今年5月,針對Traps次世代端點防護系統,Palo Alto首度推出4.0重大改版,強化偵測微軟Office文件內嵌惡意巨集的機制,以及增加檢查子處理程序可疑行為的能力,並針對漏洞攻擊套件、系統權限等,提供防護措施。此外,新版Traps終於開始支援Windows以外的平臺,提供macOS作業系統電腦相關保護能力。

雖說新版Traps支援了macOS平臺,但是許多防護功能的改良,還是針對Windows端點電腦為主。不過,對於macOS作業系統,Traps 4.0也有專屬於這個作業系統的功能,例如與這個平臺內建的Gatekeeper防護軟體搭配,提供較為深層的檢查機制,避免某些惡意軟體以子程序的方式,迴避Gatekeeper查驗有無檔案憑證與否。

由於Traps 4.0正式支援macOS平臺,因此在管理主控臺中,儀表板便提供了作業系統類型分布的圖表,只是這裡就針對Windows與macOS兩者區隔,並未細分其中版本呈現。

針對macOS內建的Gatekeeper防護軟體,Traps 4.0提供了較為詳細的運作設定,針對應用程式憑證的檢查,管理者可選擇依據蘋果公司的名單、Mac的App Store、開發者等層級,進行管制。

針對微軟Office文件巨集,新版Traps主要在檢測的流程中,加入了WildFire雲端特徵比對機制,藉此加速識別巨集是否含有惡意攻擊內容。當巨集即將執行時,Traps便會收集它的雜湊值,並送交WildFire服務分析,之後再由端點電腦的Traps軟體,透過經由機器學習技術統整的演算法,執行再次檢查,最後才決定是否允許執行,不過,這是針對Windows版Traps才具備的功能。

在Office文件的掃描政策中,Traps 4.0新增了圖中右方的選項,可將疑似有問題的巨集送到WildFire雲端平臺進行分析。

而對於應用程序的子處理程序,這個版本的Traps,開始獨立提供專用的防護模組,以往的Traps採取的是禁止措施,新版本則是同時具備黑白名單兩種,讓管理者自行選用。

新版Traps也對於令人頭痛的漏洞攻擊套件(Exploit kit),提供了防止探察作業系統和應用程式(Fingerprinting)模組,這項功能,主要是針對Windows內建的IE和Edge瀏覽器提供保護,避免使用者電腦的底細被刻意收集。透過植入在網站的漏洞攻擊套件,攻擊者可以得知端點電腦的作業系統版本、應用程式等資訊,藉此迴避相關的保護措施,而在Traps 4.0當中,一旦發現了有這樣的可疑行為,便會加以封鎖。

Traps 4.0針對漏洞攻擊套件(Exploit kit)之中,相當常見的探察作業系統和應用程式(Fingerprinting),推出防護功能,若是Traps發現多次不尋常的偵測行為(以圖中政策來說是2次),就會加以封鎖。

另外,對於作業系統核心層級的權限,新的Traps也具備相關的保護措施,防止有心人士利用具有此類高權限的處理程序,執行另一個應用程式。而這也是在Traps的新功能中,少數同時針對Windows與macOS推出的保護機制。

附帶一提的是,Windows版Traps 4.0終於能被作業系統正確識別,當做防毒軟體使用。

產品資訊

Palo Alto Traps 4.0.1

●原廠:Palo Alto(02)8758-2888
●建議售價:廠商未提供
●管理伺服器最低硬體需求:2個Xeon E5-2660處理器、4GB記憶體、1.75GB儲存空間
●資料庫軟體需求:SQL Server 2008
●可支援端點平臺:Windows XP SP3~10、Windows Server 2003~2016、macOS 10.10~10.12

【註:規格與價格由廠商提供,因時有異動,正確資訊請洽廠商。】


Advertisement

更多 iThome相關內容