ИТ-портал компании «Инфосистемы Джет»

Противодействие угрозам на уровне рабочих станций: решение TRAPS

Противодействие угрозам на уровне рабочих станций: решение TRAPS

Мы продолжаем знакомить вас с темой защиты от целенаправленных кибератак на конечных точках от ведущих поставщиков. О решении TRAPS, рассказывает Денис Батранков, консультант по информационной безопасности Palo Alto Networks.

Установка и архитектура

Агент TRAPS ставится на рабочую станцию или сервер централизованно. Объем MSI-файла – около 9 МБ. После установки агент ставит 113 ловушек на все известные способы работы эксплойтов. После попадания вредоносного программного обеспечения (ВПО) в ловушку TRAPS блокирует работу процесса и работу ВПО. Ловушки работают для любых приложений и любых эксплойтов, встроенных в любые документы (например, pdf, doc, xls, swf). Как только хакер использует хотя бы одну из схем взлома, он попадет в ловушку и будет сразу же остановлен, а агент, в свою очередь, соберет всю информацию о случившемся событии. Злоумышленники часто используют несколько методов взлома одновременно и, соответственно, попадают сразу в несколько ловушек. Агент TRAPS ловит известные и неизвестные виды ВПО без обучения.

Другая часть продукта отвечает за проверку исполняемых файлов на всех хостах в компании: разрешает запускать только проверенные файлы. Все неизвестные исполняемые файлы блокируются до тех пор, пока система не получит результат анализа во внешней «песочнице» WildFire.

Загрузка рабочей станции минимальна, так как ловушки устанавливаются в памяти и просто ждут, когда туда попадет злоумышленник, а «песочницы» используются внешние. Архитектура защиты такова, что никакой эксплойт не может запуститься, соответственно, не требуются последующее лечение и дорогостоящее обследование: в журналах уже хранится ответ, кто и что сделал, до того, как сработала защита. Например, если кто-то начинает смотреть флеш-ролик с зараженного сайта, при старте встроенного в SWF-файл эксплойта защита остановит проигрывание ролика и удалит вредоносный код из памяти, при этом в журнале системы управления появится оповещение об этом с подробной информацией. Такие случаи уже были, например с флеш-роликами, которые распространяла компания Hacking Team.

Агенты TRAPS управляются централизованно. Система управления позволяет собирать статистику о том, что происходит на всех рабочих станциях, показывает, у кого и что происходило во время срабатывания эксплойтов или во время попыток запуска вредоносного кода. Для системы управления нужна серверная версия Windows с установленной базой данных.

Операционные системы

Поддерживаются все версии операционных систем Windows.

Совместимость с антивирусами

Антивирусные компании тоже стали ставить ловушки в памяти, но число реализованных ловушек сейчас минимально. Мы рекомендуем отключать эти немногочисленные ловушки, которые ставит антивирус, чтобы избежать конфликтов ловушек друг с другом. Необходимо добавить TRAPS в список доверенных процессов в антивирусе.

Обучение агента

Агент сразу же после установки начинает работать и защищать рабочую станцию. Агент TRAPS ловит известные и неизвестные виды эксплойтов без обучения. Существует набор некорректно написанных программных продуктов, которые содержат уязвимости и могут вызывать разные нестандартные ситуации, которые TRAPS рассматривает как работу эксплойтов. Производитель ведет учет таких продуктов и автоматически игнорирует данное ПО, чтобы не вызывать ложных срабатываний. Если вы используете самописные продукты, которые могут содержать ошибки, мы рекомендуем настроить агент таким образом, чтобы он не реагировал на неточности.

Совместимость с другими компонентами

Хостовая защита дополняет сетевую защиту компании Palo Alto Networks. Часть вредоносных файлов блокируется уже на межсетевом экране в результате работы правил фильтрации, движка антивируса и системы предотвращения атак. «Песочницы» WildFire доступны как с межсетевого экрана, так и с TRAPS.

Поиск маркеров компрометации

Наша архитектура защиты эшелонирована: мы контролируем запуск на самой рабочей станции и на сетевом уровне контролируем соединения, поскольку в них видны следы возможных успешных атак или заражений. Межсетевой экран нового поколения позволяет обнаружить подключения к известным бот-сетям по IPS, DNS-адресу или URL. Для этого он постоянно обновляется из базы WildFire, Threat Intelligence и AutoFocus. По любому адресу или URL мы можете посмотреть, какая информация есть в базе знаний AutoFocus про этот индикатор компроментации. Это позволяет понять всю картину работы вредоносного кода.

Карантин скомпрометированной станции

Чтобы заблокировать соединение с центрами управления можно использовать межсетевой экран Palo Alto. Стоит отметить функционал DNS Sinkholing, когда мы подменяем ответ на DNS-запросы, которые делает вредоносный код, чтобы помешать его работе.

Анализ файлов с флеш-носителей

Неважно, каким образом приходит файл с данными: по электронной почте, через DropBox или с USB-флешки. Если на компьютере установлены программные ловушки на все способы доставки, которые возможны, шансов у хакеров не останется.

Устранение последствий заражения

Агент TRAPS блокирует попытку заражения на самом старте, соответственно, заражения не происходит, поэтому не требуется устранять его последствия.

Вернуться к списку статей
Оставьте комментарий
Мы не публикуем комментарии: не содержащие полезной информации или слишком краткие; написанные ПРОПИСНЫМИ буквами; содержащие ненормативную лексику или оскорбления.
О журнале

Журнал Jet Info регулярно издается с 1995 года.

Узнать больше »
Подписаться на Jet Info

Хотите узнавать о новых номерах.

Заполните форму »
Контакты

Тел: +7 (495) 411-76-01
Email: journal@jet.su