info@h-square.cz+420 226 200 992

TRAPS – Pokročilá ochrana koncových bodů

„Každý řetěz je tak silný, jak silný je jeho nejslabší článek.“ Toto tvrzení platí dvojnásob v oblasti bezpečnosti ICT infrastruktury. Útočníci se nebudou snažit prolomit technologicky silnou a robustní ochranu perimetru, kterou představuje například špičkový Next Generation Firewall. Naopak, budou hledat nejslabší a nejméně zabezpečený článek v celém systému, pomocí kterého proniknou do interní části sítě, odkud bude mnohem snazší útočit na zbytek infrastruktury. Jedním z takových míst bývají velice často koncové stanice.

Vyspělé řešení ochrany koncových bodů Palo Alto Networks Traps™ zastavuje hrozby přímo na koncových zařízeních a koordinuje ochranná opatření se zabezpečením cloudu a sítě. Účinně tak brání kybernetickým útokům. Traps zamezuje napadení koncových bodů, má podobu na prostředky nenáročného agenta, který blokuje malware, zneužití bezpečnostních chyb a ransomware. Dá se nasadit v operačních systémech Windows®, macOS®, Android® a Linux a spravovat prostřednictvím vlastního zařízení zákazníka i v cloudu.

Vyspělá ochrana koncových bodů by měla:

  • Aktivně chránit koncové stanice použitím preventivních opatření.
  • Bránit všem útokům včetně těch, které zneužívají dosud neznámé slabiny.
  • Bránit všem škodlivým spustitelným souborům bez nutnosti předchozí znalosti.
  • Blokovat i škodlivé skripty a makra vnořené do dokumentů, tabulek a PDF souborů.
  • Zabránit spuštění a dalšímu šíření ransomware.
  • Detailně dokumentovat zastavené útoky.
  • Být vysoce škálovatelná, nenáročná a nijak nenarušovat normální provoz.
  • Úzce se integrovat se síťovým a cloudovým zabezpečením.

Různé metody prevence malwaru

Traps brání spouštění škodlivých souborů a poradí si přitom jak s tradičními, tak i moderními útoky. Administrátoři můžou kromě toho spouštět pravidelné prověřování na odhalování spících hrozeb, plnění zákonných požadavků a zrychlení reakce na incidenty v kontextu koncových bodů.

  • Poznatky o hrozbách: Řešení Traps využívá poznatky získávané od desítek tisíc předplatitelů služby prevence malwaru WildFire. Ta průběžně shromažďuje údaje o hrozbách a udržuje kolektivní imunitu všech uživatelů napříč koncovými body, sítěmi a cloudovými aplikacemi. WildFire na dotazy Traps reaguje prakticky okamžitým verdiktem jestli je soubor škodlivý nebo neškodný. Pokud se jedná o neznámý soubor, Traps dalšími technikami prevence určí, jestli soubor představuje hrozbu, kterou by bylo třeba eliminovat.
  • Lokální analýza využívající strojové učení: Pokud je soubor po prvotním vyhledání kontrolního součtu neznámý a současně nebyl identifikován administrátory, Traps metodami strojového učení provede lokální analýzu, která vychází z bohatých poznatků služby WildFire o hrozbách. Na základě jejího výsledku určí, jestli lze soubor bezpečně spustit – ještě před získáním výsledku hlubší inspekce ze strany WildFire.
  • Dynamická analýza: Kromě lokálních analýz posílá Traps neznámé soubory službě WildFire k důkladnější analýze. Dokáže tak rychle odhalovat potenciálně neznámý malware. WildFire používá nezávislé techniky vysoce přesného odhalování malwaru, které si poradí s většinou úhybných postupů. Jsou to:
    • Statická analýza metodami strojového učení – silnější verze lokální analýzy, která probíhá v cloudu a rozpoznává ve vzorcích před jejich spuštěním známé hrozby.
    • Dynamická analýza – speciální virtuální prostředí, které je odolné proti metodám maskování a ve kterém se neznámé vzorky kódu nechávají „detonovat“, aby bylo možné určit jejich reálné dopady a chování.
    • Analýza na úrovni hardwaru – hardwarové analytické prostředí navržené přímo pro vyspělé hrozby, které vykazují vysoce úhybné charakteristiky a dokážou rozpoznat analýzu ve virtuálním prostředí a vyhnout se jí.

    Pokud WildFire zjistí, že určitý soubor představuje hrozbu, automaticky vytvoří a nasdílí novou preventivní signaturu s Traps a dalšími součástmi Palo Alto Networks Security Operating Platform
    – během pouhých pěti minut. Hrozba je tak okamžitě klasifikována jako škodlivá a při dalším případném výskytu okamžitě eliminována.

  • Prevence škodlivých procesů: Traps brání skriptovým a bezsouborovým útokům jemně vyladěnou kontrolou nad spouštěním legitimních aplikací, třeba skriptových enginů a útokům z příkazové řádky.
  • Ochrana před ransomwarem: Kromě existujících ochranných opatření, včetně prevence zneužití, lokální analýzy a cloudu WildFire, monitoruje Traps systém na výskyt typického chování ransomwaru. Takový útok při zjištění okamžitě zablokuje a zabrání zašifrování dat uživatele.

Různé metody prevence zneužití

Řešení Traps má jedinečnou schopnost preventivně bránit zneužití rozpoznáváním technik a modelem zaměřeným na ochranu. Traps se zaměřuje na techniky, které musí při manipulaci se zranitelností v softwaru použít každý útok. Prevencí těchto technik dokáže Traps chránit i systémy bez nainstalovaných oprav, nepodporované starší systémy, aplikace bez zajištění ze strany IT – takzvané stínové IT – a dosud neznámá zneužití, tzv. útoky nultého dne.

Prevenci zneužití provádí Traps různými metodami, jmenovitě to jsou:

  • Ochrana před zjištěním bezpečnostní zranitelnosti: Traps brání technikám profilování zranitelností, jež sady napadení používají ještě před spouštěním útoků. Dokáže tak útočníkům zabránit před cílením na zranitelné koncové body a aplikace.
  • Prevence zneužití na základě technik: Blokováním technik, které útočníci používají k manipulaci aplikací, brání Traps zneužití známých, úplně nových i neopravených bezpečnostních chyb.
  • Prevence zneužití jádra: Traps předchází útokům, které zneužívají zranitelnosti v jádru operačního systému ke spouštění procesů se zvýšenými oprávněními. Taky chrání před novými technikami zneužití, které se používají ke spouštění škodlivého kódu, jaké v roce 2017 použily například útoky WannaCry a NotPetya.


Blokováním těchto technik poskytuje Traps zákazníkům tři důležité výhody:

  1. Chrání aplikace, pro které nejsou k dispozici opravy, a také stínové IT.
  2. Minimalizuje rizika spojená s opožděnou instalací oprav.
  3. Zabraňuje úspěšnému vedení útoků nultého dne.

Kromě prevence malwaru a zneužití zranitelností Traps dále provádí:

  • Prověřování: Administrátoři můžou vyhledávat spící malware na koncových bodech a připojených vyměnitelných discích. V případech, kdy není při nalezení k dispozici žádný opravný prostředek, mají možnost izolovat malware v karanténě.
  • Přepisování administrativních zásad: Řešení Traps umožňuje organizacím definovat zásady založené na kontrolním součtu spustitelného souboru. Můžou tak přesně kontrolovat, co lze v jejich prostředí spouštět.
  • Karanténa malwaru: Škodlivé spustitelné soubory, knihovny DLL a soubory Office dokáže Traps okamžitě izolovat v karanténě. Účinně tak brání šíření nebo pokusům o spuštění infikovaných souborů.
  • Klasifikace graywaru: Traps umožňuje organizacím identifikovat software, který sice není škodlivý, ale přesto je nežádoucí – například adware. A dokáže v jejich prostředí bránit jeho spouštění.
  • Omezení spouštění: Traps umožňuje organizacím snadno definovat zásady na omezení konkrétních scénářů spouštění. Zužuje tak prostor pro vedení útoků proti jakémukoli prostředí.

Pokrytí a podporované platformy

Traps chrání systémy bez nainstalovaných oprav a je podporováno na jakékoli platformě s Microsoft Windows, Mac OS, Linux a Android, tedy na desktopech, serverech, průmyslových řídicích systémech, terminálech, VDI, virtuálních počítačích, integrovaných systémech atd. Množství podporovaných operačních systémů se neustále rozrůstá, aktuální seznam je dostupný na stránkách společnosti Palo Alto Networks.

Řešení je navíc mimořádně nenáročné na systémové prostředky a dá se rozšířit pro ochranu procesů jakékoli aplikace. Na disku agent zabírá necelých 25 MB a za chodu v paměti méně než 40 MB. Využití CPU se v praxi pohybuje pod úrovní 0,1 %. Proto se ideálně hodí na ochranu specializovaných systémů včetně bankomatů, pokladních systémů, systémů SCADA a mnoha dalších průmyslových aplikací, které potřebují neinvazivní ochranu proprietárních procesů.

Kontaktujte nás a získejte další informace jak se bránit efektivně a preventivně.
Prevence je vždy lepší než řešení následků.

Bližší popis technologie a další informace najdete v datasheetu nebo na stránkách společnosti Palo Alto Networks.

| Next Generation Security | Palo Alto Networks NGFW | Endpoint Protection | Cisco ISE | Penetrační testy | Monitoring ICT | Audit datové sítě |

© 2015 - 2020 H-Square ICT Solutions s.r.o. Všechna práva vyhrazena. Ochrana osobních údajů.
Vytvořilo studio EXXO.cz