Palo Alto TRAPS 4.0 Co nowego?

Podobne dokumenty
OCHRONA PRZED RANSOMWARE. Konfiguracja ustawień

OCHRONA PRZED RANSOMWARE

Otwock dn r. Do wszystkich Wykonawców

Znak sprawy: KZp

Skuteczne rozpoznanie oraz kontrola aplikacji i użytkowników sieci - rozwiązanie Palo Alto Networks

Win Admin Replikator Instrukcja Obsługi

Odpowiedzi na pytania do postępowania na zakupu oprogramowania antywirusowego (NR BFI 1S/01/10/05/2019) z dnia

AE/ZP-27-16/14. Oprogramowanie do wykonywania kopii zapasowych oraz zarządzania maszynami wirtualnymi

Koniec problemów z zarządzaniem stacjami roboczymi BigFix. Włodzimierz Dymaczewski, IBM

BlackHole. Bezpieczne Repozytorium Ważnych Zasobów.

Jarosław Kuchta Administrowanie Systemami Komputerowymi. Internetowe Usługi Informacyjne

7. zainstalowane oprogramowanie zarządzane stacje robocze

POLITYKA E-BEZPIECZEŃSTWA

Asix. Konfiguracja serwera MS SQL dla potrzeb systemu Asix. Pomoc techniczna NIEZAWODNE ROZWIĄZANIA SYSTEMÓW AUTOMATYKI

Audyt zasobów sprzętowych i systemowych (za pomocą dostępnych apletów Windows oraz narzędzi specjalnych)

Efektywne zarządzanie infrastrukturą IT, inwentaryzacja sprzętu i oprogramowania oraz ochrona danych przed wyciekiem dzięki wdrożeniu Axence nvesion

UMOWY CYWILNOPRAWNE Instalacja, rejestracja i konfiguracja programu

Web Application Firewall - potrzeba, rozwiązania, kryteria ewaluacji.

Analiza malware Remote Administration Tool (RAT) DarkComet

Temat: Windows 7 Centrum akcji program antywirusowy

Win Admin Replikator Instrukcja Obsługi

Wykaz zmian w programie WinAdmin Replikator

9. System wykrywania i blokowania włamań ASQ (IPS)

Oprogramowanie antywirusowe musi spełniać następujące wymagania minimalne:

Metodologia ochrony informacji w systemach klasy desktop oraz na urządzeniach przenośnych

WSTĘP CYKL ŻYCIA ATAKU

Konfigurowanie Windows 8

Xopero Backup Build your private cloud backup environment. Rozpoczęcie pracy

Adaptive Defense PROAKTYWNE PRZECIWDZIAŁANIE ZAGROŻENIOM

Kancelaria Prawna.WEB - POMOC

Wymagania techniczne dla programów antywirusowych. Oprogramowanie dla serwerów i stacji roboczych będących w sieci - ilość 450 sztuk:

Panda Managed Office Protection. Przewodnik. Panda Managed Office Protection. Przewodnik

1. Zakres modernizacji Active Directory

Kontroluj bezpieczeństwo swoich urządzeń dzięki konsoli w chmurze

Netia Mobile Secure Netia Backup

11. Autoryzacja użytkowników

NETWORK Monitorowanie serwerów, urządzeń i aplikacji INVENTORY Inwentaryzacja sprzętu i oprogramowania, audyty legalności USERS Monitorowanie

Produkty. ESET Produkty

Ataki w środowiskach produkcyjnych. (Energetic bear / Dragon Fly / Still mill furnace)

Szczegółowy opis przedmiotu zamówienia:

NETWORK Monitorowanie serwerów, urządzeń i aplikacji INVENTORY Inwentaryzacja sprzętu i oprogramowania, audyty legalności USERS Monitorowanie

EXSO-CORE - specyfikacja

ArcaVir 2008 System Protection

Analiza możliwości złośliwego oprogramowania vjw0rm w kampanii phishingowej PayU

PROGRAMY NARZĘDZIOWE 1

PR P E R Z E E Z N E T N A T C A JA C JA KO K RP R O P RA R C A Y C JN Y A JN ACTINA DATA MANAGER

Generacja paczki instalacyjnej F-Secure Client Security/Client Security Premium

Wykaz zmian w programie Win Admin Replikator

Ćw. I. Środowisko sieciowe, połączenie internetowe, opcje internetowe

Instrukcja do programu Roger Licensing Server v1.0.0 Rev. A

SKRÓCONY OPIS systemu lojalnościowego

Wyspecjalizowani w ochronie urządzeń mobilnych

Zbuduj prywatną chmurę backupu w firmie. Xopero Backup. Centralnie zarządzane rozwiązanie do backupu serwerów i stacji roboczych

Dział Dopuszczający Dostateczny Dobry Bardzo dobry Celujący

Produkty. MKS Produkty

Uniwersytet Mikołaja Kopernika w Toruniu Wydział Matematyki i Informatyki Wydział Fizyki, Astronomii i Informatyki Stosowanej Instytut Fizyki

Zmieniona Tabela nr 1a - Oprogramowanie antywirusowe. Parametry wymagane przez Zamawiającego

OPIS PRZEDMIOTU ZAMÓWIENIA

Zadanie1: Odszukaj w serwisie internetowym Wikipedii informacje na temat protokołu http.

OPIS PRZEDMIOTU ZAMÓWIENIA w odniesieniu do zadania antywirus - dostawa oprogramowania antywirusowego

Oprogramowanie uproszczonej rejestracji komputerowej dla central analogowych CALLNET - instrukcja instalacji i obsługi (wersja 15.1).

Pełna specyfikacja pakietów Mail Cloud

Sprawa numer: BAK.WZP Warszawa, dnia 16 sierpnia 2016 r.

EPA Systemy Sp. z o.o. Przedstawiciel CTERA Networks Ltd w Polsce Tel gbi@profipc.pl CTERA

Instrukcja konfiguracji i uruchamiania połączenia VPN z systemami SAP

` Oxeris Anti-Theft Service Powered by Intel Anti-Theft Technology Usługa antykradzieżowa urządzeń

Technologia Automatyczne zapobieganie exploitom

Wykaz zmian w programie Win Admin Replikator

elektroniczna Platforma Usług Administracji Publicznej

Instrukcja konfiguracji programu Fakt z modułem lanfakt

Win Admin Replikator Instrukcja Obsługi

Egzamin : zabezpieczanie systemu Windows Server 2016 / Timothy Warner, Craig Zacker. Warszawa, Spis treści

SYSTEM VILM ZARZĄDZANIE CYKLEM ŻYCIA ŚRODOWISK WIRTUALNYCH. tel: +48 (032)

Opis Przedmiotu Zamówienia

Zmiana treści Specyfikacji Istotnych Warunków Zamówienia.

Implementowanie zaawansowanej infrastruktury serwerowej Windows Server 2012 R2

Rok szkolny 2015/16 Sylwester Gieszczyk. Wymagania edukacyjne w technikum

Instrukcja szybkiego rozpoczęcia pracy

SysLoger. Instrukcja obsługi. maj 2018 dla wersji aplikacji (wersja dokumentu 2.5)

Zabezpieczanie systemu Windows Server 2016

InfoLAN Sp. z o.o., OPIS MODUŁÓW Spis treści

BEZPIECZEŃSTWO BANKOWOŚCI DETALICZNEJ

Wyższy poziom bezpieczeństwa

OPIS PRZEDMIOTU ZAMÓWIENIA

Rozwój zagrożeń i ich mitygacja. Seweryn Jodłowski Senior Systems Engineer, CISSP, CNSE

DLP i monitorowanie ataków on-line

Wyspecjalizowani w ochronie urządzeń mobilnych

- komputer (stacja robocza) ma być naprawiony i skonfigurowany w siedzibie firmy,

Podstawy bezpieczeństwa

BITDEFENDER GRAVITYZONE

Instrukcja do programu Roger Licensing Server v1.0.0 Rev. A

Pełna specyfikacja pakietów Mail Cloud

DESlock+ szybki start

Projektowanie bezpieczeństwa sieci i serwerów

WWQ. Wakacyjne Warsztaty QNAP. Zaczynamy o 11:00. Prowadzący: Łukasz Milic Certyfikowany Trener QNAP

Projektowanie zabezpieczeń Centrów Danych oraz innych systemów informatycznych o podwyższonych wymaganiach bezpieczeństwa

NASK SA Data Center besmartpzp Bezpieczny Portal Zamówień Publicznych

Połączenie sieciowe: Jak dodać wyjątki do zapory Windows (Windows Firewall)

Raport z analizy porównawczej rodzin ransomware JAFF i Cry

Pełna specyfikacja pakietów Mail Cloud

Transkrypt:

Palo Alto TRAPS 4.0 Co nowego? Opracowanie własne (listopad 2017) (c) CC Otwarte Systemy Komputerowe Sp. z o.o. 1. Ochrona przed plikami Microsoft Office System Traps w wersji 4.0 został wzbogacony o funkcjonalność ochrony przed szkodliwymi makrami zawartymi w plikach Microsoft Office. Zawiera on moduły ochrony w plikach: Microsoft Office 2003 2007 doc, xls Microsoft Office 2010 i nowsze docm, docx, xlsm, xlsx Na samym początku weryfikowany jest skrót SHA256 makra względem lokalnego cache. W przypadku gdy mamy już werdykt (niezależnie od tego czy pochodzi on z WildFire czy ręcznie wprowadzonego przez administratora wpisu) Traps zachowuje się zgodnie z jego wartością blokuje lub zezwala na wykonanie kodu w makrze. Jeżeli werdykt nie jest znany, równolegle odbywają się dwie czynności: Kod makra jest poddawany mechanizmowi lokalnej analizy, która wykonuje analizę z wykorzystaniem zarówno mechanizmów Machine Learning jak i statycznej analizy kodu. Równolegle makro jest wysyłane do chmury WildFire celem analizy. Co najważniejsze, wysyłane jest jedynie makro treść dokumentu nie opuszcza stacji roboczej i nie jest wysyłana nigdzie na zewnątrz. W przypadku gdyby lokalna analiza nie wykryła nic podejrzanego, zawsze działają pozostałe moduły Exploit Protection Module które mają za zadanie chronić proces programu przed podejrzanymi czynnościami lub metodami które wykorzystywane są podczas przeprowadzania ataków. 2. Uproszczony mechanizm licencjonowania Przebieg procesu weryfikacji makra w plikach Microsoft Office W odpowiedzi na sugestie i prośby użytkowników oraz partnerów, nastąpiła zmiana mechanizmu licencjonowania systemu Traps. Od teraz, wszystkie typy licencji agenta (Workstation/Server/VDI) zostały zintegrowane w jedną pulę, dzięki czemu nie musimy się

martwić o liczbę chronionych stacji roboczych lub serwerów posiadając wolne licencje na system niewłaściwego typu. 3. Agent Traps dla systemu Mac OS Od wersji 4.0 dostępny jest agent Traps na platformę macos, rozszerzając ochronę na stacje robocze z tym systemem operacyjnym. Wspierane systemy to OS X 10.10 (Yosemite) i nowsze. Unikalną funkcjonalnością dedykowaną dla platformy macos jest Gatekeeper Enhancement MPM oraz DyLib-Hijacking Protection. Pierwsza z nich pozwala na rozszerzenie funkcjonalności Gatekeeper o ochronę przed uruchomieniem niepodpisanych procesów potomnych poprzez zaufaną aplikację. Od teraz, możemy decydować również o poziomie podpisu procesów potomnych (np. zezwalamy na procesy podpisane przez Apple System, Mac App Store, blokujemy Developers). Moduł DyLib-Hijacking Protection wprowadza ochronę przed załadowaniem nieautoryzowanych bibliotek dynamicznych (dylib) wykorzystujących atak na technikę ich wyszukiwania poprzez używanie wieloznacznych ścieżek w mechanizmie wyszukiwania bibliotek oraz uprawnienia zapisu plików do katalogu aplikacji i standardowych katalogów z bibliotekami. Moduł ten jest domyślnie uruchomiony i zabezpiecza nas przed tego typu atakami nawet jeżeli proces lub użytkownik ma pełne uprawnienia do tych katalogów. Wersja 4.1 udostępnia również mechanizm lokalnej analizy dla systemu macos, który jest uzupełnieniem mechanizmu dynamicznej analizy plików oferowanej przez platformę WildFire. 4. Zaawansowana kontrola nad procesami potomnymi Wersja 4.0 wprowadza usprawnienia do ochrony przed procesami potomnymi. Mamy do dyspozycji nowy moduł Malware Protection Module (MPM), za pomocą którego administrator może zdefiniować listę procesów potomnych jako tzw. whitelistę (czyli zezwalamy jedynie na wykonywanie procesów znajdujących się na liście) lub tzw. Blacklistę (czyli zezwalamy na uruchamianie wszystkich procesów za wyjątkiem tych znajdujących się na liście). Wersja 4.1 wprowadza kolejne ulepszenia do modułu. Mamy teraz pełną kontrolę nad procesami uruchamianymi z linii komend (np. za pomocą cmd.exe, powershell.exe a także hosta skryptów Windows Scripting Host i hosta usług Windows svchost.exe). Możemy definiować polityki np. zawsze blokujące uruchomienie procesu powershell.exe poprzez Microsoft Word, zezwalając na uruchamianie innych (np. cmd.exe). Dodatkowo, możemy zezwolić lub zabronić uruchomienia procesu na podstawie jego lokalizacji czyli proces powershell.exe uruchomi się jedynie jeśli znajduje się w domyślnej lokalizacji systemowej i jest zweryfikowany cyfrowo, zaś inny proces powershell.exe znajdujący się np. w C:\Downloads nie zostanie uruchomiony (nawet pomimo prawidłowego podpisu cyfrowego).

5. Moduł AntiRansomware Protection Konfiguracja ochrony procesów potomnych Od wersji 4.1 wprowadzony został dedykowany, zaawansowany moduł przeciwko oprogramowaniu typu ransomware, które szyfrują pliki na dysku oraz żądają okupu za ich odzyskanie. Przeprowadzając atak typu Ransomware, atakujący najczęściej korzysta z dedykowanego pliku binarnego, wykorzystuje biblioteki DLL, makra lub skrypty powłoki systemowej. Ochrona przed tego typu atakami była zapewniona już wcześniej, dzięki modułom Exploit Protection Modules, Malware Protection Modules, restrykcjom, ochronie procesów potomnych oraz integracją z WildFire. Jako dodatkową warstwę ochrony, agent Traps tworzy w kilkunastu folderach (m. in katalogu głównym, na pulpicie, w dokumentach etc.) niewidoczne dla użytkownika pliki o najpopularniejszych rozszerzeniach (obrazy, dokumenty, ale także np. klucze prywatne, certyfikaty cyfrowe i bazy danych), których istnienia nie jest on nawet świadomy. Pliki te działają jak mechanizm honeypot wszelkie manipulacje tymi plikami i operacje na nich są ściśle monitorowane. W przypadku wykrycia niepożądanych akcji, agent Traps natychmiast blokuje proces który dokonał zmian, co efektywnie zabezpiecza nas przed atakami typu Ransomware.

Pliki typu honeypot widoczne w katalogu C:\ jako użytkownik NT AUTHORITY\SYSTEM

6. Ochrona przed fingerprintingiem z wykorzystaniem Exploit Kitów Nowy moduł Exploit Protection Module (EPM) o nazwie Exploit Kit Fingerprinting Protection zapewnia nam ochronę przed procesem fingerprintingu, czyli pozyskiwania informacji o środowisku, która ma za zadanie usprawnić proces ataku poprzez identyfikację podatności, wgląd w zainstalowane oprogramowanie lub aktualnie zalogowanego użytkownika. Moduł ten działa na zasadzie wykrywania zachowań które są charakterystyczne dla oprogramowania generowanego przez popularne Exploit Kity, np. Metasploit Framework. Exploit Kity także mogą być uruchamiane jako witryna sieci WWW, dlatego domyślna polityka zakłada automatyczną ochronę dla popularnych przeglądarek Internetowych. 7. Ochrona przed eskalacją uprawnień na poziomie jądra systemu operacyjnego Moduł ten zabezpiecza przed atakami mającymi na celu eksploitację jadra systemu operacyjnego poprzez ochronę przez załadowaniem złośliwego kodu (shellcode) i jego wykonania. System Traps monitoruje wszelki dostęp do pamięci która nie jest zamapowana, co pozwala na zablokowanie zagrożenia bez szkody dla procesu który został wykorzystany w celu wykorzy Dodatkowo, poprzez integrację z wyżej opisanym mechanizmem, moduł ten potrafi rozpoznać ataki wykonywane przez Exploit Kity i narzędzia np. DoublePulsar czy EternalBlue które to w głównej mierze odpowiadały za lawinę ataków typu WannaCry, wykorzystujących szereg podatności w protokole SMBv1. W wersji 4.1 moduł ten został udoskonalony o ochronę APC (Asynchronous Procedure Call), eliminując ryzyko uzyskania dostępu do shellcode u ze specyficznego adresu pamięci poprzez przekazanie wywołania APC z właściwej procedury. 8. Rejestracja w Microsoft Security Center Od wersji 4.0, produkt Traps spełnił oficjalne warunki definicji oprogramowania antywirusowego założone przez Microsoft, przez co program Microsoft Security Center raportuje instalację agenta jako pełnoprawne rozwiązanie antywirusowe. Pozwala to na monitoring zabezpieczeń stacji roboczej za pomocą domyślnego narzędzia wbudowanego w systemy Microsoft Windows od 7 w górę. Microsoft Security Center na bieżąco weryfikuje stan działania agenta Traps i status ochrony, co pozwala na podniesienie alarmu np. w przypadku wyłączenia integracji z platformą WildFire, program Microsoft Security Center ostrzeże nas że nie działa ochrona przed wirusami. Agent Traps nie zostaje zarejestrowany w Microsoft Security Center dopóki nie otrzyma polityki z serwera zarządzania.

9. Wsparcie dla urządzenia WF-500 Platforma Traps 4.0 dodaje wsparcie dla dedykowanego urządzenia typu WildFire Private Cloud - Palo Alto Networks WF-500. Dzięki temu, posiadając takie urządzenie, możemy przeprowadzać analizę plików za jego pomocą, nie będąc zależnym od połączenia internetowego. Urządzenie WF-500 obsługuje do 40,000 agentów Traps i jest idealnym rozwiązaniem w organizacjach, które są obostrzone regulacjami które efektywnie uniemożliwiają transfer plików poza granicę organizacji. W domyślnej konfiguracji urządzenie WF-500 nie wysyła plików do chmury WildFire, jednak informacje o werdykcie są upubliczniane dzięki czemu wszyscy klienci, którzy posiadają aktywną subskrypcję WildFire na firewallu Palo Alto Networks lub posiadają instalację Traps będą informowani o werdykcie dla danego pliku. Przykładowy model wdrożenia z wykorzystaniem urządzenia WF-500

10. Integracja z systemem Panorama Wersja Traps 4.0 wprowadza także możliwość przekazywania logów do systemu Panorama, który odpowiada za zarządzanie infrastrukturą systemów Palo Alto Networks, agregacją logów oraz korelacją zdarzeń. System Panorama zapewnia nam analizę logów aktywności z całej infrastruktury sieciowej za pomocą pojedynczego panelu zarządzania. Pozwala nam to na łatwe monitorowanie stanu sieci i stacji roboczych oraz wprowadzi szerszy kontekst oraz widoczność w przypadku wykrycia zagrożenia. Widzimy punkt wejścia, wszelkie czynności, jak również komunikację sieciową z szczególnym wskazaniem wszelakich adresów, portów i aplikacji, a także zrzutem pakietów komunikacji sieciowej. Dzięki temu że Panorama posiada system automatycznej korelacji zdarzeń oraz posiada wsparcie dla pluginów do systemów zarządzania infrastrukturą (np. VMware NSX), możliwe jest także zautomatyzowane podjęcie czynności naprawczych, np. zablokowanie ruchu poprzez automatyczną modyfikację polityki bezpieczeństwa urządzeń firewall, przełączenie zainfekowanej stacji roboczej do innego segmentu sieci (np. inny VLAN) lub wręcz komunikację z warstwą orkiestracji infrastruktury i automatyczne przywrócenie serwera z migawki/kopii zapasowej lub wykreowanie nowej maszyny wirtualnej w miejsce zainfekowanej. Automatyczna korelacja zdarzeń w systemie Panorama

2024 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres