© 1995-2021 Компания «Инфосистемы Джет»
Противодействие угрозам на уровне рабочих станций: решение TRAPS
Информационная безопасность

Как реализована защита от целенаправленных кибератак на конечных точках в решении TRAPS от Palo Alto Networks

Информационная безопасность Тренд

Противодействие угрозам на уровне рабочих станций: решение TRAPS

Автор
Денис Батранков консультант по информационной безопасности Palo Alto Networks

21.10.2016

Посетителей: 52

Просмотров: 54

Время просмотра: 1.3 мин.

Мы продолжаем знакомить вас с темой защиты от целенаправленных кибератак на конечных точках от ведущих поставщиков. О решении TRAPS, рассказывает Денис Батранков, консультант по информационной безопасности Palo Alto Networks.

 

 

Установка и архитектура

 

Агент TRAPS ставится на рабочую станцию или сервер централизованно. Объем MSI-файла – около 9 МБ. После установки агент ставит 113 ловушек на все известные способы работы эксплойтов. После попадания вредоносного программного обеспечения (ВПО) в ловушку TRAPS блокирует работу процесса и работу ВПО. Ловушки работают для любых приложений и любых эксплойтов, встроенных в любые документы (например, pdf, doc, xls, swf). Как только хакер использует хотя бы одну из схем взлома, он попадет в ловушку и будет сразу же остановлен, а агент, в свою очередь, соберет всю информацию о случившемся событии. Злоумышленники часто используют несколько методов взлома одновременно и, соответственно, попадают сразу в несколько ловушек. Агент TRAPS ловит известные и неизвестные виды ВПО без обучения.

 

Другая часть продукта отвечает за проверку исполняемых файлов на всех хостах в компании: разрешает запускать только проверенные файлы. Все неизвестные исполняемые файлы блокируются до тех пор, пока система не получит результат анализа во внешней «песочнице» WildFire.

 

Загрузка рабочей станции минимальна, так как ловушки устанавливаются в памяти и просто ждут, когда туда попадет злоумышленник, а «песочницы» используются внешние. Архитектура защиты такова, что никакой эксплойт не может запуститься, соответственно, не требуются последующее лечение и дорогостоящее обследование: в журналах уже хранится ответ, кто и что сделал, до того, как сработала защита. Например, если кто-то начинает смотреть флеш-ролик с зараженного сайта, при старте встроенного в SWF-файл эксплойта защита остановит проигрывание ролика и удалит вредоносный код из памяти, при этом в журнале системы управления появится оповещение об этом с подробной информацией. Такие случаи уже были, например с флеш-роликами, которые распространяла компания Hacking Team.

Агенты TRAPS управляются централизованно. Система управления позволяет собирать статистику о том, что происходит на всех рабочих станциях, показывает, у кого и что происходило во время срабатывания эксплойтов или во время попыток запуска вредоносного кода. Для системы управления нужна серверная версия Windows с установленной базой данных.

 

Операционные системы

 

Поддерживаются все версии операционных систем Windows.

 

Совместимость с антивирусами

 

Антивирусные компании тоже стали ставить ловушки в памяти, но число реализованных ловушек сейчас минимально. Мы рекомендуем отключать эти немногочисленные ловушки, которые ставит антивирус, чтобы избежать конфликтов ловушек друг с другом. Необходимо добавить TRAPS в список доверенных процессов в антивирусе.

 

Обучение агента

 

Агент сразу же после установки начинает работать и защищать рабочую станцию. Агент TRAPS ловит известные и неизвестные виды эксплойтов без обучения. Существует набор некорректно написанных программных продуктов, которые содержат уязвимости и могут вызывать разные нестандартные ситуации, которые TRAPS рассматривает как работу эксплойтов. Производитель ведет учет таких продуктов и автоматически игнорирует данное ПО, чтобы не вызывать ложных срабатываний. Если вы используете самописные продукты, которые могут содержать ошибки, мы рекомендуем настроить агент таким образом, чтобы он не реагировал на неточности.

 

Совместимость с другими компонентами

 

Хостовая защита дополняет сетевую защиту компании Palo Alto Networks. Часть вредоносных файлов блокируется уже на межсетевом экране в результате работы правил фильтрации, движка антивируса и системы предотвращения атак. «Песочницы» WildFire доступны как с межсетевого экрана, так и с TRAPS.

 

Поиск маркеров компрометации

 

Наша архитектура защиты эшелонирована: мы контролируем запуск на самой рабочей станции и на сетевом уровне контролируем соединения, поскольку в них видны следы возможных успешных атак или заражений. Межсетевой экран нового поколения позволяет обнаружить подключения к известным бот-сетям по IPS, DNS-адресу или URL. Для этого он постоянно обновляется из базы WildFire, Threat Intelligence и AutoFocus. По любому адресу или URL мы можете посмотреть, какая информация есть в базе знаний AutoFocus про этот индикатор компроментации. Это позволяет понять всю картину работы вредоносного кода.

 

Карантин скомпрометированной станции

 

Чтобы заблокировать соединение с центрами управления можно использовать межсетевой экран Palo Alto. Стоит отметить функционал DNS Sinkholing, когда мы подменяем ответ на DNS-запросы, которые делает вредоносный код, чтобы помешать его работе.

 

Анализ файлов с флеш-носителей

 

Неважно, каким образом приходит файл с данными: по электронной почте, через DropBox или с USB-флешки. Если на компьютере установлены программные ловушки на все способы доставки, которые возможны, шансов у хакеров не останется.

 

Устранение последствий заражения

 

Агент TRAPS блокирует попытку заражения на самом старте, соответственно, заражения не происходит, поэтому не требуется устранять его последствия.

Уведомления об обновлении тем – в вашей почте

Advanced Persistent Threat скоро перейдут из понятия «Advanced» в понятие «Basic»…

Директор департамента ИБ Росбанка рассказал в интервью Jet Info, как правильно подойти к выбору решения Anti-APT

Интервью с Борисом Симисом, заместителем генерального директора компании Positive Technologies

Один день из жизни Ричарда Джилла, специального агента секретной службы США, превратился в кошмар наяву

Противодействие угрозам на уровне рабочих станций: решение FortiClient

Как реализована защита от целенаправленных кибератак на конечных точках в решении FortiClient

Противодействие угрозам на уровне рабочих станций: решение FireEye HX

Как реализована защита от целенаправленных кибератак на конечных точках в решении FireEye HX

Advanced Persistent Threat в действии: демонстрация методов доставки вирусов

Специалисты компании «Инфосистемы Джет» продемонстрировали, что такое таргетированные атаки на практике

Песочницы под микроскопом: обзор решений (продолжение)

Обзор решений класса Anti-APT с акцентом на наиболее важные критерии по выбору «песочниц»

Противодействие угрозам на уровне рабочих станций: решение SandBlast Agent

Как реализована защита от целенаправленных кибератак на конечных точках в решении SandBlast Agent

Противодействие угрозам на уровне рабочих станций: решение Kaspersky Endpoint Detection and Response

Как реализована защита от целенаправленных кибератак на конечных точках в решении Kaspersky Endpoint Detection and Response

«Не думайте, что хакеры живут на других планетах…»

Станислав Павлунин, вице-президент по безопасности Тинькофф Банка рассказ о подходе банка к защите от кибератак

Спасибо!
Вы подписались на обновления наших статей
Предложить
авторский материал





    Спасибо!
    Вы подписались на обновления наших статей
    Подписаться
    на тему







      Спасибо!
      Вы подписались на обновления наших статей
      Оформить
      подписку на журнал







        Спасибо!
        Вы подписались на обновления наших статей
        Оформить
        подписку на новости







          Спасибо!
          Вы подписались на обновления наших статей
          Задать вопрос
          редактору








            Оставить заявку

            Мы всегда рады ответить на любые Ваши вопросы

            * Обязательные поля для заполнения

            Спасибо!

            Благодарим за обращение. Ваша заявка принята

            Наш специалист свяжется с Вами в течение рабочего дня