Palo Alto Next-Generation Firewall (NGFW) — первый в своем виде — является основой единой платформы кибербезопасности.
Он дает полную визуализацию и контроль над всеми приложениями в сети, в том числе теми, которые пытаются выдать себя легитимными за счет работы по нестандартным портам и/или используя шифрование данных (например, TLS/SSL или SSH).
С помощью NGFW от Palo Alto Networks предприятия могут быстро создавать правила безопасности, которые соответствуют бизнес-политике, просты в обслуживании и адаптируются к динамической среде предприятия. Они сокращают время отклика благодаря автоматическим ответным действиям на основе политик, при этом ИТ-департамент получает возможность быстро автоматизировать рабочие процессы за счет интеграции с инструментами администрирования, такими как службы создания тикетов или с любой системой с RESTful API.
Файрволы следующего поколения Palo Alto Networks поставляются в виде виртуальных и аппаратных устройств. Например, серия VM защищает частные и общедоступные облачные среды, обеспечивая доступ к приложениям и предотвращая угрозы. Трафик классифицируется на основе приложений, а не портов, что дает детальное представление об угрозах.
Palo Alto Networks NGFW:
• Проверяет и контролирует данные, передаваемые по сети, для обнаружения и блокировки известных и неизвестных угроз, и все это за одно сканирование.
• Эффективно идентифицирует и блокирует неизвестное, новое или специализированное вредоносное ПО, и эксплойты.
• Увеличивает производительность за счет применения архитектуры однократного прохода, что обеспечивает сканирование трафика только один раз вне зависимости от включенных функций.
• NGFW использует архитектуру с алгоритмом однократного прохода и параллельной обработки данных, которая применяет технологии App-ID, User-ID и Content-ID для идентификации приложений, пользователей и анализа контента соответственно, что обеспечивает NGFW непревзойденные возможности функций кибербезопасности.
App-ID — идентификация приложений
Система идентификации приложений App-ID™
безошибочно распознает приложения в потоке
данных, проходящих через NGFW. App-ID может:
• Идентифицировать приложения, используя
различные методы идентификации, в отличие
от классических межсетевых экранов, которые
используют IP-адрес, порт или протокол.
• Идентифицировать приложения,
маскирующиеся под видом разрешенного
трафика, используя динамические порты, или
попытки пройти через межсетевой экран через
зашифрованный SSL туннель.
• Применять специальные политики ( Decryption
Policy), чтобы дешифровывать и проверять
входящий и исходящий SSL-трафик.
• Контролировать трафик через SSH-туннели
User-ID — идентификация пользователей
Визуализация приложений по пользователю, а не по
IP адресу, позволяет вам более эффективно
контролировать приложения в вашей сети. Вы можете
настроить порядок использования приложений в
соответствии с требованиями вашего бизнеса и, при
необходимости, информировать пользователей о
нарушениях политики или даже блокировать их
приложения.
При помощи User-ID можно:
• Создавать политики для безопасного
использования приложений пользователями или
группами пользователей, во входящем или
исходящем направлении. Например, может быть
предоставлен доступ для использования таких
инструментов, как SSH, telnet и FTP на стандартных
портах только сотрудниками IT-отдела.
• Контролировать как локальных, так и удаленных
пользователей, независимо от типа используемых
устройств и места их нахождения.
• Формировать отчеты с данными о действиях
пользователей. Может быть создана собственная
форма отчета или использованы типовые
шаблоны.
Content-ID — идентификация данных
Технология идентификации данных Content-ID дает возможность проводить полный анализ всего трафика с целью предотвращения угроз.
Content-ID позволяет:
• Блокировать уязвимости в системе, предотвращать переполнение буфера и
сканирование портов; защищать систему от вторжений и различных методов маскировки, используемых злоумышленниками; блокировать внешние соединения вредоносного ПО; блокировать доступ к вредоносным и фишинговым сайтам; снижать риски, связанные с несанкционированной передачей файлов и
данных.
• Использовать подход на основе единого потока, упрощающий процесс управления, позволяющий модернизировать процесс обработки данных и
значительно повышающий производительность системы.
Дополнительные возможности и инструменты Palo Alto NGFW
Защита от известных угроз Threat Prevention — Подписка на предотвращение угроз добавляет интегрированную защиту от сетевых угроз, включая эксплойты, вредоносное ПО, трафик управления С2, а также различные инструменты взлома, благодаря функциональности IPS и потоковой блокировке миллионов известных образцов вредоносных программ. Подписка на защиту от угроз является ключевым компонентом нашего подхода к предотвращению с обратной связью, получая обновления защиты от WildFire на основе нашей глобальной информации об угрозах. В сочетании с WildFire защита обновляется всего за пять минут, что означает, что ваша безопасность всегда актуальна и может предотвратить появление последних угроз.
Intrusion Prevention — Защита на основе уязвимостей обнаруживает и блокирует эксплойты и методы уклонения как на уровне сети, так и на уровне приложений, включая сканирование портов, переполнение буфера, фрагментацию пакетов и обфускацию. Наша защита IPS включает в себя как обнаружение аномалий, так и сигнатурное сканирование, используя совпадение шаблонов состояний для понимания порядка прибытия и последовательности поступления пакетов. Наши разработки используют реверсивную инженерию для понимания принципа уязвимостей, на которых основана наша защита, гарантируя высокую точность отдельных сигнатур и защищая вас от нескольких попыток использования. Palo Alto Networks также предлагает расширенную защиту конечных точек Traps для блокировки эксплойтов с нулевым днем на конечной точке.
Кроме того, группа исследователей по угрозам безопасности Palo Alto Networks, подразделение 42, применяет человеческий интеллект для выявления критических нулевых уязвимостей в Microsoft, Adobe, Apple, Android и других экосистемах. Проактивно идентифицируя эти уязвимости, разрабатывая защиту для наших клиентов и сообщая информацию с сообществом безопасности, мы удаляем оружие, используемое злоумышленниками, чтобы угрожать пользователям и ставить под угрозу сети предприятий, правительства и поставщиков услуг.
Malware Protection — Threat Prevention обеспечивает защиту от вредоносных программ, предотвращая доставку и установку вредоносных программ через специализированную систему обнаружения, которая обновляется несколько раз в сутки и использует сервис WildFire для получения глобальных сигнатур новых вредоносных программ.
Сигнатуры на базе вредоносной нагрузки не зависят от легко изменяемых атрибутов, а вместо этого обнаруживают шаблоны в теле файла, которые могут использоваться для идентификации будущих вариантов вредоносного ПО, даже если контент был слегка изменен. Это позволяет нам немедленно идентифицировать и блокировать полиморфные вредоносные программы, которые в противном случае будут рассматриваться как новый неизвестный файл.
Организации могут еще больше повысить свою позицию в области безопасности, используя службу обнаружения и предотвращения угроз WildFire, которая позволяет предотвратить вредоносное ПО с нулевым днем за 300 секунд после первого обнаружения в любой точке мира.
Command-and-Control Prevention — Предотвращение угроз защищает от угроз по управлению и контролю (C2) от использования для эксфильтрации данных, доставки вторичных полезных данных или предоставления дополнительных инструкций для будущих этапов атаки. Служба использует революционный подход к отключению этого критического канала, генерируя автоматические сигнатуры C2, которые выходят за рамки базового домена и сопоставления URL-адресов, чтобы обеспечить защиту исследовательского уровня на скорости и масштабах конечных точек. Предотвращение угроз также обеспечивает возможности просачивания запросов на вредоносные записи DNS, позволяя перенаправлять исходящие запросы на вредоносные домены или IP-адреса на ваш собственный внутренний IP-адрес, предотвращая работу с С2С и предоставляя вам отчет об уязвимых машинах.
Защита от неизвестных угроз WildFire -это инновационный сервис, который обнаруживает и защищает от нового и ранее неизвестного вредоносного ПО («нулевого дня») за счет статического и динамического анализа нескольких сотен типов поведения потенциальных вредоносных файлов. Динамический анализ проводится на двух уровнях – в виртуальной среде, построенной на собственном гипервизоре, и на реальных машинах с типичными ОС, предназначенных для анализа ВПО, что позволяет преодолевать техники детекции и обхода анализа, которые используют наиболее скрытные угрозы. При наличии подписки сигнатуры для нового вредоносного ПО генерируется и загружается на устройства в среднем в течение пяти минут. Это позволяет своевременно обнаруживать и блокировать распространение новых вредоносных файлов, которые неизвестны ни одному антивирусу и могут быть специально написанными для целенаправленной атаки компании.
Защита от DNS-угроз DNS Security -это новейший сервис Palo Alto Networks для моментальной защиты от угроз на уровне DNS. Сервис DNS Security использует машинное обучение для упреждающей блокировки вредоносных доменов и предотвращения атак, для чего все запросы DNS в режиме реального времени оцениваются на признаки угроз, в том числе на базе расширенного анализа, что позволяет контролировать вредоносные домены, C2, DNS-туннели и вредоносные программы, использующие DGA. Благодаря этому DNS Security обеспечивает совершенно новый уровень защиты сразу на нескольких стадиях кибер-атак. DNS широко используется злоумышленниками в своей деятельности. Атаки с использованием DNS часто оказываются успешными, потому что экспертам департаментов ИБ не хватает оперативного доступа к информации о том, как угрозы используют DNS для поддержания контроля над зараженными устройствами или кражи данных. При этом по мнению исследователей Unit 42 Palo Alto Networks, почти 80% всех вредоносных программ используют DNS для установления C2C-канала передачи команд и удаленного управления, что затрудняет обнаружение и блокирование таких атак в реальном времени обычными средствами защиты. Поэтому защита на уровне DNS является критически важной в современных сетях.
Фильтрация веб-сайтов URL Filtering — Фильтрация URL-адресов предоставляет вам подробные пользовательские средства управления веб-активностью через категории URL-адресов и настраиваемые белые и черные списки, а также защиту от веб-угроз через злонамеренные категории, такие как «вредоносное ПО» и «фишинг». В подписке на фильтрацию URL-адресов используется PAN-DB, наша база данных URL-адресов, которая автоматически классифицирует неизвестные URL-адреса, предоставляя вам самые последние группировки URL-адресов на основе текущего содержимого веб-страницы. PAN-DB обновляется WildFire каждые 30 минут, что означает, что вы всегда защищены от вредоносных, высокорискованных и нежелательных веб-сайтов.
Премиальный удаленный доступ GlobalProtect — обеспечивает легкое защищенное подключение удаленных пользователей на платформах Windows, Linux, Mac, Android, iOs и прочих с использованием IPsec/SSL VPN, их аутентификацию и полный контроль доступа к внутренним ресурсам. GlobalProtect расширяет защиту вашего брандмауэра до конечных точек как внутри, так и за пределами вашей корпоративной сети, обеспечивая постоянную безопасность для пользователей во всех местах. Данный функционал является бесплатным и не ограничен по количеству пользователей.
Дополнительный премиальный функционал подписки GlobalProtect позволяет расширить встроенный VPN-функционал следующими возможностями:
• Пользователи могут использовать удобные приложения GlobalProtect для iOS и Android на своих мобильных устройствах
• При подключении автоматически выбирается географически наиболее близкий VPN-шлюз
• Администраторы могут проверять состояние конечной точки и установленного на ней ПО на соответствие политикам безопасности благодаря функционалу профиля информации о хосте (HIP). Этот функционал GlobalProtect также может быть использован внутри организации для защиты пользователей локальных проводных и беспроводных сетей посредством организации сервиса Network Access Control (NAC).
• Пользователи могут получать доступ к внутренним приложениям и ресурсам организации через браузер без установки агентов благодаря функции Clientless VPN.