Передовая защита конечных точек

Palo Alto Networks Traps ™ — это передовая защита конечных точек. Решение предотвращает эксплуатацию сложных уязвимостей и защищает от неизвестных вредоносных атак. Безопасность достигается за счет легко масштабируемого облегченного агента, который предотвращает атаки без предварительного знания о самой угрозе. Traps дает в распоряжение компаний мощный инструмент для защиты конечных точек от целевых атак.

Несмотря на то, что на рынке представлено множество продуктов для защиты конечных точек, количество заражений продолжает расти. Традиционные решения для защиты конечных точек используют устаревшие методы и не могут справиться с угрозами, которые становятся все более изощренными. Traps сосредотачивается на ключевых технических приемах, которые используют злоумышленники для осуществления атаки. Такой подход отличается от традиционной техники, подразумевающей идентификацию вредоносной активности или атак самих по себе. Traps же предотвращает атаку до запуска вредоносной программы.

Передовая защита конечных точек включает выполнение следующих задач:

  • предотвращение эксплуатации любых уязвимостей, в том числе нулевого дня;
  • остановка работы вредоносных исполняемых файлов, в том числе неизвестных;
  • предоставление детального анализа предотвращенной атаки;
  • легкость масштабирования и работа без помех;
  • обеспечение интеграции с облачными и сетевыми решениями для обеспечения безопасности.

Полная защита от нескольких типов атак

Атаки могут проходить по нескольким направлениям: по сети, через электронную почту или внешнее хранилище. Большинство традиционных продуктов защищают конечные точки от наименее сложных форм: вредоносных исполняемых файлов. Наиболее сложные целевые атаки проходят в виде на первый взгляд безвредных файлов, которые открываются обычными приложениями. Так, вредоносный код может быть внедрен в документ Microsoft Word или PDF-файл — подобное использование уязвимостей программного кода называется «эксплойтом». Traps защищают конечные точки, в том числе от вредоносных программ в виде исполняемых файлов, эксплойтов и сетевых атак.

Целевые атаки эксплуатируют уязвимости в ПО, которое мы используем на регулярной основе. Они часто скрываются под видом обычных файлов, такие как pdf или doc. Или же создаются индивидуально для проприетарного программного обеспечения, которое используется в различных отраслях промышленности.

После открытия файла написанный злоумышленниками код использует уязвимость в приложении, которое применяется для просмотра файла. Такой метод позволяет злоумышленнику выполнить код и получить полный контроль над конечной точкой.

Как работает защита от эксплойтов

Независимо от вида атаки или ее сложности, она завершится успехом только в том случае, если злоумышленник последовательно выполнит серию технических приемов. Некоторые атаки могут включать в себя больше шагов, некоторые меньше, но во всех случаях должны быть применены по крайней мере два или три технических приема для захвата контроля над конечной точкой. Traps используют серию модулей для защиты от эксплойтов. Они направлены на снижение урона и блокировку доступных злоумышленникам техник. Обратите внимание, что каждый эксплойт должен использовать серию определенных технических приемов, чтобы выполнить предназначение. Traps превращает эти приемы в совершенно неэффективные и предотвращает использование уязвимостей.

Агент Traps внедряется в каждый процесс. Если он обнаруживает, что выполняется какая-либо из основных техник атаки, то останавливает попытку. Traps немедленно заблокирует эксплойт, завершит процесс и уведомит пользователя и администратора о предотвращении атаки. Детальный анализ инцидента будет отправлен в Endpoint Security Manager (ESM). Цепная природа эксплойта позволяет упростить процесс — достаточно остановить только один прием в цепочке, чтобы остановить угрозу.

Traps защищает более 100 процессов по умолчанию. Но в отличие от других продуктов, решение не ограничивается защитой только процессов или приложений. Концентрируясь на технических приемах эксплойтов, а не на самой атаке, Traps предотвращает атаку без предварительной информации об уязвимости. Это происходит независимо от наличия патчей, обновлений программного обеспечения или сигнатур. Стоит отметить, что Traps не сканирует и не отслеживает вредоносные действия, тем самым меньше нагружает ЦП и память.

Защита от вредоносных исполняемых файлов

Помимо остановки эксплойтов, Traps применяет подход защиты от вредоносных исполняемых файлов, концентрируясь на трех ключевых областях для обеспечения информационной безопасности.

  • Запреты на базе политик. Компании могут устанавливать политики, ограничивающие определенные сценарии. Так, специалист отдела безопасности может ограничить выполнение файлов из каталога tmp Outlook или выполнение файлов заданного типа с флешки.
  • Проверка с помощью WildFire. Решение производит запрос в облачный сервис WildFire и отправляет все неизвестные файлы .exe, чтобы оценить их статус. Сервис WildFire в свою очередь собирает информацию по всему миру и постоянно обновляется.
  • Снижение урона от вредоносных технических приемов. Traps применяют методы, которые позволяют предотвращать атаки, блокируя различные техники, например DLL-инъекции.

Анализ инцидентов безопасности

Предотвращенная атака дает меньше аналитической информации, чем нанесшая ущерб. Несмотря на это, существует большой объем данных, который можно собрать. Получая аналитическую информацию о предпринятых атаках, организации могут применять упреждающую защиту к незащищенным конечным точкам.

Агент Traps собирает обширные данные. Он на постоянной основе записывает сведения о каждом запущенном процессе и сообщает зарегистрированную информацию в Endpoint Security Manager (ESM). Агент также предупреждает о каких-либо попытках вмешаться в работу Traps. При предотвращении атаки с конечной точки можно получить дополнительную информацию, включая дамп памяти и данные об активности вредоносного кода.

Архитектура Traps

Консоль

Инфраструктура Traps поддерживает различные опции для обеспечения масштабируемости в большой распределенной среде. При разворачивании Endpoint Security Manager (ESM) создается база данных на сервере Microsoft SQL, устанавливается административная консоль в IIS. Благодаря поддержке Microsoft SQL 2008 и 2012, сервер SQL выделяется для ESM. Кроме того, база данных может быть создана на сервере SQL.

Серверы

Серверы ESM действуют как прокси между базой данных ESM и различными агентами Traps. Обмен данными между серверами и агентами происходит по HTTPS.

Агент Traps

Установщик агента Traps представляет собой пакет MSI размером около 9 МБ, который можно развернуть с помощью выбранного вами средства. Последующие обновления агента могут быть развернуты через ESM. Агент потребляет менее 25 МБ дискового пространства и менее 40 МБ при работе в памяти. Загрузка процессора составляет менее 0,1 процента. Для обеспечения бесперебойной работы агент применяет техники защиты от взлома, которые не позволяют пользователям и вредоносному коду отключать защиту или вмешиваться в конфигурацию.

Облегченная структура агента позволяет производить горизонтальное масштабирование и поддерживать развертывание до 50 000 агентов на ESM, сохраняя при этом централизованное управление и единую базу данных политик.

Traps взаимодействует с большинством решений для защиты конечных точек и оказывает низкую нагрузку на центральный процессор. Таким образом, Traps —оптимальное решение для сред VDI, специализированных систем и критически важных инфраструктур.

Логирование на внешней платформе

В дополнение к внутреннему хранению данных ESM может производить логирование на внешних платформах, таких как SIEM, SOC или syslog. Для компании, которая развертывает несколько ESM, наличие внешней платформы для логирования позволяет получать информацию из единого источника.

Поддержка

Traps поддерживается на любой платформе с Microsoft Windows: настольные ПК, серверы, промышленные системы управления, терминалы, VDI и виртуальные машины. Кроме того, Traps не занимает много дискового пространства и подходит для защиты любого прикладного процесса, что делает его идеальным для защиты специализированных систем, включая ATM, POS, SCADA и других промышленных приложений.