以次世代網路防火牆闖出名號的Palo Alto,觸角擴及雲端沙箱分析,於是有了WildFire服務,並建立威脅情報雲服務Threat Intelligence Cloud,並且延伸到端點防護與SaaS雲端安全應用。以端點安全而言,Palo Alto在2014年併購了Cyvera公司,將他們的TRAPS XP防護軟體,改名為Traps推出,到了今年8月,Palo Alto已經發表3.4版。
在Traps的新版當中,Palo Alto針對即時預防未知惡意程式的需求,提供了更強大的機器學習能力,提升事先阻絕惡意程式與漏洞濫用的機制,並且在企業必須同時兼顧各種端點環境的安全性考量下,設法減少對於傳統防毒軟體的依賴,而這裡的裝置類型包括個人電腦,像是筆電、伺服器,以及VDI桌面虛擬化下的應用系統實例(instance)。
Traps結合了特製的惡意程式與漏洞偵測技術,能在已知與未知威脅成功潛入端點電腦之前,做到提早預防。同時,這套產品還能因應複雜、聚焦在特定目標的攻擊,或者是前所未見的威脅,早先一步予以攔截。
在Palo Alto現行的Next-Generation Security Platform當中,Traps擔任提供進階端點防護能力的關鍵角色,它可以接收WildFire雲端惡意程式分析環境所得到的威脅情報,也可以將本身所收集的安全情報提供給WildFire,因此Traps能夠運用這些資訊,命令端點去阻擋這些威脅。
新增基於機器學習技術的靜態分析,並能辨識受信任的檔案與程式發布者,預防惡意程式潛入
單就Traps 3.4版而言,Palo Alto在惡意程式預防的功能上,已經藉由機器學習的技術,新提供了靜態分析的機制——對於任何未知執行檔,在我們開啟之前,能夠做到立即判定是否為惡意程式,並且無需仰賴特徵資料、檔案掃描或行為分析。
透過這裡的靜態分析,Traps會從檔案本身具備的幾百個特徵,來判斷是否為惡意程式。Palo Alto會透過WildFire沙箱當中所得到的資料,來訓練機器學習的分析模型,使其能夠有效、精確地辨識惡意程式,以及未知的變種程式,透過這項機制,Traps甚至能在WildFire接收到判斷答案之前,就能快速決定。
另一項Traps加入的特色,則是針對新出現在使用端系統的執行檔,若是由受信任的軟體廠商(Trusted Publisher)所發行的,可自動快速辨識出來,並允許其執行,無需先經過分析、再批准執行,如此不會增加使用者存取應用系統的等待時間——檔案若是由受信任的公司發行、給予數位簽章,則能識別為未知的正常檔案。
同時,Traps 3.4也改善了一些地方,例如,WildFire雲端沙箱檢測分析的整合,以便快速偵測惡意程式與自動重新產生陷阱;可根據不同使用情境套用對應的限制執行政策,減少受攻擊的層面;以及強化管理者覆寫政策(Admin Override Policies)的使用彈性,能基於檔案Hash值來控制是否執行。
改良防禦漏洞攻擊的三種做法
而對於漏洞濫用行為的預防,Traps聚焦在相關的核心手法上,可運用多種方法來進行,而3.4版也針對部分防禦機制予以強化,像是對於應用程式記憶體空間的破壞與修改、邏輯漏洞、惡意程式碼執行。
此外,Traps新版也能隔離惡意執行檔,快速移除具有不良意圖的檔案,預防進一步的繁殖擴散或嘗試執行。Traps還特別增加了灰色軟體的分類,企業可藉此識別出非惡意但有點擾人的軟體,並且阻止它們在列管的電腦上執行。
圖中是Palo Alto Traps端點安全防護系統運作的基本架構,當中包含Endpoint Security Manager(ESM)管理平臺、部署在使用者電腦的Traps代理程式、位於外部WildFire沙箱雲端服務、鑑識資料夾(Forensic Folder)
其中的鑑識資料夾相當特別,是指端點的Traps代理程式會將收集到的鑑識資料送到這裡,例如記憶體傾印(Memory Dump)與漏洞攻擊事件相關的資訊。
產品資訊
Palo Alto Traps 3.4
●原廠:Palo Alto Networks(02)7736-7358
●建議售價:廠商未提供
●支援個人端作業系統:Windows XP/Vista/7/8/8.1/10
●支援伺服器作業系統:Windows Server 2003/2003 R2/2008/2008 R2/2012/2012 R2
●執行期間所需的資源:處理器負載0.1%、記憶體容量50MB、硬碟空間250MB
●管理伺服器作業系統需求:Windows Server 2008 R2/2012/2012 R2
●管理伺服器硬體需求:Xeon E5-2660 v2、4GB記憶體、250MB 硬碟空間
【註:規格與價格由廠商提供,因時有異動,正確資訊請洽廠商】
熱門新聞
2024-04-22
2024-04-22
2024-04-22
2024-04-22
2024-04-22
2024-04-24
