Palo Alto Networks TRAPS – EXPLOITY w PUŁAPCE


Pomimo nieograniczonej niemal dostępności produktów zapewniających bezpieczeństwo punktów końcowych przypadki ich infekcji wcale nie należą do rzadkości. Wg danych firmy Palo Alto Networks, zebranych w wyniku analiz zdarzeń przesłanych do chmury WildFire, wektory ataków układają się następująco:

  • Podatności 0-day – z definicji niemożliwe do wykrycia na podstawie sygnatury.
  • Specyficzny malware z polimorficznym kodem. Programy AVs nie zawsze są w stanie być na bieżąco. Coraz częściej spotykany jest ukierunkowany ransomware i malware. Są to modyfikacje znanych procedur i sygnatur pod kątem specyficznego i określonego celu (organizacji). Te zmiany bywają mocno dezorientujące dla programów AV, które z reguły muszą operować na uogólnieniach. Zdarza się, że aplikacje AVs przenikną poprzez ukierunkowania i rozpoznają rdzeń sygnatury, ale to tylko ZDARZA SIĘ.
  • Old exploits”. Nieco mniej niż połowa włamań oparta jest o podatności wykryte ponad dwa lata temu.

Pierwsze dwa punkty z pewnością nie wywołują żadnego zdziwienia. ALE TRZECI? Czy jest on jedynie wynikiem działania programików typu „hacking for dummies”? Otóż po zastanowieniu się można dojść do wniosku, że niekoniecznie. Może to być forma kontroli czy tradycyjne zabezpieczenia „nie zapominają” o rozpoznawanych wcześniej zagrożeniach. A więc, innymi słowy – czy baza ich sygnatur aktualizowana jest na pewno w sposób addytywny. Tym samym – czy rośnie ona w sposób oczekiwany przez atakujących w nadziei, że kiedyś stanie się ona zbyt obszerna do racjonalnego i nadążnego wykorzystywania. Jeśli weźmiemy pod uwagę powyższy punkt 2 i związane z nim ograniczenia generalizacji i sumaryzacji sygnatur – należy przyjąć, że nadzieje te nie są pozbawione podstaw.

Palo Alto Networks Traps jest systemem zapewniającym zaawansowaną ochronę endpointów przed nieznanymi atakami złośliwego kodu. Traps osiąga to poprzez wysoce skalowalnego, cienkiego agenta, korzystającego z innowacyjnego podejścia do obrony przeciw atakom, niewymagającego wcześniejszej znajomości zagrożenia. Traps to potężne narzędzie chroniące stacje robocze, tablety, smartphony, itp. przed niemal każdego rodzaju ukierunkowanym atakiem.

Rozważając problem zaawansowanej ochrony końcówek, nieodmiennie dochodzimy do jednoznacznych wniosków. Asekuracja taka powinna charakteryzować się następującymi cechami:

  • Powstrzymywanie każdego rodzaju exploitów, włącznie z tymi wykorzystującymi podatności typu zero-day.
  • Powstrzymywanie wszelkiego rodzaju plików wykonywalnych ze szkodliwym kodem, bez wcześniejszej znajomości danego zagrożenia.
  • Zapewnianie szczegółowych informacji o powstrzymanych atakach.
  • Zapewnianie minimalnego obciążenia dla systemu operacyjnego endpointa.
  • Zapewnianie bliskiej integracji z zabezpieczeniami sieciowymi oraz chmurowymi.

Projektując produkt Traps, Palo Alto Networks wyszło z założenia, że nie należy powielać nie do końca skutecznych, klasycznych metod ochrony stacji roboczych. Zamiast sprawdzania i prób identyfikacji milionów pojedynczych ataków lub prób wykrywania złośliwych zachowań – co w dynamicznie zmieniającym się krajobrazie zagrożeń może okazać się niemożliwym – działanie Traps sprowadza się do detekcji bazowych technik, których każdy z atakujących musi użyć w celu przeprowadzenia skutecznego ataku. Dzięki takiemu podejściu Traps może udaremniać ataki zanim szkodliwy kod uzyska możliwość skutecznego wykonania się. W odróżnieniu do niepoliczalnej w sumie ilości sygnatur konkretnych zagrożeń, bazowych technik omijania zabezpieczeń obecnie znanych jest 5, a technik malware – około 200, z ich rocznym przyrostem ok. 10. Tak więc, operowanie na takiej bazie danych posiada znamiona racjonalności.

Niezależnie od typu lub kompleksowości ataku, atakujący musi uruchomić sekwencję operacji pozwalającą na wykorzystanie luk w oprogramowaniu. Niektóre typy ataków wymagają więcej kroków, niektóre mniej; jednak we wszystkich przypadkach wymagane jest użycie przynajmniej dwóch lub trzech technik w celu skutecznego przejęcia kontroli nad atakowaną stacją. Traps wykorzystuje zestaw modułów profilaktycznych mitygujących lub powstrzymujących różne techniki używane przez atakujących. Dodatkowo atak wymaga użycia konkretnych technik umożliwiających skuteczne wykorzystanie exploita. Traps wstrzykuje własny kod w każdy uruchamiany proces, co powoduje, że te techniki stają się całkowicie bezużyteczne – aplikacja nie jest dalej podatna na złośliwy kod. Jeżeli proces próbuje użyć jednej z technik ataku, próba wykorzystania exploita nie powiedzie się, ponieważ Traps uodpornił działające procesy. Traps natychmiastowo blokuje proces wykorzystujący techniki ataku oraz informuje zarówno użytkownika, jak i administratora o podjętych krokach i raportuje wszystkie działania do managera zabezpieczeń. Ze względu na łańcuchową naturę wykorzystywania exploitów, powstrzymanie działania jednego z ogniw pozwala na blokadę całego ataku. Domyślnie polityki systemu Traps kontrolują ponad 100 procesów, a każdy z nich jest sprawdzany z użyciem odpowiednich modułów zapobiegania wykorzystaniu exploitów (Exploit Prevention Modules). W przeciwieństwie do innych rozwiązań, Traps nie jest ograniczony do ochrony wyłącznie wybranych aplikacji. Koncentrując się nie na samych technikach ataku, rozwiązanie umożliwia powstrzymanie go bez wcześniejszej znajomości zagrożenia, niezależnie od znanych podatności, sygnatur zagrożeń lub aktualizacji oprogramowania. Należy podkreślić, że Traps nie dokonuje skanowania lub monitoringu uruchomionych procesów, wobec czego ochrona wykorzystuje bardzo małą ilość zasobów procesora i pamięci operacyjnej. Agent systemu Traps zawiera się w 9 MB pakiecie MSI, który może być rozprowadzany wraz z innymi aktualizacjami. Dalsze aktualizacje oprogramowania agenta mogą być dostarczane poprzez konsolę zabezpieczeń stacji roboczej. Agent zabezpieczeń zużywa do 25 MB miejsca na dysku oraz do 40 MB pamięci operacyjnej. Obserwowane wykorzystanie czasu procesora mieści się w granicach 0,1%. Agent zabezpieczeń wykorzystuje różne metody uniemożliwiające jego wyłączenie przez użytkownika lub złośliwy kod.

W celu zapobiegania wykonywaniu złośliwego kodu i zapewnienia pełni bezpieczeństwa, Traps wykorzystuje wielowarstwowe techniki skupiające się na podstawowych zakresach aktywności wykorzystywanych przez złośliwe oprogramowanie. Kombinacja tych technik oferuje skuteczne metody zapobiegania zagrożeniom obejmujące takie techniki wynikowe jak:

  1. Restrykcje bazujące na politykach bezpieczeństwa. W organizacjach możliwa jest konfiguracja polityk zabezpieczeń opartych na specyficznych scenariuszach. Przykładowo, możliwe jest zablokowanie uruchamiania plików tymczasowych przez program Outlook lub zablokowanie uruchamiania określonych typów plików z dysków podpiętych do portów USB.
  2. Zaawansowana kontrola plików wykonywalnych. Traps zapewnia również kontrolę procesów potomnych, sprawdza zawartość folderów systemowych, nieprzypisanych plików wykonywalnych, jak również zbiera dane umożliwiające precyzyjną kontrolę nad aplikacjami oraz zdefiniowanie, które aplikacje powinny mieć możliwość działania.
  3. Inspekcja oraz analiza mechanizmem WildFire. Mechanizm Traps przygotowuje kolejkę nieznanych plików wykonywalnych (.exe) do sprawdzenia i oceny zagrożenia przez narzędzie WildFire (środowisko sandbox do wykrywania ataków 0-day, firmowane przez Palo Alto Networks).
  4. Techniki ograniczania działalności złośliwego kodu. Rozwiązania Traps implementują techniki blokowania wykonywania złośliwego kodu poprzez analizę danych wstrzykiwanych w uruchomione procesy.

Może to jeszcze nieco zbyt wcześnie na ogłaszanie końca sygnaturalnych antywirusów, ale nowatorski kierunek został wyznaczony… Palo Alto Networks Traps a programy antywirusowe:

  • AV-TEST The Independent IT-Security Institute

Wyniki ostatnich testów przeprowadzonych przez niemiecką organizację posiadająca kilkunastoletnie doświadczenie w testowaniu przede wszystkim oprogramowania do ochrony stacji roboczych potwierdziły 100% skuteczność Palo Alto TRAPS w wykrywaniu i powstrzymywaniu prób infekcji przy użyciu rzeczywistych wirusów, jakie były użyte podczas licznych ataków z ostatnich miesięcy. Równocześnie działanie prewencyjne TRAPSów miało minimalny wpływ na wydajność pracy badanych stacji roboczych, a wyniki te zostały osiągnięte bez konieczności polegania na bazach sygnatur. Rozwiązanie Palo Altro Traps w ostatecznej ocenie otrzymało rekomendację AV-TEST jako rozwiązanie niezwykle skutecznie zastępujące dotychczasowe rozwiązania antywirusowe. Walidacja AV-TEST jest ukoronowaniem wcześniejszych pozytywnych rekomendacji innych uznanych niezależnych instytucji i organizacji, które po badaniach i testach potwierdziły wartość technologii Palo Alto TRAPS i jej wysoką skuteczność w ochronie stacji roboczych.

  • AV-Comparatives „Aproved  Business Product”

AV-Comparatives, niezależna organizacja, która testuje i ocenia oprogramowanie antywirusowe, nagrodziła Traps w swoim pierwszym „Porównaniu produktów bezpieczeństwa nowej generacji”.

  • Forrester Wave ™: Endpoint Security Suites

Tytuł “Strong Performer” w raporcie Forrester Wave ™: Endpoint Security Suites, Q4 2016. Forrester® podkreślił, że technologia Traps oferuje silne metody ochrony przed malwarem (malware-prevention) oraz blokowania technik wykorzystywania luk w bezpieczeństwie (exploit-blocking capabilities). Forrester Endpoint Security Suite Wave przenalizował wersję Traps 3.3 na tle technologii od 14 innych producentów w oparciu o 25 różnych kryteriów.

  • Certyfikat zgodności z PCI DSS v3.2 (Payment Card Industry Data Security Standard)

Coalfire®, światowy lider usług w zakresie zarządzania ryzykiem cybernetycznym i zgodności z przepisami, przeprowadził niezależną ocenę Traps w odniesieniu do wymagań standardu DSS (Data Security Standard) dla kart płatniczych (PCI). W swoich raportach Coalfire potwierdza, że każda organizacja obecnie używająca tradycyjnego systemu AV w celu spełnienia wymagań PCI DSS lub HIPAA / HITECH może z powodzeniem zastąpić to rozwiązanie technologią Palo Alto Traps i pozostać w zgodzie z tymi przepisami.

  • CRN’s Overall Winner and 2016 Product of the Year

Nagroda “Produkt Roku 2016” CRN w kategorii rozwiązań bezpieczeństwa stacji roboczych (Endpoint Security).“Najnowsza wersja Palo Alto Networks TRAPS to kamień milowy w ochronie stacji roboczych…”.


Opracowano na podstawie oficjalnych danych opublikowanych przez Palo Alto Networks, Inc.

powrót do strony głównej

Aktualności:

NOWY PRODUCENT W OFERCIE NGE POLSKA
30 czerwca 2023
NOWE ROZWIĄZANIA W PORTFOLIO NGE POLSKA
16 lutego 2022
-> MIST AI TO NIE TYLKO SIECI BEZPRZEWODOWE
17 stycznia 2022
NOWE PRODUKTY W PORTFOLIO NGE POLSKA
24 września 2020
-> DUŻE CENTRA PRZETWARZANIA DANYCH
4 sierpnia 2020
ZARZĄDZANIE URZĄDZENIAMI MOBILNYMI ZA DARMO!
27 kwietnia 2020
PRISMA ACCESS – NIE TYLKO NA TRUDNE CZASY
9 kwietnia 2020
VPN – CZYM JEST i CZY JEST MI POTRZEBNY?
12 marca 2020
NGE POLSKA ZŁOTYM PARTNEREM AXENCE
19 lutego 2020
NGE POLSKA OFICJALNYM PARTNEREM NAKIVO
30 lipca 2019
ZAPYTANIA DNS POD PARASOLEM CISCO
27 czerwca 2019
O WI-FI POD KONTROLĄ, BEZ KONTROLI
28 marca 2019
COMMVAULT – SMAKI I SMACZKI…
14 lutego 2019
VMWARE vSPHERE 6.7, CZYLI TAŃCZĄCY Z WI(RTUA)LKAMI*
25 stycznia 2019
JAK USŁYSZEĆ TO, CO NAPRAWDĘ ISTOTNE?
6 grudnia 2018
SPOTKAJMY SIĘ W WIŚLE NA KONFERENCJI SIwE’18
14 listopada 2018
UPRASZCZAMY BEZPIECZEŃSTWO
12 lipca 2018
NGE POLSKA OFICJALNYM PARTNEREM SPLUNK
2 lipca 2018
COMMVAULT W KILKU PYTANIACH I ODPOWIEDZIACH
12 kwietnia 2018
BEZPIECZNY DOSTĘP DO SIECI ZAPRASZAMY – WARSZTATY
14 lutego 2018
Palo Alto Networks TRAPS – EXPLOITY w PUŁAPCE
2 listopada 2017
CISCO UMBRELLA + INVESTIGATE w pytaniach i odpowiedziach
10 października 2017
SDSN i BEZPIECZEŃSTWO SIECI ZAPRASZAMY na WARSZTATY
6 października 2017
GDPR a rozwiązania CISCO KONFERENCJA w OLSZTYNIE
12 września 2017
JUNOS IN ONE DAY ZAPRASZAMY NA WARSZTATY
8 września 2017
EXABEAM – ZNACZNIE więcej niż SIEM
14 czerwca 2017
EXTREMESWITCHING NOWA SERIA 200
2 lutego 2017
GDPR i DANE WARTE 10 000 000 EUR lub więcej…
12 stycznia 2017
BACKUP PIERWSZEJ WODY
4 stycznia 2017
CZAS NA FLASH, ALL-FLASH
16 listopada 2016
Pokaż wszystkie...