WildFire™ - Palo Alto Networks

PALO ALTO NETWORKS: Scheda tecnica di WildFire
WildFire™
WildFire identifica malware sconosciuti, exploit
zero-day e minacce persistenti avanzate (APT,
Advanced Persistent Threat) tramite analisi
dinamiche in un ambiente virtuale scalabile,
basato su cloud. WildFire offre protezione
automatica praticamente in tempo reale per
consentire ai team di sicurezza di risolvere le
problematiche legate agli attacchi informatici
avanzati. Questa soluzione è basata su una
piattaforma di sicurezza di livello enterprise in
grado di classificare alla fonte tutto il traffico,
incluse le relative applicazioni e minacce,
indipendentemente da porte o crittografia SSL.
•Identifica i malware sconosciuti e gli exploit zero-day utilizzando
tecniche analitiche avanzate sia statiche che dinamiche.
•Combina visibilità e controllo completi delle minacce e delle
applicazioni note con analisi dinamiche basate su cloud delle
minacce sconosciute, per garantire un'analisi dei malware
precisa, sicura e scalabile.
•Blocco inline effettivo dei file insidiosi e nocivi, nonché del
traffico command & control.
Gli attacchi informatici avanzati utilizzano metodi occulti e
persistenti per eludere le misure di sicurezza tradizionali.
L'odierno scenario delle minacce porta i team di sicurezza
a rivalutare i sistemi di prevenzione delle intrusioni,
le soluzioni antivirus e le sandbox appliance di tipo
tradizionale, non più in grado di proteggere dalle APT.
Piattaforma di sicurezza aziendale
Wildfire è basato sulla piattaforma di sicurezza leader del settore con piena
visibilità su tutto il traffico di rete comprese anche metodologie spesso usate
per eludere i controlli come l’utilizzo di porte non standard e cifratura SSL.
Le minacce conosciute vengono bloccate in modo proattivo mediante la
prevenzione delle minacce, fornendo difese baseline contro exploit noti,
malware, URL dannosi e attività command & control (C2). I file sconosciuti
vengono analizzati da WildFire in un ambiente sandbox virtuale e scalabile,
in cui le nuove minacce vengono identificate e vengono sviluppate misure
protettive, poi trasmesse sotto forma di aggiornamenti automatici. Il risultato
è un approccio unico sul mercato basato su un sistema di retroazione
virtuoso che parte dall’applicazione di un controllo positive per ridurre la
superficie di rischio; controllo di tutto il traffico indipendentemente dale
porte e dai protocolli utilizzati per bloccare tutte le minacce conosciute;
rilevare rapidamente le minacce sconosciute osservandone il comportamento
reale in un ambiente di esecuzione virtuale basato su un sistema clou; e quindi
applicare le nuove misure di protezione per garantire che minacce in precedenza
sconosciute diventino ora note e che siano bloccate su tutta la “kill chain”
WildFire
Wildfire è un ambiente virtuale di analisi dei malware avanzato, sviluppato
appositamente per l'emulazione hardware ad alta fedeltà, mediante l'analisi
di campioni sospetti, direttamente in fase di esecuzione. Il servizio basato su
cloud rileva e blocca malware ed exploit sconosciuti e mirati, nonché attività
C2 in uscita, osservandone il comportamento reale, anziché fare affidamento
su firme preesistenti. Oltre a trasformare rapidamente le minacce sconosciute
in minacce note, in circa 15 minuti WildFire genera misure di protezione
condivise a livello globale. Il servizio di sicurezza si integra perfettamente con
i firewall Palo Alto Networks® di nuova generazione, garantendo il controllo
completo sulla rete rispetto ai tentativi di inoculare malware o comunicare
con sistemi infetti, compiuti da criminali informatici.
Individuazione delle minacce informatiche a base comportamentale
Per individuare malware ed exploit sconosciuti, WildFire esegue i contenuti
sospetti nei sistemi operativi Windows XP, Windows 7 e Android, con piena
visibilità sui tipi di file più comuni, inclusi: EXE, DLL, ZIP, documenti PDF,
documenti di Office, Java, Android APK, applet Adobe Flash e pagine web,
compresi contenuti integrati ad alto rischio come JavaScript, file Adobe Flash
e immagini.
PALO ALTO NETWORKS: Scheda tecnica di WildFire
WildFire identifica più di 200 comportamenti potenzialmente
dannosi, per individuare la vera natura dei file malevoli in
base alle loro azioni, tra cui:
•Modifiche apportate all'host: osserva tutti i processi alla
ricerca di modifiche all'host, inclusi attività di file e di Registro
di sistema, inserimento di codice, rilevamento di memory
heap spray (exploit), aggiunta di programmi all'esecuzione
automatica, mutex, servizi di Windows e altre attività sospette.
•Traffico di rete sospetto: analizza tutte le attività di rete generate
dal file sospetto, compresa creazione di backdoor, download di
malware next-stage, visite a domini potenzialmente pericolosi,
ricognizione sulla rete e molto altro ancora.
•Rilevamento anti-analisi: monitora le tecniche impiegate
da malware avanzati per evitare l'analisi delle VM, come
rilevamento di debugger, rilevamento di hypervisor, iniezione
di codice nei processi ritenuti affidabili, disabilitazione di
funzioni di sicurezza dell'host e altro ancora.
Estendendo la piattaforma firewall di nuova generazione in
grado di classificare in modo nativo tutto il traffico su centinaia
di applicazioni, WildFire applica in modo univoco questa analisi
comportamentale indipendentemente dalle porte o dal metodo di
crittografia impiegato, inclusa visibilità completa su elementi quali
traffico Web, protocolli e-mail (SMTP, IMAP, POP) e FTP.
Architettura di rilevamento basata su cloud
Per supportare l'analisi dinamica dei malware nell'ambito
dell'intera rete, WildFire si basa su un'architettura cloud che
può essere sfruttata dal firewall Palo Alto Networks di nuova
generazione esistente, senza richiedere hardware aggiuntivo. Nei
casi in cui i requisiti normativi o di privacy impediscano l'uso di
infrastrutture di cloud pubblico, una soluzione di cloud privato
può essere implementata in sede utilizzando l'appliance WF-500.
In entrambi i casi, WildFire fornisce la stessa visibilità best-in-class
e la stessa semplicità e convenienza della distribuzione.
Prevenzione delle minacce con condivisione di intelligence globale
Quando viene rilevata una minaccia sconosciuta, WildFire genera
automaticamente misure di protezione per bloccarne la diffusione
sulla kill-chain informatica, condividendo questi aggiornamenti
con tutti i propri abbonati su scala globale, in soli 15 minuti.
Grazie a questi aggiornamenti tempestivi, è possibile arrestare la
rapida diffusione del malware, nonché identificare e bloccare la
proliferazione di tutte le varianti future senza intraprendere altre
azioni o eseguire ulteriori analisi. La condivisione dell'intelligence
globale con i clienti di Palo Alto Networks rappresenta un
ulteriore passo nella lotta contro gli autori di attacchi informatici.
Fuga di dati
sensibili
Command &
control
DATA
Va a integrare il database
per la ricerca delle firme
delle minacce
Download di
malware ulteriori
Cloud di WildFire
Osserva e rileva oltre 130 comportamenti
dannosi per individuare malware ed exploit
(disponibile in hosting o come cloud locale)
=
DB PATTERN
DECODER DI TRASFERIMENTO FILE
ASSOCIAZIONE PATTERN SINGLE PASS
REPORTING E APPLICAZIONE
DELLA POLICY
Come funziona WildFire: WildFire offre una combinazione logica tra hardware firewall di nuova generazione e analisi scalabile
dei malware basata sul cloud.
PAGINA 2
PALO ALTO NETWORKS: Scheda tecnica di WildFire
Oltre a offrire protezione da file malevoli ed exploit, le analisi di
WildFire controllano dettagliatamente le comunicazioni in uscita
pericolose, interrompendo le attività di command & control con
firme anti-C2 e callback basate su DNS. Le informazioni vengono
inoltre inviate al database PAN-DB, in cui gli URL dannosi rilevati
vengono bloccati automaticamente. Questa correlazione tra dati e
misure di protezione inline è fondamentale per identificare e bloccare
le intrusioni in corso e gli attacchi futuri su una rete.
Registrazione, generazione di report e analisi forense integrate
Gli utenti Wildfire ricevono tutta una serie di informazioni, log, analisi
e visibilità nell’attività di Wildfire o direttamente dall’interfaccia di
management del firewall, o da Panorama o dal portale Wildfire; il che
consente al team di sicurezza di investigare e correlare prontamente
gli eventi osservati in rete. In questo modo, il personale addetto alla
sicurezza può individuare rapidamente i dati necessari per condurre
indagini e reagire tempestivamente agli incidenti. Gli indicatori di
compromissione basati su host e su rete diventano fruibili attraverso
l'analisi dei registri e le firme personalizzate.
Per facilitare il personale addetto alla sicurezza e IR
nell'individuazione degli host infetti, WildFire fornisce inoltre:
•Analisi dettagliata di ciascun file dannoso inviato alla
piattaforma, su ambienti di sistema operativo multipli, inclusa
attività basata su rete e su host
•Dati di sessione associati alla trasmissione del file dannoso, inclusi
origine, destinazione, applicazione, User-ID™, URL e così via.
•Accesso al campione malware originale a scopo di reverse
engineering e completa acquisizione dei pacchetti relativi a
sessioni di analisi dinamiche.
•Un'API aperta per l'integrazione con strumenti SEIM best-in-class,
come l'applicazione di Palo Alto Networks per Splunk, e con i
principali agenti endpoint.
Questa analisi fornisce un ricco insieme di indicatori di
compromissione (IOC, Indicator of Compromise) applicabili su tutta
la kill-chain delle APT.
Gestione della riservatezza dei file
WildFire sfrutta un ambiente cloud pubblico gestito direttamente da
Palo Alto Networks. Tutti i file sospetti vengono trasferiti in modo
sicuro tra il firewall e il data center WildFire mediante connessioni
crittografate, firmate su entrambi i lati da Palo Alto Networks. I file
innocui vengono distrutti, mentre quelli contenenti malware vengono
archiviati per l'esecuzione di ulteriori analisi.
Requisiti di WildFire:
• L'utilizzo di WildFire richiede PAN-OS™ 4.1 o versioni successive
• L'analisi di PDF, Java, Office e APK richiede PAN-OS 6.0 o
versioni successive
• L'analisi di Adobe Flash e delle pagine web richiede PAN-OS 6.1 o
versioni successive
Informazioni di licenza:
La funzionalità di base di Wildfire è disponibile di serie su tutte
le piattaforme che eseguono PAN-OS 4.1 o versioni successive.
•Immagini di analisi Windows XP e Windows 7
•Tipi di file EXE e DLL, inclusi contenuti compressi (zip) e
crittografati (SSL)
•Invio automatico a Wildfire dei file sospetti
•Misure di protezione automatiche vengono fornite mediante
aggiornamenti periodici dei contenuti di prevenzione delle
minacce ogni 24-48 ore (è richiesta la licenza per la funzione
di prevenzione delle minacce).
L'abbonamento a WildFire consente di aggiungere protezione quasi
in tempo reale dalle minacce avanzate, incluse le seguenti funzionalità
aggiuntive:
•Aggiornamenti automatici delle firme di WildFire ogni 15 minuti
per tutti i nuovi malware rilevati ovunque nel mondo.
•Supporto avanzato per tipi di file, inclusi: file PE (EXE, DLL e
altri); tutti i file di Microsoft Office, Portable Document Format
(PDF), applet Java (JAR e CLASS), Android Application Package
(APK), applet Adobe Flash (SWF e SWC) e pagine Web.
• Supporto per WF-500.
•API WildFire per l'invio programmatico di fino a 1.000 campioni
al giorno e fino a 10.000 query report.
PAGINA 3
PALO ALTO NETWORKS: Scheda tecnica di WildFire
WF-500
WF-500 è un'appliance hardware opzionale che consente di supportare i clienti che scelgono di distribuire WildFire sotto forma di cloud privato,
per un livello di riservatezza dei dati aggiuntivo. WF-500 è dimensionata per ospitare la maggior parte delle reti medio-grandi, con la possibilità
di distribuire appliance aggiuntive in seguito all'aumento dei volumi di traffico o per reti che richiedono una distribuzione geografica.
Specifiche di WF-500
BTU/ORA MASSIMI
PROCESSORE
• 1.740 BTU/ora
• Processore Intel Dual 6-Core con hyper-threading
TENSIONE IN INGRESSO (FREQUENZA IN INGRESSO)
MEMORIA
• 100-240 VAC (50-60 Hz)
• 128 GB di RAM
CONSUMO MASSIMO DI CORRENTE
DISCO DI SISTEMA
• 11A@100VAC
• SSD da 120GB
SICUREZZA
• UL, CSA, CB
Specifiche hardware
EMI
I/O
• FCC Classe A, CE Classe A, VCCI Classe A
• 4x10/100/1.000
AMBIENTE
• Porta seriale console DB9, USB
• Temperatura di esercizio: da 5° a 35° C
CAPACITÀ DI STORAGE
• 2 TB in RAID1: 4 x HDD certificati da 1 TB in RAID per 2 TB di storage RAID
• Temperatura non di esercizio: da -40° a 65° C
ALIMENTAZIONE
• Alimentatori doppi 920W in configurazione hot swap ridondante
CONSUMO MASSIMO DI CORRENTE
• 510 Watt
INSTALLABILE IN RACK (DIMENSIONI)
• Rack standard 2U da 19" (3,5" H x 21" P x 17,5" L)
Per visualizzare ulteriori informazioni sulle caratteristiche di sicurezza e sulle capacità associate di WF-500, visitare il sito
www.paloaltonetworks.com/products
4401 Great America Parkway
Santa Clara, CA 95054
Telefono: +1.408.753.4000
+1.866.320.4788 Vendite:
Assistenza:+1.866.898.9087
www.paloaltonetworks.com
Copyright ©2014, Palo Alto Networks, Inc. Tutti i diritti riservati. Palo Alto Networks, il logo
Palo Alto Networks, PAN-OS, App-ID e Panorama sono marchi di Palo Alto Networks,
Inc. Tutte le specifiche sono soggette a modifica senza preavviso. Palo Alto Networks non
si assume alcuna responsabilità in merito a eventuali inesattezze presenti nel documento
e non ha alcun obbligo di aggiornare le informazioni ivi contenute. Palo Alto Networks si
riserva il diritto di modificare, trasferire o altrimenti correggere la presente pubblicazione
senza preventiva notifica. PAN_DS_WF_101414

Download Report