Añadir a la recogida (s) Añadir a salvo
  1. Ingeniería
  2. Informática
  3. Seguridad informática

Spanish - Palo Alto Networks

Anuncio 
PALO ALTO NETWORKS: Datasheet de Traps
Traps: Protección avanzada del endpoint
Traps:
n
Impide todos los exploits de
vulnerabilidades.
n
Impide todos los ataques de malware.
n
Proporciona datos forenses inmediatos
de los ataques evitados.
n
Se puede ampliar y es ligero y fácil de usar.
n
Se integra con la seguridad de la red y la
nube.
Palo Alto Networks® Traps proporciona protección avanzada del
endpoint que previene los exploits de vulnerabilidades avanzados
y los ataques por malware. Esto se consigue mediante un agente
ligero con gran capacidad de ampliación que usa un nuevo e
innovador enfoque para rechazar los ataques sin necesidad de
conocimientos previos sobre la propia amenaza. De esta forma,
Traps se convierte en una poderosa herramienta de protección
de los endpoints de las organizaciones frente a prácticamente
cualquier ataque dirigido.
Palo Alto Networks Traps presenta un enfoque único respecto a la seguridad de
los endpoints. Se ha diseñado para proporcionar protección completa al endpoint,
incluida la prevención de ataques convencionales y de ataques avanzados o
dirigidos que las soluciones tradicionales no pueden prevenir.
En lugar de intentar identificar millones de ataques individuales o de determinar
comportamientos maliciosos que podrían ser imposibles de detectar, Traps se centra
en las principales técnicas que todos los atacantes deben combinar para ejecutar
sus ataques. Configura una serie de "trampas" a los exploits en los procesos para
contrarrestar estas técnicas, por lo que puede frustrar el ataque inmediatamente
antes de que se produzca cualquier actividad maliciosa.
Este enfoque único hace que Traps no dependa de ninguna aplicación, por lo que
las protege todas, incluidas las desarrolladas por terceros.
Prevención de exploits
El proceso real de explotación de una vulnerabilidad en un endpoint requiere la
ejecución de varias técnicas avanzadas en secuencia. Por ejemplo, en un ataque
típico, el atacante intentará obtener el control de un sistema intentando en primer
lugar corromper o esquivar la asignación de memoria o los gestores de la misma.
Al usar técnicas para corromper la memoria, como los buffer overflows o la
corrupción heap, el saboteador puede utilizar las debilidades o vulnerabilidades
del software de destino para ejecutar su código específico. Si el atacante consigue
ejecutar el código personalizado, podrá descargar malware o controlar por
completo el sistema en su beneficio.
Independientemente del tipo de ataque o de si este se completa, para que dicho
ataque tenga éxito, el atacante debe ejecutar una serie de técnicas de exploit en
secuencia. Algunos ataques pueden tener más pasos, otros menos, pero en todos
los casos se deben usar al menos dos o tres técnicas de exploit en el endpoint
de destino.
Funcionamiento de la prevención de exploits
Traps emplea una serie de módulos de prevención de exploits dirigidos a
mitigar y bloquear las distintas técnicas de exploit que emplean los atacantes.
Estos módulos funcionan como "trampas" (trap en inglés) que se incorporan
a los procesos de los usuarios y que se han diseñado para desencadenar y
bloquear la técnica de exploit del atacante en cuanto se produce. Siempre que
se abre una aplicación, Traps integra sin problemas módulos de prevención
en el proceso como "trampas" estáticas transparentes. Cuando un módulo
se integra en el proceso, este queda protegido contra cualquier exploit.
PALO ALTO NETWORKS: Datasheet de Traps
Informe
a ESM
Se recopilan
datos forenses
CPU
<0.1%
¡Seguro!
El proceso se
interrumpe
Se notifica al
usuario/administrador
Traps se introduce
sin problemas en
los procesos.
El proceso está protegido
porque el intento
de exploit se atrapa.
Traps desencadena
acciones inmediatas.
El ataque se bloquea
antes de que se produzca
ninguna actividad maliciosa.
Funcionamiento: prevención de exploit.
Si se realiza un intento de exploit con una de las pocas técnicas
disponibles, Traps bloquea de inmediato dicha técnica, interrumpe
el proceso y notifica tanto al usuario como al administrador de que
se ha prevenido un ataque. Asimismo, Traps recopila datos forenses
detallados y envía un informe al Endpoint Security Manager (ESM).
Dada la naturaleza en cadena de los exploits, basta con evitar una
técnica de la cadena para bloquear todo el ataque.
Si no se produce ningún ataque, el usuario y el proceso no notarán
nada especial. Debido a la mínima utilización de recursos de Traps,
el usuario no experimentará ninguna molestia por las medidas
preventivas que se desarrollan en segundo plano.
Traps se centra en las técnicas de los exploits, y no en el ataque en sí,
por lo que puede prevenir los ataques sin que se conozca de antemano
la vulnerabilidad, independientemente de que se hayan instalado
parches y sin que se necesiten firmas ni actualizaciones de software.
Es importante tener en cuenta que Traps no explora ni supervisa si
hay actividad maliciosa. Este enfoque supone una enorme ventaja en
materia de escalabilidad, ya que se usan muy pocos recursos de CPU y
de memoria.
La prevención de exploits de Traps está diseñada para evitar los
ataques a vulnerabilidades de programas basadas en la corrupción de
la memoria o en fallos lógicos. Estos son algunos de los ataques que
Traps puede impedir:
Si bien los atacantes avanzados explotan cada vez más las
vulnerabilidades de software, también hay un avance de los ataques
con malware desconocido o manipulado (archivos ejecutables).
Dado que estos tipos de ataques no suelen tener firmas, cadenas o
comportamientos conocidos previamente, los enfoques tradicionales
de seguridad del endpoint no son capaces de prevenirlos.
Para evitar de forma eficaz la ejecución de malware en el endpoint,
Traps utiliza los tres componentes siguientes de prevención de
malware:
1. Restricciones basadas en políticas. Las restricciones de las políticas
permiten a las organizaciones configurar políticas que restrinjan
situaciones de ejecución concretas, en lugar de crear una lista de
archivos específicos permitidos o prohibidos. La superficie de
ataque se puede reducir en gran medida simplemente controlando
el origen de la instalación del archivo. Si un usuario intenta abrir
el ejecutable, Traps evalúa las reglas de restricción de la ejecución
que se puedan aplicar. Estos son algunos ejemplos habituales de
restricciones basadas en políticas:
• Ejecución de ejecutables provenientes de carpetas concretas.
• Ejecución de ejecutables provenientes de medios externos.
• Procesos que diseminan procesos secundarios.
• Procesos de Java que se ejecutan desde los navegadores.
• Corrupción de memoria.
• Ejecución de procesos sin firmar.
• Código Java en ejecución en navegadores (en ciertas circunstancias).
• Inyección de subprocesos.
• Ejecutables que diseminan procesos secundarios (en ciertas
circunstancias).
• Suplantación de la biblioteca de enlace dinámico (DLL) para
sustituir una DLL legítima por una maliciosa del mismo nombre.
• Suplantación del flujo de control de un programa.
• Inserción de código malicioso como gestor de excepciones.
Prevención de malware
Los archivos ejecutables maliciosos, conocidos como malware o
software malicioso, habitualmente simulan ser archivos no maliciosos
o van integrados en ellos. Pueden dañar los equipos al intentar obtener
el control, al recopilar información confidencial o al interrumpir las
operaciones normales del sistema.
PÁGINA 2
2. Inspección de Wildfire™. En el caso de la ejecución de archivos
que no estén limitados por las restricciones de políticas en vigor,
el programa Endpoint Security Manager de Traps envía un hash a
la nube de amenazas de WildFire para determinar si el archivo es
malicioso, si es benigno o si la comunidad de amenazas global no lo
conoce. Si WildFire confirma que el archivo es malware conocido,
Traps impide que el archivo se ejecute y envía una notificación
al ESM.
PALO ALTO NETWORKS: Datasheet de Traps
3.Mitigación de técnicas de malware. Como ocurre con las técnicas
de exploit, los atacantes usan técnicas habituales e identificables al
intentar distribuir su malware. En caso de que la ejecución del archivo
no quede restringida por la política o que su hash no coincida con
ningún ataque conocido en la nube de amenazas de WildFire, Traps
implementa un sistema de mitigación basado en técnicas que limita o
bloquea los procesos secundarios, los procesos de Java iniciados en los
navegadores web, los subprocesos remotos y la creación de procesos,
así como la ejecución de procesos sin firmar. Todo ello con el objetivo
de evitar que el ataque se ejecute de cualquier forma.
Endpoint Security Manager incluye una base de datos centralizada
donde se almacena información administrativa, reglas de las políticas
de seguridad, historial de los endpoints y datos adicionales sobre
eventos de seguridad. La base de datos se gestiona mediante la
plataforma MS-SQL.
Endpoint Security Manager puede escribir logs en una plataforma de
registro externa; como por ejemplo un sistema SIEM, servicios SOC
o syslog, además de almacenar sus propios registros de forma interna.
Al especificar una plataforma de registro externa, es posible obtener una
vista agregada de los registros de todos los servidores de endpoint.
Servidor de endpoint
Se permite
la ejecución
del archivo
El usuario intenta
Se aplican las
abrir un archivo restricciones basadas
ejecutable.
en política.
El hash se
comprueba
en WildFire.
¡Seguro!
Se emplea la prevención
de las técnicas
de malware
Informe
al ESM
Funcionamiento: prevención de malware.
El servidor de Endpoint distribuye de forma periódica la política
de seguridad a de los logs de todos los agentes y gestiona toda la
información relacionada con los eventos de seguridad.
• Estado de Traps: las páginas de notificaciones y estado del
Endpoint Security Manager muestran el estado de cada endpoint.
• Notificaciones: el agente de Traps envía mensajes de notificación
sobre los cambios del agente al servidor de endpoint; por ejemplo,
cuándo se inicia o se detiene un servicio.
• Informes de prevención: Traps informa sobre todos los datos
relacionados con un evento al servidor de endpoint en tiempo real.
Datos forenses
Siempre que Traps evita un ataque, se recopilan datos forenses en
tiempo real sobre el evento: el archivo afectado, qué ha ocurrido,
el estado de la memoria cuando se evitó el ataque, etc. Los datos
registrados se envían al Endpoint Security Manager (ESM). Aparte del
hecho de que el ataque se haya rechazado, hay mucha información
que se puede recopilar. Al recopilar todos estos datos del intento
de ataque, las organizaciones pueden aplicar sistemas de defensa
preventiva en otros endpoints que podrían no estar protegidos.
Syslog
ESM
SCCM
Base de datos: designada o
integración con una existente.
Arquitectura de Traps
Traps presenta una estructura de gestión de 3 niveles formada por
Endpoint Security Manager, el servidor de conexión de endpoint y los
agentes de endpoint. Este modelo permite una enorme capacidad de
ampliación horizontal, al tiempo que se mantiene una configuración
centralizada y una base de datos para las políticas, los datos forenses, etc.
Conexión
con servidor
Conexión
con servidor
Conexión
con servidor
Endpoint Security Manager
Endpoint Security Manager proporciona un panel de administración
para gestionar los eventos de seguridad, el estado del endpoint y las
reglas de las políticas. ESM también gestiona la comunicación con
WildFire cuando se envían hashes para su inspección. El centro de
gestión integral de ESM cubre lo siguiente:
• La gestión de la configuración
• El registro y las consultas de la base de datos
• El panel de administración y la vista general de seguridad
• La recopilación de datos forenses
• La configuración de integración
PÁGINA 3
PC, servidores, máquinas virtuales, VDI, sesión de Citrix,
clientes ligeros, integrados
PALO ALTO NETWORKS: Datasheet de Traps
Cobertura y compatibilidad de la plataforma
Traps protege los sistemas sin parches, no requiere hardware y es compatible con cualquier plataforma con Microsoft Windows, ya
sean equipos de escritorio, servidores, sistemas de control industrial, terminales, VDI, máquinas virtuales, sistemas integrados, etc.
Traps es actualmente compatible con los siguientes
sistemas operativos basados en Windows:
Estaciones de trabajo
• Windows XP SP3
• Windows 7
• Windows 8.1
• Windows Vista SP1
Especificaciones
Gracias a su enfoque único, Traps funciona con una capacidad en
cierta manera estática y no busca actividad maliciosa, por lo que
el uso de recursos es muy reducido:
Agente de Traps:
• CPU: uso medio del 0.1 %
• Consumo de memoria: 25 MB
• Espacio en disco: 15 MB
Servidores
• Windows Server 2003
• Windows Server 2008 (+R2)
• Windows Server 2012 (+R2)
4401 Great America Parkway
Santa Clara, CA 95054
Centralita:+1.408.753.4000
Ventas:
+1.866.320.4788 Soporte:+1.866.898.9087
www.paloaltonetworks.com
Copyright ©2014, Palo Alto Networks, Inc. Todos los derechos reservados. Palo
Alto Networks, el logotipo de Palo Alto Networks, PAN-OS, App-ID y Panorama
son marcas comerciales de Palo Alto Networks, Inc. Todas las especificaciones
están sujetas a modificaciones sin previo aviso.
Palo Alto Networks no asume ninguna responsabilidad por imprecisiones en este
documento ni por la obligación de actualizar la información de este documento.
Palo Alto Networks se reserva el derecho a cambiar, modificar, transferir o revisar
de otro modo esta publicación sin previo aviso. PAN_DS_TRAPS_100814
Documentos relacionados
La madre de las extinciones en masa
La madre de las extinciones en masa
Descargar
Anuncio
Anuncio