Télécharger le PDF complet

DV NEWS SECURITE AVRIL 2016
:
T r a p s – Protections contre les attaques
TRAPS
Protections avancée de vos terminaux clients
TRAPS:
Points Forts
• Empêche
toutes
les
exploits
de
vulnérabilités.
• Empêche toutes les attaques tentées par les
malwares
• Fournit immédiatement du reporting sur les atatques
• Intègre avec votre palo alto ou en solution
cloud
Traps de Palo Alto Networks fournit une protection avancée des
terminaux clients en bloquant tous les « exploits » de
vulnérabilités et les malwares. Ceci est possible grâce à une
approche très innovante via un petit agent qui va bloquer les
attaques sans nécessité une connaissance spécifique de la menace
elle-même.
Plutôt que de chercher à identifier les millions d’attaques
individuelles, Traps se concentre sur les techniques d’exploit qui
doivent être mise en œuvre successivement pour exécuter une
attaque.
TRAPS déploie une série de « pièges à exploit » dans les
processus qui tournent sur le poste client et fait en sorte
qu’aucune activité malicieuse ne soit entreprise en bloquant
l’attaque instantanément.
Cette approche unique permet à Traps d’être agnostique des
applications à protéger, y compris celles développées par des
tierces parties.
+33 (1) 34 90 23 40
[email protected]
Depuis les 15 dernières années, le firewall a été
utilisé pour protéger l'entreprise en bloquant les
emails malveillants ou les accès aux sites non
recommandés. Mais l'internet a changé. Les
applications métier coexistent avec toutes les
autres et les pratiques sur Internet ont été
révolutionnées par l'exploxion du Cloud
computing, les partages de fichiers, les réseaux
sociaux et toutes les applications dites "2.0"
(Skype, Facebook, Google etc...) Le firewall doit
donc évoluer au delà de la politique du « tout-ourien » et s'adapter à l'évolution des applications
qui contournent très facilement les firewalls
traditionnels.
Désormais, il ne s'agit pas de bloquer des
applications, mais de sécuriser l'utilisation de ces
applications. Le besoin de visibilité réelle sur les
applications est devenu évident.
Plusieurs types d’attaque , une protecion complète
Les attaques se présentent sous différentes formes et peuvent arriver par
l'intermédiaire de multiples vecteurs, y compris web, e-mail, et le stockage
externe. La plupart des produits traditionnels de sécurité des terminaux protéger
terminaux de fichiers exécutables malveillants, qui sont la forme la moins
sophistiquée. Certaines des attaques les plus avancées et ciblées arrivent
sous la forme de fichiers de données en apparence inoffensifs, qui sont ouvertes
par des applications légitimes. Par exemple, le code malveillant peut être
implanté dans un Microsoft Word ou PDF document- également connu comme
un exploit. Pièges protège extrémités en empêchant les logiciels malveillants sous
la forme d'executables et des exploits sous la forme de fichiers de données ou les
attaques réseau.
Les menaces les plus avancées, ces vulnérabilités jours de levier dans les
logiciels que nous utilisons sur une base régulière. Ils viennent souvent sous la
forme de fichiers de données couramment utilisés (pdf, rtf, doc, ppt, xls, etc.) ou
peuvent être fabriqués individuellement pour cibler des logiciels propriétaires
utilisés dans diverses industries.
Malware
1
2
Open an
executable file
Known signature?
Recognized strings?
NO
NO
Previously seen
behavior?
Proof of malicious
activity
NO
NO
Exploit
Vulnerability to
run any code
Figure 1: Les échecs des approches
traditionnelles de sécurité
DV NEWS SECURITE AVRIL 2016
:
Traps
Protections contre les attaques
t
Une fois que le fichier est ouvert, le code malveillant profite d'une
vulnérabilité dans l'application légitime utilisé pour afficher le fichier,
ce qui lui permet d'exécuter du code et de prendre le contrôle du point
de terminaison.
Prévention
Indépendamment de l'attaque ou sa complexité - pour que l'attaque
réussisse l'attaquant doit exécuter une série d'exploiter des techniques
en séquence. Certaines attaques peuvent impliquer plusieurs étapes,
certains peuvent impliquer moins, dans tous les cas au moins deux ou
trois techniques doivent être utilisées.
Mais contrairement à d'autres produits, les pièges ne se limite pas à
protéger uniquement les processus ou applications.
En se concentrant sur les techniques exploiter et non l'attaque ellemême, les pièges peuvent empêcher l'attaque sans connaissance
préalable de la vulnérabilité, quels que soient les correctifs en place, et
sans signatures ou mises à jour logicielles. Il est important de noter que
les pièges n'est pas la numérisation ou la surveillance des activités
malveillantes, donc il y a un avantage d'évolutivité massive pour cette
approche comme très peu de CPU et de la mémoire sont utilisés.
Traps
Les données
sont recueillies
Le processus
est bloqué
PDF
L’admin est
PDF
Document infecté
ouvert par un
utilisateur
notifié
Traps Analyse
Le fichier est bloqué
Traps envoi un rapport
Figure 2: Exploit prevention – Expérience utilisateur
pour exploiter le critère ciblé. Pièges emploie une série d'exploiter des
modules de prévention visant à atténuer et de bloquer les différentes
techniques disponibles pour exploiter les attaquants. En outre, chaque
exploit a besoin d'utiliser une série de ces techniques afin d'être
couronnée de succès.
Les pièges rend ces techniques complètement inefficaces, ce qui
signifie que l'application est plus vulnérable.
L'agent Traps s'injecte dans chaque processus tel qu'il est démarré. Si
le processus tente d'exécuter l'une des techniques d'attaque de base,
l'exploit tentative échouera parce Traps avait rendu le processus
imperméable à ces techniques. Les pièges seront immédiatement
bloquer cette technique, mettre fin au processus, et en informe
l'utilisateur et l'administrateur qu'une attaque a été empêché et de
signaler tous les détails
le gestionnaire de sécurité Endpoint (ESM). En raison de la nature de
la chaîne comme d'un exploit, empêchant juste une technique de la
chaîne est tout ce qui est nécessaire afin de bloquer toute l'attaque.
Par défaut, la politique Traps est réglé pour protéger plus de 100
processus - chacun avec des dizaines de propriétaires (GPE Exploit
Modules de prévention).
Prevention des executables
En plus de prévenir les exploits, Traps emploie une approche à
plusieurs niveaux à la prévention des exécutables malveillants en se
concentrant sur trois domaines clés pour assurer une protection
complète. Lorsqu'ils sont combinés, ces méthodes offrent la prévention
des logiciels malveillants sans précédent et comprennent:
1-Policy-Based Restrictions: Les organisations peuvent facilement
mettre en place des politiques qui restreignent les scénarios d'exécution
spécifiques. Par exemple, vous pouvez empêcher l'exécution de
fichiers à partir du répertoire temporaire Outlook, ou d'empêcher
l'exécution d'un type de fichier particulier directement depuis une clé
USB
2-Contrôle avancé d'exécution: Les pièges de contrôle d'exécution
fournit un contrôle granulaire des politiques mondiales pour contrôler
les processus enfants, des dossiers, des exécutables non signés, etc.,
ainsi que des capacités de durcissement du système en permettant un
contrôle granulaire sur les applications ou hachages devrait ou ne
devrait pas être autorisé à courir .
DV NEWS SECURITE AVRIL 2016
:
Traps
Protections contre les attaques
t
P A L O A LT O N E T W O R K S : T r a p s D a t a s h e e t
3-WildFire Inspecte et analyse: Traps interroge la menace via
WildFire dans le cloud avec un hachage et soumet un fichiers .exe
inconnus pour évaluer leur position au sein de la communauté
mondiale de la menace.
4-Malware Atténuation: Traps met en œuvre des mesures
d'atténuation qui empêchent les attaques par des techniques de blocage
telles que l'injection de fil
Base de connaissance
Les informations disponible après une attaque a été empêché
est inévitablement moins les informations disponibles sur une
attaque qui a réussi et les dégâts. Malgré cela, il y a encore une
grande quantité de renseignements qui peuvent être recueillies.
En capturant tous les criminalistique de la tentative d'attentat,
les organisations peuvent appliquer des défenses proactives
pour d'autres paramètres qui ne peuvent pas être protégés.De
nombreuses données sont recueillies auprès de l'agent Traps.
L'agent enregistre les détails sur une base continue, sur chaque
processus qui a été exécuté et rapporte les informations
consignées dans le Gestionnaire Endpoint Security (ESM).
L'agent sera également alerte s'il y a des tentatives pour arrêter,
supprimer, ou autrement falsifier les pièges.
Traps Deployment Architecture
Endpoint Security Manager – Console
L'infrastructure Traps prend en charge diverses options
architecturales pour permettre l'évolutivité d'environnement
distribué grande. Installation de l'ESM crée une base de
données sur un serveur SQL Microsoft et installe la console
d'administration au sein de IIS. Microsoft SQL 2008 et 2012
sont pris en charge et le serveur SQL peut être dédié à l'ESM
ou une base de données peut être créé sur un serveur SQL
existant.
Endpoint Security Manager – Serveurs
Les serveurs ESM agissent essentiellement comme proxy entre Pièges
agents et la base de données ESM. Communications des agents pièges
aux serveurs ESM se produisent via HTTPS. serveurs ESM ne
stockent pas
Traps supporte les systèmes d’exploitation
suivant:
OS:
– Windows XP (32-bit, SP3 or later)
– Windows 7 (32-bit, 64-bit, RTM and SP1; all editions except Home)
– Windows 8 (32-bit, 64-bit)
– Windows 8.1 (32-bit, 64-bit)
– Windows Server 2003 (32-bit, SP2 or later)
– Windows Server 2003 R2 (32-bit, SP2 or later)
– Windows Server 2008 (32-bit, 64-bit)
– Windows Server 2012 (all editions)
– Windows Server 2012 R2 (all editions)
– Windows Vista (32-bit, 64-bit, and SP2)
97 rue Anatole France
92300, Levallois Perret
Tel :
01 39 90 23 40
données et donc peuvent être facilement ajoutés et retirés de
l'environnement selon les besoins pour assurer une couverture
géographique adéquate et la redondance.
Traps Agent
L'agent d'installation Traps est un ~ 9 MB package MSI qui
peut être déployé à l'aide de votre outil de déploiement de
logiciels de choix.Mises à jour ultérieures de l'agent peut être
déployé via l'ESM. L'agent consomme moins de 25 Mo sur le
disque et moins de 40 Mo lors de l'exécution en mémoire.
l'utilisation du processeur observée est inférieure à 0,1 pour
cent. L'agent emploie diverses méthodes de vérification de
sabotage qui empêchent les utilisateurs et le code malveillant de
désactivation de la protection ou l'altération de configuration de
l'agent.La structure légère permet de l'environnement pièges à
l'échelle horizontale et soutenir de grands déploiements de
jusqu'à 50.000 agents par ESM, tout en conservant une
configuration centralisée et base de données pour les politiques.
Les pièges peuvent coexister avec la plupart des solutions de
sécurité des terminaux, et l'utilisation du CPU et I / O reste
incroyablement bas. Avec une telle perturbation minimale ce
qui rend les pièges optimale des infrastructures critiques, des
systèmes spécialisés, et les environnements VDI.
Externalisation des logs
L'ESM peut écrire des journaux à une plate-forme
d'enregistrement externe, comme SIEM, SOC ou syslog, en plus
de stocker ses journaux en interne. Pour une organisation qui
emploie plusieurs MSE, une plate-forme d'enregistrement
externe permet une vue globale de ces bases de données de
journaux.
Support de la plateforme
Pièges protège les systèmes non patchés et est pris en charge à
travers toute plate-forme qui exécute Microsoft Window; postes
de travail, serveurs,Systèmes de contrôle industriel, les
terminaux, VDI, machines virtuelles et des systèmes
embarqués, etc. De plus, les pièges est extrêmement léger et est
extensible pour protéger tout processus d'application, le rendant
idéal pour la protection des systèmes spécialisés.
Environnement virtuel:
– VDI
– Citrix
– VM
– ESX
– VirtualBox/Parallels
Plateforme Physiqeu:
– SCADA
– Windows Tablets
www.dolcevista.fr
[email protected]