<< Назад на страницу Palo Alto Networks

В традиционных решениях вопроса безопасности используются методы, которые уже не справляются с постоянно меняющимся ландшафтом угроз. Самые совершенные на сегодняшний день угрозы используют уязвимости в регулярно запускаемых программах. Они попадают на компьютеры в виде стандартных документов (например PDF, RTF, DOC, PPT, XLS), либо могут быть адаптированы для атаки специализированного отраслевого ПО. Эти файлы открываются в своих приложениях и отображают содержимое без каких-либо ошибок, однако в них встроен вредоносный код. Этот код использует уязвимость в открытом приложении для запуска атакующего алгоритма. При этом ваш пакет защиты от вредоносного ПО может работать, но ничего не обнаружит, а вместо этого будет искать зараженный исполняемый файл со знакомым ему вирусом или какой-то другой проблемный сигнал. К сожалению, о проблеме может вообще ничего не сигнализировать. До недавнего времени единственным способом защиты от известных уязвимостей была установка исправлений. Надежного способа обезопасить систему от неизвестных угроз не существовало. А поскольку исправления выходят не сразу, уязвимости долгое время оставляют систему незащищенной и приводят к рискам.

Необходим новый подход, в основе которого должен лежать принцип реального предотвращения атак, а не только их обнаружения, т.е. расширенная защита рабочих станций. Эта защита должна обеспечивать следующие возможности:

  1. Предотвращение любых эксплойтов, в том числе использующих неизвестные уязвимости нулевого дня.
  2. Предотвращение запуска любых вредоносных исполняемых файлов даже при отсутствии информации об этих файлах.
  3. Запись подробных аналитических данных о предотвращенных угрозах, позволяющая определить цели и использованные методы атаки, усилив таким образом защиту организации на всех уровнях.
  4. Широкие возможности масштабирования, низкое потребление ресурсов и минимальное вмешательство в работу имеющихся систем.
  5. Тесная интеграция с сетевыми и облачными системами обеспечения безопасности для быстрого обмена данными и одновременной защиты информации множества компаний.

Traps™ представляет собой решение для расширенной защиты рабочих станций, способное предотвращать изощренные атаки с использованием эксплойтов или вредоносных исполняемых файлов еще до выполнения каких-либо злонамеренных действий вне зависимости от установленных исправлений программ. При попытке атаки Traps сразу же блокирует выполняемые ей операции, завершает процесс и сообщает о предотвращении угрозы пользователям и системным администраторам. После блокирования атаки Traps собирает подробные аналитические данные, включающие название вредоносного процесса, состояние памяти во время блокировки и другую информацию, а затем создает отчеты для Endpoint Security Manager.

Большинство изощренных угроз работают путем помещения вредоносного кода в кажущийся безобидным файл данных. При открытии файла этот код использует уязвимость в запущенном приложении для активизации атакующего алгоритма. Поскольку политика безопасности не блокирует эксплуатируемое приложение, атаки подобного типа обходят разрешенный список системы защиты. Отличие Traps от других систем безопасности состоит в том, что данное решение обнаруживает типичные алгоритмы, используемые большинством программ-эксплойтов. Несмотря на то, что существуют тысячи эксплойтов, они на самом деле используют лишь небольшой набор алгоритмов, который редко меняется. Более того, для успеха эксплойта должен сработать целый ряд таких алгоритмов. Traps делает все эти приемы абсолютно неэффективными, гарантируя, что приложение перестанет быть уязвимым.

В каждый запускаемый процесс внедряется агент Traps. Если атакующий процесс попытается воспользоваться программной уязвимостью, то эксплойт потерпит неудачу, поскольку защитные модули Traps уже обезопасили процесс от подобных действий. После предотвращения угрозы агент Traps завершает вредоносный процесс и передает всю информацию о нем на сервер Endpoint Security Manager (ESM).

Traps

По умолчанию политика Traps блокирует более 100 процессов. Для каждого из них используются десятки специализированных модулей предотвращения эксплойтов. Но в отличие от других продуктов, Traps позволяет защитить не только эти процессы и приложения. С помощью Traps пользователи могут сами обеспечивать безопасность самых разных приложений и процессов, просто добавляя их в настройки. Это оказывается особенно удобно для специализированных программ в конкретных отраслях. Traps позволяет защитить от эксплойтов системы для торговых точек (POS), торговые автоматы, системы SCADA и любые другие приложения.

Сбор аналитических данных

Обширную информацию можно получить при помощи агента Traps. Агент постоянно записывает подробные сведения по каждому запускаемому процессу и отправляет их ESM-
серверу. Кроме того, агент выдает предупреждения при обнаружении попыток остановить работу Traps, удалить программу или иным образом вмешаться в ее функционирование. После предотвращения атаки с рабочей станции можно собрать дополнительную информацию, например сделать снимок памяти и зафиксировать действия, предпринятые вредоносным кодом. Сделав снимок, Traps выполняет вторичный анализ содержания инцидента и ищет в памяти возможные следы злонамеренных действий.

Traps1

Следует учитывать, что аналитические данные, получаемые после предотвращения атаки, неизбежно являются менее полными, чем данные по успешным атакам, причинившим вред.

Преимущества подхода Traps

Защита от уязвимостей нулевого дня и неизвестного вредоносного ПО: Вам больше не придется ждать обновления сигнатур или отслеживать симптомы возможного вторжения — вы уже защищены от самых новых и изощренных угроз.

Удобный график установки исправлений: Поскольку исправления выходят не сразу, уязвимости долгое время оставляют систему незащищенной, а установка исправлений отнимает много времени и сил. Необходимо тщательно протестировать исправления и своевременно развернуть их на всех рабочих станциях. Для ИТ-отделов это совсем не простая задача. Более того, практически в каждой организации имеются устаревшие, но необходимые системы, на которые по тем или иным причинам исправления установить нельзя. Расширенная защита рабочих станций позволяет обеспечить их безопасность вне зависимости от наличия исправлений.

Защита любых приложений от эксплойтов: За счет того, Traps отслеживает алгоритмы эксплойтов, а не уникальные характеристики отдельных программ, его можно использовать для защиты любых приложений. Большинство систем безопасности рабочих станций способны защитить от эксплойтов лишь несколько самых популярных программ.

Минимальный ущерб для производительности: Агент потребляет минимум ресурсов и не затрагивает работу программ. Он может оставаться полностью невидимым для конечных пользователей.

Экономия времени и средств: За счет предотвращения атак вы сможете избавиться от затрат, связанных с простоем работы и восстановлением систем, которые часто оказываются неизбежными при заражении вредоносным ПО, особенно когда необходимо повторное развертывание образов.

Простота управления и нечастые обновления: Одним из недостатков традиционных систем защиты рабочих станций является необходимость постоянно устанавливать обновления сигнатур. Решение Traps выполняет обнаружение по небольшому ряду алгоритмов, обычно используемых вредоносным ПО, поэтому частые обновления не требуются.

Анализ угроз за счет интеграции с WildFire: Благодаря интеграции с WildFire клиентам доступна обширная экосистема по анализу угроз, участники которой ежедневно загружают в нее более миллиона образцов. За счет автоматической загрузки и анализа неизвестных исполняемых файлов вы сможете проанализировать каждый новый исполняемый файл на рабочей станции.

Архитектура системы Traps

Консоль Endpoint Security Manager

Инфраструктура Traps поддерживает множество вариантов архитектуры и возможность масштабирования под крупные распределенные среды. При установке ESM в Microsoft SQL Server создается специальная база данных, а в IIS устанавливается консоль администрирования. Поддерживаются версии Microsoft SQL 2008 и 2012. Под ESM может быть выделен новый сервер SQL, либо можно создать базу данных на уже существующем SQL-сервере.
Сервер для рабочих станций можно установить на физических или виртуальных машинах с Windows Server 2008 R2, Windows Server 2012 или Windows Server 2012 R2.

Серверы Endpoint Security Manager

Серверы ESM по сути выступают в роли посредников между агентами Traps и базой данных ESM. Передача данных между агентами Traps и серверами ESM осуществляется по протоколу HTTPS. Серверы ESM не хранят никаких данных, поэтому можно легко добавлять в существующую среду новые серверы или удалять уже имеющиеся по мере необходимости, обеспечивая требуемое резервирование и географический охват.

Если необходимы глобальные подключения, клиенты, не использующие мобильное решение, например Palo Alto Networks® GlobalProtect™, могут установить ESM-сервер в сегменте DMZ или в облачной среде с внешними подключениями. ESM-серверы можно установить на физических или виртуальных машинах с Windows Server 2008 R2, Windows Server 2012 или Windows Server 2012 R2.

Агент Traps

Для установки агента Traps используется пакет MSI объемом около 9 МБ. Установить пакет можно с помощью любого инструмента развертывания ПО. Последующие обновления агента осуществляются через ESM. Агент занимает менее 25 МБ на диске и не более 40 МБ в оперативной памяти во время работы. Наблюдаемая загрузка ЦП составляет менее 0,1 процента. В агенте также используются различные методы для предотвращения вмешательства в его работу, которые не позволяют пользователям и вредоносному коду отключить защиту или изменить конфигурацию агента.
За счет того, что структура среды Traps не потребляет много ресурсов, она поддерживает горизонтальное масштабирование и позволяет создавать крупные системы с 50 000 агентов на каждый сервер ESM. При этом настройка политик и хранение их базы данных по-прежнему осуществляются централизованно. Traps может работать параллельно с большинством популярных решений для безопасности рабочих станций, сохраняя невероятно низкую загрузку ЦП и подсистемы ввода-вывода. За счет минимального вмешательства в работу имеющихся систем Traps идеально подходит для критически важных инфраструктур, специализированных систем и сред виртуальных рабочих станций.

Охват и поддержка платформ

Traps позволяет обеспечивать безопасность систем без установленных исправлений. Решение поддерживает любые платформы на базе Microsoft Windows, настольные компьютеры, серверы, системы промышленного контроля, терминалы, виртуальные инфраструктуры, виртуальные машины, встроенные системы и т. п. Более того, Traps практически не потребляет ресурсов и позволяет защитить любые процессы, поэтому решение идеально подходит для специализированных систем, таких как ATM, POS или SCADA, и многих других отраслевых приложений с уникальными процессами, защита которых не должна влиять на их работу.

Операционные системы:

– Windows XP (с пакетом обновления 3 (SP3) или более поздней версии, 32-разрядная);
– Windows 7 (с пакетом обновления 1 (SP1), RTM, 32- и 64-разрядная; все версии, кроме Home);
– Windows 8 (32- и 64-разрядная);
– Windows 8.1 (32- и 64-разрядная);
– Windows 10 (32- и 64-разрядная);
– Windows Server 2003 (с пакетом обновления 2 (SP2) или более поздней версии, 32-разрядная);
– Windows Server 2003 R2 (с пакетом обновления 2 (SP2) или более поздней версии, 32-разрядная);
– Windows Server 2008 (32- и 64-разрядная);
– Windows Server 2012 (все версии);
– Windows Server 2012 R2 (все версии);
– Windows Vista (с пакетом обновления 2 (SP2), 32- и 64-разрядная).

Виртуальные среды:
– инфраструктуры виртуальных рабочих станций;
– Citrix;
– виртуальные машины;
– ESX;
– VirtualBox/Parallels

Аппаратные платформы:
– SCADA;
– Windows-планшеты.