Palo Alto称其新的端点保护工具可以阻止不良行为

“陷阱”侧重于漏洞利用的工作方式,而不是其签名

基于签名的安全工具的问题在于,在发布和分发签名之前,您很容易受到攻击。 Palo Alto Networks对Traps采取了不同的方法,因此Network World总编辑John Dix追踪了Palo Alto产品营销副总裁Scott Gainey,以深入了解Traps的工作原理。

您最近发布了一种新的名为Traps的端点保护产品。告诉我们那是什么。

如果我不在不安全的Wi-Fi网络上运行的公司网络之外,则我的系统将会受到威胁。只需简单地逐个下载嵌入式iFrame中的恶意内容,就可以轻松绕过现有的防病毒软件,而没有任何东西可以保护我不受感染。这是使端点易受攻击的众多示例之一。因此,一个完整的安全架构必须能够保护其用户,无论他们在何处工作(无论是在网络上还是网络外),这都是一个用例,这使我们无法进行端点保护方面的投资。

Palo Alto产品营销副总裁Scott Gainey

Palo Alto Networks产品行销副总裁Scott Gainey

另一个是我们看到许多针对性很强的攻击,它们利用的威胁是前所未有的,其设计方式使其能够逃避网络安全级别的检测。它可能基于攻击者将针对高价值目标使用的新的零日漏洞。由于此漏洞基于未知漏洞,IPS / IDS会忽略此漏洞。我们的方法可以有效地从这些新攻击中学习,并将新防御路由回基础架构,因此,如果再次使用这种类型的威胁,它将被阻止。但是,如果攻击者仅使用一次,则其他防御领域必须介入以保护组织。

因此,这些用例就是我们在Cyvera上进行投资的原因,而Traps的发布是我们对该技术的首次正式发布,其中包括与WildFire(我们的沙盒技术)的某些集成。

提供基于防病毒保护的经典端点保护公司依赖于签名进行防御,这需要事先知道该威胁才能将其阻止。因此,这些供应商拥有庞大的团队,他们会根据他们在野外观察到的新威胁,不断寻找签名。

我们采用这种方法所面临的挑战是,您总是落后于攻击者社区几步之遥。每年都会产生数百万种新型恶意软件。每天我们平均看到20,000种新形式的恶意软件。因此,采用基于AV的解决方案的公司必须针对所有这些新表单构建签名,然后将这些签名分发到所有端点。永远无法避免的情况。

同样,谨慎的入侵防御或入侵检测系统等技术也需要先验知识以防范漏洞。因此,如果它是一个未知的基于零日的漏洞,则IPS或IDS的效果不那么理想。它只能阻止它所知道的。

因此,当我们考虑进行投资时,我们花费了大量时间进行尽职调查,以了解他人使用的方法。许多公司都在争夺这个空间,因为他们知道传统方法无效。

就新技术而言,我们看到了我们不喜欢的两种常见方法。首先是基于容器的工具,该工具的基本目的是在过程周围包裹保护性屏障,因此,如果该过程本质上是恶意的,则容器会检测到它并将其关闭。但是,许多攻击者已经弄清楚了如何禁用这些容器,并且它们带来了大量的资源开销。因此,从功效和运营角度来看,这不是一个可行的选择。

然后,与我们相关的另一种方法是针对攻击后检测或修复的工具。您将部署它们以尝试找出并隔离受影响的系统,然后开始清理过程。如果人们投资于此,以作为针对性强的攻击的答案,那么他们实际上是在挥舞白旗,说我无法阻止这些攻击,所以我不妨投入金钱,至少设法迅速地检测到它们。

我们坚决不同意这一前提。我们确实认为,无论多么复杂,都可以防止攻击。在这场战斗中没有灵丹妙药,但是网络安全将绝对继续在防止攻击中发挥重要作用。但是,您必须填补一些漏洞,这就是我们将Traps推向市场的原因。

到目前为止,陷阱技术是一项技术,经过我们与不同客户进行的试验,即使对目标最明确,基于零时差的攻击也被证明具有100%的有效性。

它是如何工作的?

我们对这项技术的满意之处在于,它并不关注单个威胁。陷阱真的不在乎它是已知的还是未知的恶意软件。陷阱并不真正在乎漏洞本身。陷阱所关注的是攻击者为了利用端点上的漏洞而必须执行的基础技术。

假设攻击者在某个软件中发现了某种弱点,并打算利用该弱点来利用系统。攻击者必须经过一系列明确定义的步骤才能实现。可能是三个步骤,可能是五个步骤。这取决于漏洞利用的性质,但他们必须经过一系列步骤。使用陷阱,我们所做的就是针对每种可用技术构建一系列的块,以便攻击者尝试使用第二种块,将其撞成块,阻止了攻击,并关闭了进程。如今,攻击者可以使用大约二十多种技术。

因此,假设Adobe PDF文件中存在一个漏洞,并且有人发起了利用该漏洞的尝试。当他们执行该漏洞利用程序的步骤时,它们将在Traps中遇到我们的漏洞利用防御模块之一,并且一旦这样做,我们的产品就会关闭该进程并警告用户已阻止了攻击,然后还会发出警报管理员。然后,我们收集一整套取证工具,包括内存状态等,并将其提供给管理员,以便他们了解攻击的详细信息,所要攻击的用户,所使用的文件等。

它是基于客户端的吗?

对。陷阱是一个非常瘦的客户端,它驻留在端点本身上。我们的标准之一是,这不可能是大型,沉重,资源密集型的技术。它实际上仅消耗5MB的内存,并且平均仅占用CPU利用率的百分之一。它基本上位于该端点上,并且每当打开一个新流程时,我们就会将所谓的预防模块注入该流程中。因此,攻击者第二次尝试利用这些已知技术之一,将其应用到我们的预防模块之一中,从而阻止了攻击。

您如何解决漏洞利用会尝试的所有不同方法?

目前,攻击者可以使用总共24种技术来尝试开发系统,因此我们已经介绍了这些技术。这些技术是很难的科学。很少会在一年的时间内看到两种或三种新技术。实际上,在我们发布的版本中,我们针对出现的三种新技术添加了三个新的预防模块,这是我们两年来首次看到的技术。

绝大多数技术来自学术界。学术界中的某个人将研究不同的过程,然后发表论文,攻击者掌握了这些内容,瞧,他们掌握了一种新技术。因此,我们一直在与学术界密切合作,以确保在研究这些事物时,我们还针对他们建立预防模块,以便当他们发表论文时,我们也针对这些新技术构建了模块。

我怀疑还需要八到十二个月左右的时间,我们才能看到其中一种新技术。他们很少发生。

我认为该工具取决于操作系统。

正确。我们在工作站端支持Windows XP,Windows 7和Windows 8,在服务器端支持Windows Server 2003、2008和2012。它位于应用程序堆栈的下方,因此独立于应用程序本身。因此,我们支持可在Microsoft Windows环境之上运行的任何类型的应用程序。

实际上,我当时正在与一家石油和天然气公司交谈,尽管其预防功能非常诱人,但是这个人对我们支持XP感到非常兴奋,因为他拥有成千上万个仍在运行Windows XP和Microsoft的系统不再修补XP。因此,他将其视为延长Windows XP系统寿命的一种方式,这是一个很好的效果。我们正在ATM,销售点系统等中看到Windows。

这就是漏洞利用方面,基于恶意软件的攻击又如何呢?

对。在恶意软件方面,它的工作原理类似,只是我们添加了其他几个步骤。对于基于恶意软件的攻击,过程略有不同。恶意软件当然不需要漏洞利用即可在端点上运行。通常是我们的员工通过以下方式启动此过程:打开电子邮件中的恶意文件附件,单击将该人带到恶意URL或域的链接,从USB记忆棒下载恶意文件等。

陷阱预防恶意软件可通过三个步骤完成。首先,陷阱允许管理员在端点上创建一系列策略,从而极大地限制了员工无意中下载恶意软件的风险。这些是简单的策略,例如–不允许用户执行通过电子邮件或可移动存储设备发送的.exe文件。通过预先建立正确的策略,组织可以减少攻击者将恶意软件传播到端点的可用选项。

其次,Traps与WildFire集成在一起,可以立即提供一种手段来验证文件是否已知为恶意文件。每天,WildFire都会检查数百万个文件,寻找新形式的恶意软件。陷阱可以使用此智能,因此它可以在允许特定可执行文件在端点上运行之前验证其是否为恶意软件。最后,陷阱利用端点上的恶意软件防护模块来确保恶意软件永远不会执行。

竞争对手是否在做类似的事情?

唯一采用这种方法的其他公司是Microsoft自己。微软一直在参与一个名为EMET的项目,这是当今唯一真正专注于基于技术的方法的项目。微软选择不生产EMET,但如果您愿意的话,这是一个skunksworks项目。因此,实际上只有我们和Microsoft是从技术角度考虑这一点的两个人。目前,EMET项目仅支持七种利用技术。

您认为这解决了多少百分比的问题?毕竟,除了Windows之外,还有其他环境,并且存在整个移动威胁。您如何将其相加?

如今,陷阱集中在构成大多数端点的基于Windows的支持上。我们计划在将来根据客户需求扩展支持。

你怎么卖这个?

它作为订阅服务出售。因此,您可以按一年,三年或五年的价格购买Traps,并且正如我提到的,必须部署一个瘦客户端。可以通过公司的标准分发软件进行部署。

那么每台设备的费用呢?

现在,我们有两个价格点,一个是工作站,一个是服务器。然后它是一个分层的结构,根据已部署的终结点总数,价格区间会有所不同。

我想提一件事。您会看到我们指的是高级端点保护,它的定义与当今其他人定义端点保护的方式有所不同。许多定义在很大程度上符合经典的防病毒功能。我们认为,要成为高级端点保护解决方案,您必须能够阻止所有已知或未知的利用。您必须能够阻止所有已知和未知的恶意软件。取证仍然至关重要,因为可以获取知识和见解来保护组织的其余部分。它必须具有很高的可伸缩性和轻巧性。如果您要在像销售点系统一样小的端点上部署成千上万的此类客户端,那么这将不会占用大量的内存和CPU。

最后,它必须与云和网络集成。这些世界将发生很大的碰撞。如果您可以将网络与端点链接,并将端点与网络链接,则在最终增强安全性方面,这两个方面都具有巨大优势。他们将固有地看到其他人看不到的东西,如果您可以通过某种类型的共享关系将它们组合在一起,那么一切都会变得牢固起来。

这个故事“ Palo Alto说其新的端点保护工具可以阻止其工作中的不良行为”最初由 网络世界.

有关:

版权© 2014 IDG通讯,Inc.