Produktbeskrivning

Palo Alto Networks Advanced Threat Prevention bygger på den branschledande säkerhetstjänsten Threat Prevention för att skydda ditt nätverk genom att tillhandahålla flera lager av förebyggande åtgärder och konfrontera både kända och okända hot i varje fas av en attack. Förutom branschledande IPS-funktioner har Advanced Threat Prevention den unika förmågan att utnyttja djupinlärning och maskininlärningsmodeller för att blockera undvikande och okända kommando- och kontrollkanaler (C2) - helt inline - den sista chansen att stoppa en attack innan en kommunikation kan upprättas. Advanced Threat Prevention ger den bredaste synligheten och upptäcker och blockerar hot på alla portar istället för att använda signaturer som baseras på en begränsad uppsättning fördefinierade portar.

Advanced Threat Prevention drar nytta av Palo Alto Networks andra molnlevererade säkerhetsabonnemang för dagliga uppdateringar som stoppar exploateringar, skadlig kod, skadliga webbadresser, C2, spionprogram etc. Advanced Threat Prevention är en nödvändighet för alla Palo Alto Networks NGFW och kan påskynda förebyggandet av nya okända hot till nära realtid när det kombineras med andra Palo Alto Networks-prenumerationer, inklusive WildFire malware prevention service för okända filbaserade hot, Advanced URL Filtering för webbburna attacker, DNS Security för attacker som använder Domain Name Service och IoT Security för synlighet och sammanhang för oadministrerade enheter.

 

Egenskaper

Skydda mot kända och okända kommando- och kontrollfunktioner
Det finns ingen patentlösning när det gäller att förhindra att alla hot kommer in i nätverket. Efter den första infektionen kommer angriparna att kommunicera med värdmaskinen via en C2-kanal och använda den för att hämta ytterligare skadlig kod, utfärda ytterligare instruktioner och stjäla data. Med den ökande användningen av verktyg som Cobalt Strike samt krypterad eller fördunklad trafik är det enklare än någonsin för angripare att skapa helt anpassningsbara kommando- och kontrollkanaler som inte kan stoppas med traditionella metoder.

Okänt C2-förhindrande inline
Advanced Threat Prevention introducerar inline djupinlärning för realtidsbekämpning av nya och okända kommando- och kontrollsystem. Advanced Threat Prevention bygger på den unika datauppsättningen med skadlig kod från WildFire samt signaler från webbplatser och forskargruppen Unit 42, och utnyttjar flera modeller för djupinlärning och maskininlärning som körs i molnet. Modellerna är anpassade till viktiga protokoll som SSL, HTTP, okänd UDP och okänd TCP. Specifika modeller identifierar även C2-trafik från verktyg som Cobalt Strike. När trafiken passerar brandväggen skickas en liten förfiltrerad del av trafiken till molnet för analys, med ett svar som skickas tillbaka till brandväggen för att avgöra om trafiken ska fortsätta. Baserat på dessa anpassade modeller och integration med NGFW kan Advanced Threat Prevention i realtid förebygga tidigare okänd C2.

Nyttolastbaserade signaturer
Palo Alto Networks går längre än standardautomatisering av C2-signaturer baserade på webbadresser och domäner. C2-skyddet fokuserar på dessa obehöriga kommunikationskanaler och stänger av dem genom att blockera utgående förfrågningar till skadliga domäner och från kända verktygssatser som installerats på infekterade enheter. Palo Alto Networks genererar och levererar automatiskt signaturer av forskarkvalitet baserade på skadlig trafik som WildFire ser i maskinhastighet och skala. Dessa signaturer är nyttolastbaserade och kan upptäcka C2-trafik även när C2-värden är okänd eller ändras snabbt.

Utnyttja förstklassigt förebyggande av intrång
Hotbaserade skydd upptäcker och blockerar exploateringsförsök och undvikande tekniker i både nätverks- och applikationslagren, inklusive portskanningar, buffertöverflöden, fjärrkörning av kod, protokollfragmentering och obfuskering. Skyddet baseras på signaturmatchning och anomalidetektering, som avkodar och analyserar protokoll och använder informationen för att skicka varningar och blockera skadliga trafikmönster. Stateful pattern matching upptäcker attacker över flera paket, tar hänsyn till ankomstordning och sekvens och säkerställer att all tillåten trafik har goda avsikter och saknar undvikande tekniker.

Använd anpassade signaturer för nya hot
Advanced Threat Prevention ger också flexibelt stöd för regelkonvertering av Snort och Suricata, vilket ger snabbt skydd mot nyupptäckta sårbarheter. Detta stöd, tillsammans med pågående utveckling av anpassade signaturer, tillgodoser ett viktigt användningsområde och underliggande mål för IPS, utöver att helt eliminera behovet av fristående IPS- eller IDS-lösningar. Signaturtäckning för obekräftade eller nya sårbarheter fungerar nämligen som en nödlösning innan en verifierad uppdatering kan distribueras till organisationens alla programvaror och applikationer. Med konverteringsstödet kan du automatiskt konvertera, sanera, ladda upp och hantera Snort- och Suricata-regler, så att du kan dra nytta av informationsflöden samtidigt som du sparar tid och arbete som krävs för traditionella signaturbaserade IPS-tekniker. Du kan utnyttja exponerade API:er för att automatisera processen med att tillämpa nya Snort-regler i din miljö.

Skydda mot skadlig kod
Inline-skydd mot skadlig kod - genom signaturer baserade på nyttolast, inte hash - blockerar skadlig kod innan den ens når målvärden. Detta inkluderar känd skadlig kod och framtida varianter, även de som ännu inte har setts i naturen. Den strömbaserade skanningsmotorn skyddar nätverket utan betydande fördröjning, vilket är en allvarlig nackdel med nätverksbaserade antivirusprogram som förlitar sig på proxybaserade skanningsmotorer. Stream-baserad skanning inspekterar trafiken så snart de första paketen i filen tas emot, vilket eliminerar hot samt de prestandaproblem som förknippas med traditionella fristående lösningar.