基于签名的安全工具的问题是,在签名发布和发布之前,您都是脆弱的。帕洛阿尔托网络公司对陷阱采取了不同的方法,因此网络世界主编约翰·迪克斯找到了帕洛阿尔托产品营销副总裁斯科特·盖尼,让他深入有个足球雷竞技app了解陷阱是如何工作的。
您最近推出了一个新的端点保护产品,叫做陷阱。告诉我们这是怎么回事。
如果我在我的企业网络之外,在不安全的Wi-Fi网络上运行,我的系统有风险。一个简单的逐步下载嵌入式恶意内容,例如,iframe可以很容易地绕过现有的防病毒软件,没有任何可能保护我被感染的反病毒软件。这是遗弃端点易受攻击的众多示例之一。因此,无论它们在网络或非网络上,完整的安全架构都必须能够保护其用户,无论它们是网络还是非网络,那都是一种使用情况,它导致我们降低了这种投资的终点保护路径。
Palo Alto Networks产品营销副总裁Scott Gainey
另一个原因是,我们看到了很多高度针对性的攻击,它们利用的是一种以前从未见过的威胁,这种威胁被设计成能够逃避网络安全级别的检测。它可能是基于一个新的零日漏洞,攻击者将使用它来对付一个高价值的目标。因为这是基于一个未知的漏洞,它被IPS/IDS忽略了。我们的方法在学习这些新的攻击和路由新的防御基础设施上是有效的,所以如果这种类型的威胁再次被使用,它将被阻止。但如果攻击者只使用它一次,那么其他防御领域就必须启动以保护组织。
所以这些用例就是我们投资Cyvera的原因,而Traps的发布是我们第一个正式发布这项技术的版本,包括一些与WildFire的集成,这是我们的沙箱技术。
提供基于反病毒保护的经典端点保护公司依赖于防御签名,这需要预先了解威胁以阻止它。因此,这些供应商有一个庞大的团队,他们不断地根据他们在野外观察到的新威胁炮制签名。
我们用这种方法看到的挑战是你总是在攻击者社区后面的几个步骤。每年生成数百万种新的恶意软件。每天,我们看到平均超过20,000种新形式的恶意软件。因此,有基于AV的解决方案必须为所有这些新形式构建签名,然后将这些签名分发给所有端点。留在顶部是一个不可能的情况。
类似地,像谨慎的入侵防御或入侵检测系统这样的技术需要事先掌握知识来防范漏洞。因此,如果这是一个未知的零日漏洞,IPS或IDS就没有那么有效。它只能阻止它知道的东西。
因此,当我们正在寻找投资时,我们花了很多时间在我们尽职调查中看待其他人使用的方法。知道传统方法无效的空间有很多公司争吵。
我们看到了两种常见的方法,我们不喜欢新技术。首先是基于容器的工具,基本上设计用于在过程周围包裹保护屏障,因此如果该过程在自然中被恶意进行恶意,容器会检测到它并将其关闭并关闭。但是很多攻击者都想到了如何禁用这些容器,并且它们强加了大量资源开销。因此,从效力和操作角度来看,它不是一个非常可行的选择。
然后,涉及我们的其他方法是专注于攻击后检测或修复的工具。您可以部署这些以尝试和识别和隔离受影响的系统,然后开始清理过程。如果人们正在投资这是他们对高度有针对性的袭击的答案,那么他们有效地挥舞着白旗,说我无法阻止这些攻击,所以我可能在尝试至少迅速检测到它们时投资金钱。
我们强烈反对这个前提。我们确实认为,无论攻击多么复杂,都是可以预防的。在这场战斗中没有灵丹妙药,但网络安全绝对会继续在防止攻击方面发挥重要作用。但也有一些漏洞需要支撑这就是我们把陷阱引入市场的原因。
陷阱是一种技术,到目前为止,随着我们使用不同客户的试验,已被证明甚至100%效力,甚至是基于零日的零点的零点的效果。
它是如何工作的?
我们喜欢这项技术的地方在于它不是针对个人威胁的。陷阱真的不在乎它是已知的还是未知的恶意软件。陷阱并不真正关心漏洞本身。陷阱关注的是攻击者为了利用端点上的漏洞必须执行的底层技术。
让我们说攻击者在一块软件中发现了某种弱点,并旨在使用它来利用系统。攻击者必须经过一系列明确的步骤来实现这一点。它可能是三个步骤,它可能是五个步骤。这取决于利用的性质,但他们必须通过一系列步骤。使用陷阱,我们所做的是,针对每个可用技术中的每一个和每一个的系列块构建了一个系列块,因此第二个攻击者试图采用它们陷入块的攻击者,并且它们的攻击被挫败,并且流程关闭。今天在攻击者处置了大约二十二个技术。
因此,让我们假设Adobe PDF文件中存在一个弱点,有人发起了一个漏洞,试图利用这个弱点。当他们经历该攻击的步骤时,他们将遇到陷阱内的一个攻击防范模块,一旦他们遇到,我们的产品将关闭该进程,并提醒用户攻击已被阻止,然后也提醒管理员。然后我们收集一个取证包,包括内存状态等,并将其提供给管理员,以便他们知道攻击的细节,他们要攻击的用户,他们正在使用的文件,等等。
它是基于客户的吗?
正确的。Traps是一个非常瘦的客户机,它位于端点本身。我们的标准之一是,这不能是一些大型、重型、资源密集型的技术。它实际上只消耗5MB内存和平均CPU利用率的0.1%左右。它基本上就在那个端点上,每当一个新的过程打开时,我们就会在这个过程中注入我们称之为预防模块的东西。所以第二个攻击者试图利用这些已知的技术之一他们将撞上我们的一个预防模块,攻击就被阻止了。
如何解释漏洞利用可能尝试的所有不同方法?
现在攻击者总共有24种技术可以尝试和利用一个系统,所以我们涵盖了这些技术。这些技术是相当困难的科学。在一年内出现两到三项新技术是很少见的。事实上,在我们发布的版本中我们增加了三个新的预防模块针对出现的三种新技术这些是我们在两年内看到的第一个技术。
绝大多数技术都来自学术界。学术界有人将研究不同的流程,然后发布纸张和攻击者抓住这一点,瞧,他们有一个新的技术。因此,我们一直与学术界密切合作,以确保,正如这些事情正在研究的那样,我们还在抵御他们的预防模块,以便在他们发布纸张时,我们也有针对这些新技术构建的模块。
我怀疑可能还需要8到12个月左右的时间才能看到另一种技术的出现。它们并不经常发生。
我认为这个工具是依赖于操作系统的。
正确的。我们在工作站端支持Windows XP、Windows 7和Windows 8,在服务器端支持Windows server 2003、2008和2012。它位于应用程序堆栈之下,因此它独立于应用程序本身。所以我们支持在Microsoft Windows环境上运行的任何类型的应用程序。
事实上,我在一家石油和天然气公司,而预防的特点,这是非常诱人的,这家伙对我们支持XP非常兴奋,因为他有成千上万的系统仍在运行Windows XP和微软XP不是打补丁了。所以他把这作为延长Windows XP系统寿命的一种方式,这是一个很好的后效。我们在自动取款机、销售点系统等领域看到了Windows。
所以这是利用方面,基于恶意软件的攻击怎么样?
正确的。在恶意软件方面,它运作类似,只有我们添加了几个其他步骤。谈到基于恶意软件的攻击时,该过程略有不同。恶意软件当然不需要漏洞漏洞,以便在端点上运行。通常是我们的员工通过在电子邮件中打开恶意文件附件来启动此过程,单击将该人带到恶意URL或域的链接,从USB棒等下载恶意文件等。
陷阱恶意软件预防是在三个步骤完成。首先,Traps允许管理员在终端上创建一系列策略,极大地限制员工无意中下载恶意软件的风险。这些是简单的策略,比如不允许用户执行通过电子邮件或从可移动存储设备发送的。exe文件。通过预先建立正确的策略,组织可以减少攻击者将恶意软件带到终端的可用选项。
其次,陷阱与野火集成,以提供立即车辆以验证是否已知文件是恶意的。每天野火检查数百万个文件以获得新形式的恶意软件。此智能可用于陷阱,因此可以验证特定可执行文件是否是恶意的,然后允许它在端点上运行。最后,陷阱在端点上使用恶意软件预防模块,以确保恶意软件从未执行。
竞争者也在做类似的事情吗?
另一家采用这种方法的公司只有微软自己。微软有一个叫做EMET的项目他们是今天唯一专注于基于技术的方法的项目。微软已经选择不将EMET产品化,但如果你愿意的话,它就像一个臭鼬工厂项目。所以实际上只有我们和微软从技术的角度来看待这个问题。而且EMET项目目前只支持7种开发技术。
您认为这能解决多大比例的问题?毕竟,还有Windows以外的环境,还有整个移动性的威胁。你是怎么算出来的?
今天,Traps主要关注基于windows的支持,这构成了大部分的端点。我们计划在未来根据客户需求扩大支持。
你怎么卖这个?
它是以订阅服务的形式出售的。因此,您可以购买一、三或五年的订阅,正如我所提到的,您必须部署瘦客户机。它可以通过公司的标准分发软件进行部署。
那么按设备收费呢?
现在我们有两个价格点,一个工作站和一个服务器。然后是分层结构,根据部署的终端总数,有不同的价格区间。
还有一件事我想提一下。您将看到我们引用高级端点保护,我们对它的定义与今天其他人对端点保护的定义不同。许多定义与经典的反病毒功能基本一致。我们认为合格的高级端点保护解决方案,你必须能够阻止所有利用,无论他们是已知的或未知的。你必须能够阻止所有的恶意软件,包括已知的和未知的。取证仍然至关重要,因为可以获得知识和见解来保护组织的其他部分。它必须是可伸缩的和轻量级的。如果您在像销售点系统一样小的端点上部署成千上万的这样的客户机,那么这不会占用很大的内存和CPU。
最后,它必须与云和网络集成。这些世界将以一种非常大的方式碰撞。如果您可以将网络与端点连接起来,并将端点与网络连接起来,那么在最终提高安全效能方面,在这两个方面都具有巨大的优势。他们会看到别人看不见的东西,如果你能把这些东西结合在一起,形成某种分享关系,那么一切都会变得强大起来。