Системы анализа аномалий Palo Alto

 Palo Alto NetworksКомпания Palo Alto Networks основана в США в 2005 году группой старших инженеров  компаний  Check Point, Cisco, NetScreen, McAfee и Juniper Networks. Palo Alto Networks ведет разработку файерволов нового поколения, позволяющих контролировать работу приложений и пользователей в корпоративных сетях производственных предприятий, органов здравоохранения, образования и финансовых структур. Штат компании  в мире насчитывает более 1500 сотрудников. 

Российское представительство Palo Alto Networks открыто в 2010 года. Крупнейшие заказчики в РФ: Ростелеком (программа Электронного Правительства), МТС, МЧС, РЖД, Росатом, Транснефть, Еврохим, СГК, KPMG.Активное использование мобильных приложений в составе облачных инфраструктур, увеличение процента  удаленной  работы , с доступом  к сети предприятия и приложениям с персональных устройств разных типов, включая мобильные телефоны повлекло  появление новых сетевых угроз и вирусов, с которыми  классические межсетевые экраны уже не справляются.

ИЦ Телеком-Сервис предлагает для обеспечение безопасности корпоративной сети, работы приложений, виртуальной и облачной среды предприятия установить платформу кибер-безопасности нового поколения Palo Alto Networks.
Информационные киоски, распределенные дата-центры, сетевые библиотеки общего пользования и Интернет Вещей – это та реальность, которая заставляет разработчиков задуматься над тем, как обеспечить безопасный доступ  к приложениям внешним и внутренним пользователям.

Линейка межсетевых экранов Palo Alto Networks  нового поколения - удовлетворяет всем требования современного предприятия и обеспечивает все функции защиты. Она включает аппаратные платформы для различного масштаба задач: от PA-200 для удаленных офисов до PA-7000 для распределенных  дата-центров.

Эффективность внедрения решения

  • Обеспечение безопасности бизнеса при росте используемых в сети приложений
  • Обеспечение безопасного доступа к приложениям для отдельных пользователей или групп пользователей: локальных, мобильных и удаленных 
  • Безопасное использование приложений Oracle, BitTorrent, Gmail  из любого места
  • Защита трафика от известных и неизвестных угроз
  • Безопасное расширение сетевой инфраструктуры при масштабировании компании.
  • Интеграция с различными корпоративными каталогами пользователей для идентификации пользователей  Microsoft Windows, Mac OS X, Linux, Android или iOS, осуществляющих доступ к приложениям
  • Применение единых политики безопасности для всех групп пользователей
  • Блокировка опасных сайтов, уязвимостей, вирусов, программ-шпионов и запросов злоумышленников к DNS-серверам
  • Активный анализ и идентификация неизвестных вредоносных программ путем прямого запуска неопознанных файлов в виртуальной среде  и проверки на предмет более 100 видов вредоносного поведения
  • Автоматическая генерация и предоставление сигнатур зараженных файлов и связанного с ними вредоносного трафика при обнаружении новых типов вирусов
  • Анализ сети с использованием контекста приложений и протоколов связи позволяет выявить угрозы, скрытые в туннелях, сжатых файлах данных и размещенных на нестандартных портах
Для обеспечения безопасной работы приложений дата-центров вводят разграничение прав доступа пользователей, проводят защиту контента от угроз и проблем, связанных с масштабированием виртуальной серверной инфраструктуры. Для защиты филиалов, мобильных внешних пользователей и надомных сотрудников  применяют единый набор политик безопасного доступа, принятый на предприятии.

Palo Alto Networks. Безопасность корпоративной сети

Технология App-ID для классификации приложений 

Точная классификация всех приложений, на всех портах, в любое время выполняется с помощью технологии App-ID. Технология App-ID точно идентифицирует приложения независимо от порта, шифрования SSL/SSH и используемой техники маскировки. 

Отдельные неопределенные приложения автоматически классифицируются и анализируются  для выявления их характера:  являются ли они внутренними приложениями или представляют угрозу сети. Самые распространенные  типы маскировки угроз, такие как переключение между портами и туннелирование, нейтрализуются  с помощью ввода политики предупреждения угроз с использованием контекста приложений и протоколов, который генерируется декодерами в App-ID.

App-ID классифицирует все приложения на всех портах, включая весь неизвестный трафик, который может представлять угрозу для возникновения  сбоев в сети или проникновения в нее вирусов извне.

Управление безопасной работой приложений и анализ данных

Безопасная работа любого приложения и любого пользователя с любыми данными

Благодаря мощному набору графических инструментов визуализации администратор сети компании может получить полное представление о работе и безопасности запущенных приложений. Администратору сети предоставляются следующие возможности:

  • отдельной платформой Palo Alto Networks можно управлять индивидуально через интерфейс командной строки (CLI) и полнофункциональный веб-интерфейс
  • для единого управления политиками безопасности сети, мониторинга трафика, формирования отчетов и выполнения обновлений можно использовать систему Panorama
  • интеграция с инструментами управления от сторонних поставщиков с помощью  SNMP и API-интерфейсов на базе REST
  • по мере изменения состояния приложений получать данные о их непрерывной классификации и динамическом обновлении их краткого графического представления
  • анализ новых/незнакомых приложений одним щелчком мыши
  • быстрый анализ сеансов сетевого взаимодействия при проведении расследования инцидентов в сфере информационной безопасности
  • дополнительный мониторинг категорий URL-адресов, угроз и шаблонов данных для получения полного представления  о работе сети
  • ведение журналов и формирование отчетов с возможностью экспорта в форматы  CSV и PDF и отправкой по электронной почте по расписанию
  • экспорт результатов фильтрации журналов в CSV-файл или на сервер syslog для архивирования на внешнем носителе и дополнительного анализа

Обеспечение работы приложений и снижение риска

Критерии правил безопасного разрешения доступа приложениям включают приложения или их функции; пользователей и группы, а также контент. Правила безопасного разрешения доступа позволяют найти баланс между «запрещением всех приложений» и  «разрешением всех приложений».

Политики обеспечения доступа, применяемые по периметру сети, используются для идентификации всего и выборочных сегментов трафика на основе идентификации пользователей с последующим сканированием на наличие угроз.

Типы используемых политик:
  • ограничение количества почтовых веб-служб и служб обмена мгновенными сообщениями с расшифровкой SSL
  • анализ трафика на наличие вторжений и загрузок неизвестных файлов на WildFire для разработки сигнатур
  • безопасное разрешение мультимедийных потоковых приложений и веб-сайтов
  • контроль использования страниц Facebook: блокировка игр и отдельных модулей; разграничение прав доступа к текстовым публикациям
  • сканирование трафика Facebook на поиск вредоносных программ и вторжений
  • контроль пользования интернет-ресурсов: разграничение прав доступа, блокирование доступа к развлекающим ресурсам
  • GlobalProtect – для ввода единого свода  правил безопасности  для всех групп пользователей
  • блокирование нежелательных приложений, использующих прямое соединение
  • «точка-точка» или пытающихся обойти средства защиты, трафика из отдельных стран
  • изоляция хранилища номеров кредитных карт Oracle в отдельной зоне безопасности
  • удаленное разрешение ИТ-специалистам доступа к ЦОД через SSH, RDP, Telnet, стандартные порты
  • разрешение администрирования Microsoft SharePoint  для администраторов сети
  • разрешение доступа к документам Microsoft SharePoint всем пользователям.

Защита разрешенных приложений

    Блокирование всех видов известных угроз

  • угроз, связанных с блокированием сети и использованием уязвимостей на уровне приложений, переполнением буфера, DoS-атаками и сканированием портов
  • вредоносных программ,  генерируемого ими траффик команд и контроля, вирусы в PDF-файлах и вредоносных программ, скрытые в сжатых файлах или веб-трафике HTTP/HTTPS.
  • вредоносных программ, осуществляющих доступ через приложения, использующие защищенный протокол SSL.

Идентификация хостов, зараженных ботами

  • отчет о признаках ботнет-поведения
  • анализ неизвестного трафика, подозрительных запросов к DNS и URL-адресов, нестандартных действий пользователей в сети для идентификации зараженных устройств. 

Ограничение несанкционированной передачи файлов и данных с помощью фильтрации 

  • анализ содержимого файла
  • блокирование загрузки исполняемых маскирующихся файлов
  • обнаружение и передача содержимого, соответствующего шаблонам конфиденциальных данных (номеров кредитных карт и социального страхования)

    Блокирование неизвестного и целенаправленного вредоносного ПО с помощью инструмента Wildfire™

    • анализ неизвестного/целенаправленного вредоносного ПО путем прямого запуска неопознанных файлов в виртуальной облачной среде «песочница»
    • мониторинг на предмет более 100 видов вредоносного поведения с отправкой уведомлений администратору.
    • подписка на дополнительные расширенные средства  для защиты, ведения журналов и формирования  отчетов
    • доступ по подписке к программному интерфейсу для отправки образцов в облако WildFire на анализ
    • просмотр URL-адресов, угроз и перемещения файлов/данных в простом  лаконичном формате
    • добавление и удаление фильтров для получения данных об отдельных элементах.

    Контроль пользования интернета

    • настройка фильтрации по URL-адресам
    • использование политик мониторинга трафика приложений
    • внесение категорий URL-адресов в политики безопасности