DOSTĘP DO TWOJEGO SERWERA?
25 września 2016
WYMIEŃ firewalle i routery na NOWE urządzenia JUNIPER SRX
18 sierpnia 2016
SPOTKANIE Z TECHNOLOGIĄ FUJITSU 2016
17 sierpnia 2016
SPOTKAJMY SIĘ W TEATRZE CAPITOL W WARSZAWIE
10 sierpnia 2016
QNAP – WYDAJNA ALTERNATYWA DLA MACIERZY
26 lipca 2016
NOWY PRODUCENT w ofercie NGE Polska
8 lipca 2016
Lider w obszarze Backup i Recovery dla Data Center
23 czerwca 2016
Zapraszamy na jazdę próbną! 26 kwietnia WARSZAWA
23 marca 2016
Śniadanie technologiczne – Dziękujemy za udział w spotkaniu!
21 marca 2016
Otwarcie oddziału NGE Polska w Warszawie
4 lutego 2016
NGE Polska serwuje śniadania technologiczne
3 lutego 2016
Zapraszamy na jazdę próbną! 17 marca WARSZAWA
3 lutego 2016
Osiągnęliśmy status Brocade Premier Alliance Partner
30 marca 2015
NGE POLSKA Złotym Partnerem Meru Networks
5 marca 2015
Juniper AWARD CEREMONY 2015 – NGE Polska w czołówce
14 stycznia 2015
Seminarium Juniper Secure Analytics
9 października 2014
NGE POLSKA Srebrnym Partnerem Extreme Networks
1 września 2014
Juniper Networks JUNOS Space – platforma zarządzania urządzeniami Juniper
16 lipca 2013
Zagrożenia, ochrona, bezpieczeństwo – nowoczesna infrastruktura IT
1 lipca 2013
Otwarcie oddziału NGE Polska w Olsztynie
23 czerwca 2013
Osiągnęliśmy status VMware Enterprise Partner
5 października 2012
Osiągnęliśmy status Brocade Premier Alliance Partner
9 lipca 2012
Osiągnęliśmy status Veeam Silver Propartner
14 lutego 2012
Pokaż wszystkie...
Palo Alto Networks TRAPS – EXPLOITY w PUŁAPCE

Pomimo nieograniczonej niemal dostępności produktów zapewniających bezpieczeństwo punktów końcowych przypadki ich infekcji wcale nie należą do rzadkości. Wg danych firmy Palo Alto Networks, zebranych w wyniku analiz zdarzeń przesłanych do chmury WildFire, wektory ataków układają się następująco:

  • Podatności 0-day – z definicji niemożliwe do wykrycia na podstawie sygnatury.
  • Specyficzny malware z polimorficznym kodem. Programy AVs nie zawsze są w stanie być na bieżąco. Coraz częściej spotykany jest ukierunkowany ransomware i malware. Są to modyfikacje znanych procedur i sygnatur pod kątem specyficznego i określonego celu (organizacji). Te zmiany bywają mocno dezorientujące dla programów AV, które z reguły muszą operować na uogólnieniach. Zdarza się, że aplikacje AVs przenikną poprzez ukierunkowania i rozpoznają rdzeń sygnatury, ale to tylko ZDARZA SIĘ.
  • Old exploits”. Nieco mniej niż połowa włamań oparta jest o podatności wykryte ponad dwa lata temu.

Pierwsze dwa punkty z pewnością nie wywołują żadnego zdziwienia. ALE TRZECI? Czy jest on jedynie wynikiem działania programików typu „hacking for dummies”? Otóż po zastanowieniu się można dojść do wniosku, że niekoniecznie. Może to być forma kontroli czy tradycyjne zabezpieczenia „nie zapominają” o rozpoznawanych wcześniej zagrożeniach. A więc, innymi słowy – czy baza ich sygnatur aktualizowana jest na pewno w sposób addytywny. Tym samym – czy rośnie ona w sposób oczekiwany przez atakujących w nadziei, że kiedyś stanie się ona zbyt obszerna do racjonalnego i nadążnego wykorzystywania. Jeśli weźmiemy pod uwagę powyższy punkt 2 i związane z nim ograniczenia generalizacji i sumaryzacji sygnatur – należy przyjąć, że nadzieje te nie są pozbawione podstaw.

Palo Alto Networks Traps jest systemem zapewniającym zaawansowaną ochronę endpointów przed nieznanymi atakami złośliwego kodu. Traps osiąga to poprzez wysoce skalowalnego, cienkiego agenta, korzystającego z innowacyjnego podejścia do obrony przeciw atakom, niewymagającego wcześniejszej znajomości zagrożenia. Traps to potężne narzędzie chroniące stacje robocze, tablety, smartphony, itp. przed niemal każdego rodzaju ukierunkowanym atakiem.

Rozważając problem zaawansowanej ochrony końcówek, nieodmiennie dochodzimy do jednoznacznych wniosków. Asekuracja taka powinna charakteryzować się następującymi cechami:

  • Powstrzymywanie każdego rodzaju exploitów, włącznie z tymi wykorzystującymi podatności typu zero-day.
  • Powstrzymywanie wszelkiego rodzaju plików wykonywalnych ze szkodliwym kodem, bez wcześniejszej znajomości danego zagrożenia.
  • Zapewnianie szczegółowych informacji o powstrzymanych atakach.
  • Zapewnianie minimalnego obciążenia dla systemu operacyjnego endpointa.
  • Zapewnianie bliskiej integracji z zabezpieczeniami sieciowymi oraz chmurowymi.

Projektując produkt Traps, Palo Alto Networks wyszło z założenia, że nie należy powielać nie do końca skutecznych, klasycznych metod ochrony stacji roboczych. Zamiast sprawdzania i prób identyfikacji milionów pojedynczych ataków lub prób wykrywania złośliwych zachowań – co w dynamicznie zmieniającym się krajobrazie zagrożeń może okazać się niemożliwym – działanie Traps sprowadza się do detekcji bazowych technik, których każdy z atakujących musi użyć w celu przeprowadzenia skutecznego ataku. Dzięki takiemu podejściu Traps może udaremniać ataki zanim szkodliwy kod uzyska możliwość skutecznego wykonania się. W odróżnieniu do niepoliczalnej w sumie ilości sygnatur konkretnych zagrożeń, bazowych technik omijania zabezpieczeń obecnie znanych jest 5, a technik malware – około 200, z ich rocznym przyrostem ok. 10. Tak więc, operowanie na takiej bazie danych posiada znamiona racjonalności.

Niezależnie od typu lub kompleksowości ataku, atakujący musi uruchomić sekwencję operacji pozwalającą na wykorzystanie luk w oprogramowaniu. Niektóre typy ataków wymagają więcej kroków, niektóre mniej; jednak we wszystkich przypadkach wymagane jest użycie przynajmniej dwóch lub trzech technik w celu skutecznego przejęcia kontroli nad atakowaną stacją. Traps wykorzystuje zestaw modułów profilaktycznych mitygujących lub powstrzymujących różne techniki używane przez atakujących. Dodatkowo atak wymaga użycia konkretnych technik umożliwiających skuteczne wykorzystanie exploita. Traps wstrzykuje własny kod w każdy uruchamiany proces, co powoduje, że te techniki stają się całkowicie bezużyteczne – aplikacja nie jest dalej podatna na złośliwy kod. Jeżeli proces próbuje użyć jednej z technik ataku, próba wykorzystania exploita nie powiedzie się, ponieważ Traps uodpornił działające procesy. Traps natychmiastowo blokuje proces wykorzystujący techniki ataku oraz informuje zarówno użytkownika, jak i administratora o podjętych krokach i raportuje wszystkie działania do managera zabezpieczeń. Ze względu na łańcuchową naturę wykorzystywania exploitów, powstrzymanie działania jednego z ogniw pozwala na blokadę całego ataku. Domyślnie polityki systemu Traps kontrolują ponad 100 procesów, a każdy z nich jest sprawdzany z użyciem odpowiednich modułów zapobiegania wykorzystaniu exploitów (Exploit Prevention Modules). W przeciwieństwie do innych rozwiązań, Traps nie jest ograniczony do ochrony wyłącznie wybranych aplikacji. Koncentrując się nie na samych technikach ataku, rozwiązanie umożliwia powstrzymanie go bez wcześniejszej znajomości zagrożenia, niezależnie od znanych podatności, sygnatur zagrożeń lub aktualizacji oprogramowania. Należy podkreślić, że Traps nie dokonuje skanowania lub monitoringu uruchomionych procesów, wobec czego ochrona wykorzystuje bardzo małą ilość zasobów procesora i pamięci operacyjnej. Agent systemu Traps zawiera się w 9 MB pakiecie MSI, który może być rozprowadzany wraz z innymi aktualizacjami. Dalsze aktualizacje oprogramowania agenta mogą być dostarczane poprzez konsolę zabezpieczeń stacji roboczej. Agent zabezpieczeń zużywa do 25 MB miejsca na dysku oraz do 40 MB pamięci operacyjnej. Obserwowane wykorzystanie czasu procesora mieści się w granicach 0,1%. Agent zabezpieczeń wykorzystuje różne metody uniemożliwiające jego wyłączenie przez użytkownika lub złośliwy kod.

W celu zapobiegania wykonywaniu złośliwego kodu i zapewnienia pełni bezpieczeństwa, Traps wykorzystuje wielowarstwowe techniki skupiające się na podstawowych zakresach aktywności wykorzystywanych przez złośliwe oprogramowanie. Kombinacja tych technik oferuje skuteczne metody zapobiegania zagrożeniom obejmujące takie techniki wynikowe jak:

  1. Restrykcje bazujące na politykach bezpieczeństwa. W organizacjach możliwa jest konfiguracja polityk zabezpieczeń opartych na specyficznych scenariuszach. Przykładowo, możliwe jest zablokowanie uruchamiania plików tymczasowych przez program Outlook lub zablokowanie uruchamiania określonych typów plików z dysków podpiętych do portów USB.
  2. Zaawansowana kontrola plików wykonywalnych. Traps zapewnia również kontrolę procesów potomnych, sprawdza zawartość folderów systemowych, nieprzypisanych plików wykonywalnych, jak również zbiera dane umożliwiające precyzyjną kontrolę nad aplikacjami oraz zdefiniowanie, które aplikacje powinny mieć możliwość działania.
  3. Inspekcja oraz analiza mechanizmem WildFire. Mechanizm Traps przygotowuje kolejkę nieznanych plików wykonywalnych (.exe) do sprawdzenia i oceny zagrożenia przez narzędzie WildFire (środowisko sandbox do wykrywania ataków 0-day, firmowane przez Palo Alto Networks).
  4. Techniki ograniczania działalności złośliwego kodu. Rozwiązania Traps implementują techniki blokowania wykonywania złośliwego kodu poprzez analizę danych wstrzykiwanych w uruchomione procesy.

Może to jeszcze nieco zbyt wcześnie na ogłaszanie końca sygnaturalnych antywirusów, ale  nowatorski kierunek został wyznaczony… Palo Alto Networks Traps a programy antywirusowe:

  • AV-TEST The Independent IT-Security Institute

Wyniki ostatnich testów przeprowadzonych przez niemiecką organizację posiadająca kilkunastoletnie doświadczenie w testowaniu przede wszystkim oprogramowania do ochrony stacji roboczych potwierdziły 100% skuteczność Palo Alto TRAPS w wykrywaniu i powstrzymywaniu prób infekcji przy użyciu rzeczywistych wirusów, jakie były użyte podczas licznych ataków z ostatnich miesięcy. Równocześnie działanie prewencyjne TRAPSów miało minimalny wpływ na wydajność pracy badanych stacji roboczych, a wyniki te zostały osiągnięte bez konieczności polegania na bazach sygnatur. Rozwiązanie Palo Altro Traps w ostatecznej ocenie otrzymało rekomendację AV-TEST jako rozwiązanie niezwykle skutecznie zastępujące dotychczasowe rozwiązania antywirusowe. Walidacja AV-TEST jest ukoronowaniem wcześniejszych pozytywnych rekomendacji innych uznanych niezależnych instytucji i organizacji, które po badaniach i testach potwierdziły wartość technologii Palo Alto TRAPS i jej wysoką skuteczność w ochronie stacji roboczych.

  • AV-Comparatives „Aproved  Business Product”

AV-Comparatives, niezależna organizacja, która testuje i ocenia oprogramowanie antywirusowe, nagrodziła Traps w swoim pierwszym „Porównaniu produktów bezpieczeństwa nowej generacji”.

  • Forrester Wave ™: Endpoint Security Suites

Tytuł “Strong Performer” w raporcie Forrester Wave ™: Endpoint Security Suites, Q4 2016. Forrester® podkreślił, że technologia Traps oferuje silne metody ochrony przed malwarem (malware-prevention) oraz blokowania technik wykorzystywania luk w bezpieczeństwie (exploit-blocking capabilities). Forrester Endpoint Security Suite Wave przenalizował wersję Traps 3.3 na tle technologii od 14 innych producentów w oparciu o 25 różnych kryteriów.

  • Certyfikat zgodności z PCI DSS v3.2 (Payment Card Industry Data Security Standard)

Coalfire®, światowy lider usług w zakresie zarządzania ryzykiem cybernetycznym i zgodności z przepisami, przeprowadził niezależną ocenę Traps w odniesieniu do wymagań standardu DSS (Data Security Standard) dla kart płatniczych (PCI). W swoich raportach Coalfire potwierdza, że każda organizacja obecnie używająca tradycyjnego systemu AV w celu spełnienia wymagań PCI DSS lub HIPAA / HITECH może z powodzeniem zastąpić to rozwiązanie technologią Palo Alto Traps i pozostać w zgodzie z tymi przepisami.

  • CRN’s Overall Winner and 2016 Product of the Year

Nagroda “Produkt Roku 2016” CRN w kategorii rozwiązań bezpieczeństwa stacji roboczych (Endpoint Security).“Najnowsza wersja Palo Alto Networks TRAPS to kamień milowy w ochronie stacji roboczych…”.


Opracowano na podstawie oficjalnych danych opublikowanych przez Palo Alto Networks, Inc.