Корпоративные сети и их пользователи находятся под постоянной опасностью. Виной тому расширяющийся мир киберпреступности. Появляется все больше и больше вредоносных программ для совершения финансовых преступлений. Хакеры научились избегать обнаружения традиционными IPS-решениями. Они используют приложения, которые умеют обходить межсетевой экран, применяют туннелирование и шифрование. Усугубляет ситуацию и то, что многие организации действуют по схеме: «столкнулись с проблемой безопасности — купили решение». Такой подход приводит к недостатку координации, плохому анализа угроз и низкой эффективности. Пока хакеры становятся все успешнее в преодолении средств защиты, решения в области безопасности все больше отстают и усложняются в управлении.

Межсетевой экран следующего поколения предоставляет администраторам комплексное решение для предотвращения угроз. Один из компонентов — App-ID, инструмент для классификации трафика и идентификации приложений, невзирая на порт, протокол, тактики обхода или SSL. С помощью межсетевого экрана администраторы могут немедленно сократить поверхность атаки на предприятии, идентифицируя весь трафик и ограничивая его количество для выбранных приложений. Трафик полностью проверяется и защищается с помощью проверенных IPS-решений, а также благодаря потоковому сканированию вредоносных программ.

Решение дает возможность исследовать зашифрованный контент и сжатые файлы для обеспечения надежной защиты. Кроме того, применятся единый формат сигнатур, что дает возможность обнаружить вредоносное ПО за один прогон при сканировании содержимого.
Решение Threat prevention полностью интегрировано и работает в реальном времени. Корпоративная сеть находится под защитой от широкого спектра угроз. Межсетевой экран следующего поколения предоставляет широкие возможности для отслеживания и контроля вредоносных программ на основе политик.

 

Таким образом, решение Threat prevention это:

  • Проверенная защита от эксплуатации сетевых и программных уязвимостей (IPS), вирусов и шпионов.
  • Обеспечение безопасности с использованием потокового сканирования, что позволяет достичь высокой пропускной способности.
  • Единство политик безопасности, которое упрощает администрирование; пользователь может создавать политики для блокирования угроз, контроля приложений и ограничения несвязанной с работой интернет-активности.
 

Контроль приложений и блокировка угроз

Первый шаг на пути устранения угроз в корпоративных сетях — восстановление эффективного отслеживания и контроля пересекающих сеть приложений посредством запатентованной технологии App-ID. Данная технология может точно определить, какие приложения пересекают сеть, независимо от порта, протокола, шифрования или метода обхода межсетевого экрана. App-ID служит для решения 2 задач:

  1. Помогает уменьшить поверхности атаки. Администраторы смогут принимать правильные решения, создавая политики для приложений. Например, такие нежелательные приложения, как P2P file sharing, внешние прокси-сервисы и приложения для обхода цензуры в интернете, могут быть полностью заблокированы. Для разрешенных приложений можно установить контроль и проверку для обнаружения вирусов, шпионских программ и уязвимостей.
  2. App-ID увеличивает ширину и точности анализа путем декодирования приложения, повторного сбора и проверки информации об объекте.
 

Сканирование всех типов угроз за один прогон

Решение Threat prevention — это первый в отрасли механизм для обнаружения и блокировки как вредоносных программ, так и эксплойтов за одно сканирование. Для традиционных технологий требуются два, а иногда и три механизма сканирования, что приносит значительную задержку в работу и замедляет производительность. Применение единого формата сигнатур для всех угроз и вредоносных программ обеспечивает быструю обработку данных. Единый формат сигнатур устраняет множество избыточных процессов, общих для нескольких механизмов сканирования: сборку TCP-сегментов, поиск политик, инспекцию и другие. Благодаря такому подходу повышается производительность. Потоковое сканирование подразумевает, что процесс сканирования начинается, как только первые пакеты файла будут приняты — так устраняются проблемы с задержкой.

Ведущая в отрасли профилактика вторжений (IPS)

IPS-решение защищает предприятия от всех видов угроз, включая эксплуатацию уязвимостей, переполнение буфера, DoS и DDoS-атаки и сканирование портов. Для достижения этих целей используются проверенные механизмы обнаружения и предотвращения угроз (IPS).

  • Protocol decoder-based analysis включает расшифровку данных протокола и применение сигнатур для обнаружения уязвимостей.
  • Protocol anomaly-based protection обнаруживает использование протокола, несовместимого с RFC.
  • Stateful pattern matching направлен на проверку фрагментированных TCP-пакетов с учетом таких элементов, как порядок прибытия и последовательность.
  • Statistical anomaly detection защищает от DoS-атак.
  • Heuristic-based analysis обнаруживает аномальный трафик, например, при сканировании портов.
  • Профили безопасности Vulnerability Protection и Anti-spyware, для создания которых можно использовать базы данных с известными уязвимостями и шпионскими программами.
  • Другие средства защиты от атак, среди которых блокировка несоответствующих требованиями безопасности пакетов, дефрагментация IP и сборка TCP-сегментов.

Решение для предотвращения вторжений поддерживается командой опытных специалистов, которые тесно сотрудничают с Microsoft в рамках программы MAPP. В качестве члена-основателя MAPP Palo Alto Networks получила приоритетный доступ к ежемесячному выпуску обновлений. Благодаря раннему получение информацию об уязвимостях, Palo Alto Networks может создавать сигнатуры и своевременно передавать обновленные данные клиентам, тем самым обеспечивая их защиту. Помимо получения информации об уязвимостях от Microsoft, Palo Alto Networks непрерывно проводит собственные исследования, которые заслужили доверие, благодаря обнаружению многочисленных уязвимостей в ОС и ПО Microsoft. Обновление сигнатур осуществляется раз в неделю, а также в экстренных случаях.

Антивирус для корпоративной сети: блокировка вирусов, программ-шпионов и троянов

Встроенная антивирусная защита обнаруживает и блокирует большинство типов вредоносных программ, контролируя трафик корпоративного интернет-шлюза. Антивирус использует единый формат сигнатур и потоковое сканирование для защиты предприятий от миллионов вариаций вредоносного ПО. Потоковое сканирование помогает защитить сеть без существенных задержек, которые появляются при работе с антивирусами на основе прокси-сервера. У антивирусных решений, использующих прокси-серверы, всегда были проблемы с производительностью при работе в реальном времени, поскольку для начала сканирования им требовался весь файл. Потоковое сканирование, напротив, позволяет запустить проверку трафика сразу после получения первых пакетов. Благодаря этому решается проблема с производительностью и задержками, связанными с традиционным ориентированным на прокси-серверы подходам. К ключевым возможностям решения относятся:

  • защита от широкого спектра вредоносных программ, среди которых вирусы, программы-шпионы, трояны и другие;
  • потоковое сканирование интернет-трафика для обнаружения и блокировки вредоносных программ;
  • использование расшифровки SSL с помощью App-ID для обнаружения и блокирования вирусов.

Сигнатуры для всевозможных вредоносных программ генерируются на основе образцов вирусов, которые доставляются сторонними исследовательскими центрами. Специалисты Palo Alto Networks исследуют полученные данные, удаляют повторяющееся образцы и создают новые сигнатуры с использованием единого формата. После чего они доставляются клиентам посредством обновлений.

Уникальные механизмы отслеживания и предотвращения угроз

Предотвращение угроз основано на проверке трафика по всем портам. Вы можете выборочно расшифровывать SSL-трафик согласно политикам, а также контролировать прокси-серверы, программы для обхода интернет-цензуры и зашифрованные каналы, которые используют злоумышленники. Palo Alto Networks выполняет анализ с помощью единого унифицированного механизма и использует общий формат сигнатур. Обработка контента осуществляется за один прогон, благодаря чему сохраняется высокая производительность даже при включенной дополнительной защите.

 

Координация разнообразных подходов для предотвращения угроз

Решение объединяет несколько дисциплин безопасности для создания единого механизма предотвращения угроз. Такой подход позволяет отделу безопасности рассматривать различные инциденты в едином контексте, видеть, как связаны между собой:

  • приложения;
  • эксплойты;
  • вредоносные программы;
  • веб-адреса;
  • сетевые аномалии;
  • целевые атаки.

Единый контекст помогает быстрее делать выводы, упрощает управление и создание отчетности. Кроме того, анализ трафика за один прогон вместо поступательного использования нескольких механизмов сканирования обеспечивает стабильную производительность.

 

WildFire: защита от целевых атак и неизвестных угроз

Для прохода через традиционные решения безопасности злоумышленники все чаще прибегают к целевым атакам и неизвестным вариантам вредоносных программ. В качестве ответа на этот вызов была разработана технология WildFire, которая позволяет идентифицировать вредоносный код в исполняемых файлах, запуская и исследуя их в виртуальной среде. Это позволяет быстро и точно идентифицировать вредоносную программу даже при условии, что мы не сталкивались с таким образцом ранее.

При распознавании вредоносного файла WildFire автоматически создает сигнатуры. Данные доставляются в отделы безопасности посредством регулярных обновлений. Они включают отчеты с указанием цели вторжения, используемого при атаке приложения, а также всех URL-адресов, которые были задействованы.

 

Аппаратное обеспечение

 В отличие от многих современных решений для Palo Alto Networks была разработана специальная платформа, которая использует 4 типа обработки данных, а также выделенную память. В результате разработчики смогли избавиться от задержек и добиться высокой производительности для всех служб безопасности.

 

Сотрудничество и исследования на мировом уровне

Исследовательская группа в области безопасности Palo Alto Networks — организация мирового уровня, которая занимается обнаружением и анализом угроз.
Благодаря внутренним исследованиям, партнерству с такими поставщиками программного обеспечения, как Microsoft, а также сотрудничеству с другими исследовательскими организациями, Palo Alto Networks предоставляет своим клиентам надежный контроль приложений и передовую защиту от сетевых угроз.