Palo Alto Networks – oręż w walce z nowymi zagrożeniami

Katalog zagrożeń, z którymi muszą się liczyć administratorzy systemów informatycznych zmienił się w ostatnich latach znacząco. Wektory ataków, przed którymi do pewnego momentu można się było zabezpieczyć przy użyciu tradycyjnego firewalla oraz ochrony antywirusowej stacji roboczych przeszły znaczącą transformację. Przestępcy dosyć szybko nauczyli się omijać tradycyjne zabezpieczenia i wypracowali techniki, dzięki którym przejęcie i inwigilacja systemu informatycznego odbywa się często w sposób niezauważony. Zagrożenia typu APT (advanced persistent threat) stały się bardzo realne. Znane i głośne przypadki ataków tego typ wykrywane zostają nieraz po miesiącach, a nieraz po latach, gdy już przestępcy wyciągną z systemów wszystkie dane.

Obrona przed tego typu zagrożeniami przy użyciu tradycyjnych narzędzi mało, że nieskuteczna, powoduje złudne poczucie bezpieczeństwa, przez co intruzi mogą prowadzić swoje działania z pełną swobodą. Brak odpowiednich alertów z systemów bezpieczeństwa powoduje, że wszystkim wydaje się, iż sieć jest bezpieczna i nie ma potrzeby przyglądać się jej dokładniej. Większość poważnych incydentów bezpieczeństwa ma miejsce nie w środowiskach, w których brak jest zabezpieczeń, a w środowiskach, gdzie istnieją nieskuteczne zabezpieczenia. Często w ramach obsługi incydentu bezpieczeństwa uruchamiane są nowe narzędzia, które momentalnie wykrywają całą gamę zagrożeń i generują dużą ilość alertów, podczas gdy obecne w sieci tradycyjne systemy antywirusowe i firewalle niczego nie widzą.

Obszary ochrony

Aby zdać sobie sprawę z ilości i złożoności zagrożeń, na które musimy być przygotowani warto zapoznać się chociażby z matrycą Mitre ATT&CK (https://attack.mitre.org/). Zabezpieczenie środowiska przed tyloma wektorami ataków wymaga użycia nowoczesnych narzędzi potrafiących działać w różnych obszarach i co najważniejsze potrafiących reagować na szybko zmieniające się zagrożenia. Z pomocą przyjść nam tutaj mogą rozwiązania firmy Palo Alto Networks charakteryzujące się wysoką skutecznością i umiejętnością powstrzymania zaawansowanych ataków. Poniżej omówimy obszary, w których narzędzia Palo Alto Networks przyjśc nam mogą z pomocą.

DNS security

DNS jest usługą, która chętnie wykorzystywana jest przez cyberprzestępców. Wynika to z faktu, iż musi ona działać w każdej sieci. Dlatego to w pakietach protokołu DNS często tunelowana i ukrywana jest złośliwa zawartość lub poufne dane, transferowane na zewnątrz sieci. To z pomocą DNS-ów dochodzi też często do komunikacji pomiędzy zainfekowanymi systemami a serwerami C&C. Zabezpieczenie komunikacji DNS jest zatem niezbędne w celu wykrycia złośliwej aktywności. Monitorowanie komunikacji na tym poziomie pozwala ponadto na wykrycie i przerwanie komunikacji z domenami, które aktywnie wykorzystywane są przez złośliwe oprogramowanie lub innego rodzaju zagrożenia (np. phishing).

Endpoints security

Tradycyjna ochrona antywirusowa stacji roboczych to w dzisiejszych czasach zdecydowanie za mało. Palo Alto Traps to narzędzie, które doskonale dowodzi swojej przewagi nad antywirusami. Narzędzie to w wykrywaniu zagrożeń bazuje m.in. na analizie zachowań, ale co najistotniejsze korzysta w tym celu z usług chmurowych (Cortex XDR, WildFire) i sztucznej inteligencji. Dzięki temu możliwe jest wykrywanie ataków, dla których nie istnieją tradycyjne sygnatury plikowe lub ataków, które wykorzystują znane podatności w systemach, na które producenci nie dostarczają już aktualizacji (np. Windows XP).

URL Filtering Web Security

Ochrona ruchu wymienianego pomiędzy przeglądarkami użytkowników a Internetem to kolejny istotny element bezpieczeństwa. Wynika to po pierwsze z popularności protokołu HTTP, który najczęściej dostępny jest w naszych sieciach, a po drugie z możliwości szyfrowania tego ruchu pomiędzy klientem a serwerem (również tym złośliwym), co znacznie utrudnia analizę i wykrycie incydentu bezpieczeństwa. Należy też pamiętać, że to przez strony internetowe dochodzi do najchętniej przez przestępców wykorzystywanych ataków phishingowych. I to właśnie w tym obszarze rozwiązania Palo Alto Networks pokazują swoją skuteczność i przewagę. Umożliwiają one nie tylko wykrycie faktu udostępniania danych uwierzytelniających na zewnątrz sieci, ale też np. analizę obrazków na stronie www w celu wykrycia prób podszywania się pod znanych usługodawców (Microsoft, Google, Facebook itp.).

WildFire Malware Analysis

Punktem wspólnym większości rozwiązań firmy Palo Alto Networks jest stanowiąca o ich przewadze usługa WildFire. Jest to chmurowe centrum analizy złośliwego oprogramowania, które przy wykorzystaniu nowoczesnych technik uczenia maszynowego potrafi rozpoznać nawet ataki typu zero day. Osoby zawodowo zajmujące się śledzeniem złośliwego oprogramowania i reagowaniem na incydenty z jego udziałem wiedzą, że nowoczesne wirusy są nie do zidentyfikowania na podstawie tradycyjnych sygnatur. Potrafią one dynamicznie modyfikować swój kod przy każdej infekcji lub wykorzystywać infrastrukturę, która w jednej tylko kampanii złośliwego oprogramowania posługuje się tysiącami dynamicznie rejestrowanych domen internetowych. Analiza tego typu zagrożeń wymaga wnikliwych i czasochłonnych działań, których efektem jest wyznaczenie tzw. IOC (indicator of compromise), czyli cech charakterystycznych, po których zidentyfikowana może zostać złośliwa aktywność. Dla jednego tylko typu złośliwego oprogramowania mogą ich być setki a nawet tysiące. Dlatego też walka z tego typu zagrożeniami bez centralnego systemu, który będzie potrafił samodzielnie i automatycznie dokonywać analizy w oparciu o zgromadzone z całego świata dane jest praktycznie niemożliwa. WildFire staje się tutaj zatem niezbędnym narzędziem, którego obecność w systemach bezpieczeństwa z sukcesem zastąpić może cały zespół analityków.

Jeżeli jesteście Państwo zainteresowani rozwiązaniami firmy Palo Alto Networks, zachęcamy do kontaktu z naszym działem handlowym. Wyczerpujące informacje o TRAPS można znaleźć na stronie PaloAlto Networks.