Télécharger le PDF complet
Transcription
Télécharger le PDF complet
DV NEWS SECURITE AVRIL 2016 : T r a p s – Protections contre les attaques TRAPS Protections avancée de vos terminaux clients TRAPS: Points Forts • Empêche toutes les exploits de vulnérabilités. • Empêche toutes les attaques tentées par les malwares • Fournit immédiatement du reporting sur les atatques • Intègre avec votre palo alto ou en solution cloud Traps de Palo Alto Networks fournit une protection avancée des terminaux clients en bloquant tous les « exploits » de vulnérabilités et les malwares. Ceci est possible grâce à une approche très innovante via un petit agent qui va bloquer les attaques sans nécessité une connaissance spécifique de la menace elle-même. Plutôt que de chercher à identifier les millions d’attaques individuelles, Traps se concentre sur les techniques d’exploit qui doivent être mise en œuvre successivement pour exécuter une attaque. TRAPS déploie une série de « pièges à exploit » dans les processus qui tournent sur le poste client et fait en sorte qu’aucune activité malicieuse ne soit entreprise en bloquant l’attaque instantanément. Cette approche unique permet à Traps d’être agnostique des applications à protéger, y compris celles développées par des tierces parties. +33 (1) 34 90 23 40 [email protected] Depuis les 15 dernières années, le firewall a été utilisé pour protéger l'entreprise en bloquant les emails malveillants ou les accès aux sites non recommandés. Mais l'internet a changé. Les applications métier coexistent avec toutes les autres et les pratiques sur Internet ont été révolutionnées par l'exploxion du Cloud computing, les partages de fichiers, les réseaux sociaux et toutes les applications dites "2.0" (Skype, Facebook, Google etc...) Le firewall doit donc évoluer au delà de la politique du « tout-ourien » et s'adapter à l'évolution des applications qui contournent très facilement les firewalls traditionnels. Désormais, il ne s'agit pas de bloquer des applications, mais de sécuriser l'utilisation de ces applications. Le besoin de visibilité réelle sur les applications est devenu évident. Plusieurs types d’attaque , une protecion complète Les attaques se présentent sous différentes formes et peuvent arriver par l'intermédiaire de multiples vecteurs, y compris web, e-mail, et le stockage externe. La plupart des produits traditionnels de sécurité des terminaux protéger terminaux de fichiers exécutables malveillants, qui sont la forme la moins sophistiquée. Certaines des attaques les plus avancées et ciblées arrivent sous la forme de fichiers de données en apparence inoffensifs, qui sont ouvertes par des applications légitimes. Par exemple, le code malveillant peut être implanté dans un Microsoft Word ou PDF document- également connu comme un exploit. Pièges protège extrémités en empêchant les logiciels malveillants sous la forme d'executables et des exploits sous la forme de fichiers de données ou les attaques réseau. Les menaces les plus avancées, ces vulnérabilités jours de levier dans les logiciels que nous utilisons sur une base régulière. Ils viennent souvent sous la forme de fichiers de données couramment utilisés (pdf, rtf, doc, ppt, xls, etc.) ou peuvent être fabriqués individuellement pour cibler des logiciels propriétaires utilisés dans diverses industries. Malware 1 2 Open an executable file Known signature? Recognized strings? NO NO Previously seen behavior? Proof of malicious activity NO NO Exploit Vulnerability to run any code Figure 1: Les échecs des approches traditionnelles de sécurité DV NEWS SECURITE AVRIL 2016 : Traps Protections contre les attaques t Une fois que le fichier est ouvert, le code malveillant profite d'une vulnérabilité dans l'application légitime utilisé pour afficher le fichier, ce qui lui permet d'exécuter du code et de prendre le contrôle du point de terminaison. Prévention Indépendamment de l'attaque ou sa complexité - pour que l'attaque réussisse l'attaquant doit exécuter une série d'exploiter des techniques en séquence. Certaines attaques peuvent impliquer plusieurs étapes, certains peuvent impliquer moins, dans tous les cas au moins deux ou trois techniques doivent être utilisées. Mais contrairement à d'autres produits, les pièges ne se limite pas à protéger uniquement les processus ou applications. En se concentrant sur les techniques exploiter et non l'attaque ellemême, les pièges peuvent empêcher l'attaque sans connaissance préalable de la vulnérabilité, quels que soient les correctifs en place, et sans signatures ou mises à jour logicielles. Il est important de noter que les pièges n'est pas la numérisation ou la surveillance des activités malveillantes, donc il y a un avantage d'évolutivité massive pour cette approche comme très peu de CPU et de la mémoire sont utilisés. Traps Les données sont recueillies Le processus est bloqué PDF L’admin est PDF Document infecté ouvert par un utilisateur notifié Traps Analyse Le fichier est bloqué Traps envoi un rapport Figure 2: Exploit prevention – Expérience utilisateur pour exploiter le critère ciblé. Pièges emploie une série d'exploiter des modules de prévention visant à atténuer et de bloquer les différentes techniques disponibles pour exploiter les attaquants. En outre, chaque exploit a besoin d'utiliser une série de ces techniques afin d'être couronnée de succès. Les pièges rend ces techniques complètement inefficaces, ce qui signifie que l'application est plus vulnérable. L'agent Traps s'injecte dans chaque processus tel qu'il est démarré. Si le processus tente d'exécuter l'une des techniques d'attaque de base, l'exploit tentative échouera parce Traps avait rendu le processus imperméable à ces techniques. Les pièges seront immédiatement bloquer cette technique, mettre fin au processus, et en informe l'utilisateur et l'administrateur qu'une attaque a été empêché et de signaler tous les détails le gestionnaire de sécurité Endpoint (ESM). En raison de la nature de la chaîne comme d'un exploit, empêchant juste une technique de la chaîne est tout ce qui est nécessaire afin de bloquer toute l'attaque. Par défaut, la politique Traps est réglé pour protéger plus de 100 processus - chacun avec des dizaines de propriétaires (GPE Exploit Modules de prévention). Prevention des executables En plus de prévenir les exploits, Traps emploie une approche à plusieurs niveaux à la prévention des exécutables malveillants en se concentrant sur trois domaines clés pour assurer une protection complète. Lorsqu'ils sont combinés, ces méthodes offrent la prévention des logiciels malveillants sans précédent et comprennent: 1-Policy-Based Restrictions: Les organisations peuvent facilement mettre en place des politiques qui restreignent les scénarios d'exécution spécifiques. Par exemple, vous pouvez empêcher l'exécution de fichiers à partir du répertoire temporaire Outlook, ou d'empêcher l'exécution d'un type de fichier particulier directement depuis une clé USB 2-Contrôle avancé d'exécution: Les pièges de contrôle d'exécution fournit un contrôle granulaire des politiques mondiales pour contrôler les processus enfants, des dossiers, des exécutables non signés, etc., ainsi que des capacités de durcissement du système en permettant un contrôle granulaire sur les applications ou hachages devrait ou ne devrait pas être autorisé à courir . DV NEWS SECURITE AVRIL 2016 : Traps Protections contre les attaques t P A L O A LT O N E T W O R K S : T r a p s D a t a s h e e t 3-WildFire Inspecte et analyse: Traps interroge la menace via WildFire dans le cloud avec un hachage et soumet un fichiers .exe inconnus pour évaluer leur position au sein de la communauté mondiale de la menace. 4-Malware Atténuation: Traps met en œuvre des mesures d'atténuation qui empêchent les attaques par des techniques de blocage telles que l'injection de fil Base de connaissance Les informations disponible après une attaque a été empêché est inévitablement moins les informations disponibles sur une attaque qui a réussi et les dégâts. Malgré cela, il y a encore une grande quantité de renseignements qui peuvent être recueillies. En capturant tous les criminalistique de la tentative d'attentat, les organisations peuvent appliquer des défenses proactives pour d'autres paramètres qui ne peuvent pas être protégés.De nombreuses données sont recueillies auprès de l'agent Traps. L'agent enregistre les détails sur une base continue, sur chaque processus qui a été exécuté et rapporte les informations consignées dans le Gestionnaire Endpoint Security (ESM). L'agent sera également alerte s'il y a des tentatives pour arrêter, supprimer, ou autrement falsifier les pièges. Traps Deployment Architecture Endpoint Security Manager – Console L'infrastructure Traps prend en charge diverses options architecturales pour permettre l'évolutivité d'environnement distribué grande. Installation de l'ESM crée une base de données sur un serveur SQL Microsoft et installe la console d'administration au sein de IIS. Microsoft SQL 2008 et 2012 sont pris en charge et le serveur SQL peut être dédié à l'ESM ou une base de données peut être créé sur un serveur SQL existant. Endpoint Security Manager – Serveurs Les serveurs ESM agissent essentiellement comme proxy entre Pièges agents et la base de données ESM. Communications des agents pièges aux serveurs ESM se produisent via HTTPS. serveurs ESM ne stockent pas Traps supporte les systèmes d’exploitation suivant: OS: – Windows XP (32-bit, SP3 or later) – Windows 7 (32-bit, 64-bit, RTM and SP1; all editions except Home) – Windows 8 (32-bit, 64-bit) – Windows 8.1 (32-bit, 64-bit) – Windows Server 2003 (32-bit, SP2 or later) – Windows Server 2003 R2 (32-bit, SP2 or later) – Windows Server 2008 (32-bit, 64-bit) – Windows Server 2012 (all editions) – Windows Server 2012 R2 (all editions) – Windows Vista (32-bit, 64-bit, and SP2) 97 rue Anatole France 92300, Levallois Perret Tel : 01 39 90 23 40 données et donc peuvent être facilement ajoutés et retirés de l'environnement selon les besoins pour assurer une couverture géographique adéquate et la redondance. Traps Agent L'agent d'installation Traps est un ~ 9 MB package MSI qui peut être déployé à l'aide de votre outil de déploiement de logiciels de choix.Mises à jour ultérieures de l'agent peut être déployé via l'ESM. L'agent consomme moins de 25 Mo sur le disque et moins de 40 Mo lors de l'exécution en mémoire. l'utilisation du processeur observée est inférieure à 0,1 pour cent. L'agent emploie diverses méthodes de vérification de sabotage qui empêchent les utilisateurs et le code malveillant de désactivation de la protection ou l'altération de configuration de l'agent.La structure légère permet de l'environnement pièges à l'échelle horizontale et soutenir de grands déploiements de jusqu'à 50.000 agents par ESM, tout en conservant une configuration centralisée et base de données pour les politiques. Les pièges peuvent coexister avec la plupart des solutions de sécurité des terminaux, et l'utilisation du CPU et I / O reste incroyablement bas. Avec une telle perturbation minimale ce qui rend les pièges optimale des infrastructures critiques, des systèmes spécialisés, et les environnements VDI. Externalisation des logs L'ESM peut écrire des journaux à une plate-forme d'enregistrement externe, comme SIEM, SOC ou syslog, en plus de stocker ses journaux en interne. Pour une organisation qui emploie plusieurs MSE, une plate-forme d'enregistrement externe permet une vue globale de ces bases de données de journaux. Support de la plateforme Pièges protège les systèmes non patchés et est pris en charge à travers toute plate-forme qui exécute Microsoft Window; postes de travail, serveurs,Systèmes de contrôle industriel, les terminaux, VDI, machines virtuelles et des systèmes embarqués, etc. De plus, les pièges est extrêmement léger et est extensible pour protéger tout processus d'application, le rendant idéal pour la protection des systèmes spécialisés. Environnement virtuel: – VDI – Citrix – VM – ESX – VirtualBox/Parallels Plateforme Physiqeu: – SCADA – Windows Tablets www.dolcevista.fr [email protected]