לרכז את הגנת הסייבר הארגונית במקום אחד עם PaloAlto Networks
כתב: ציון עזרא, סמנכ"ל מכירות באינוקום מקבוצת אמן
ארגונים רבים נערכים להגנה ממתקפות סייבר וגניבת מידע. אנו רואים פתרונות שונים מיצרנים שונים בכל מיני נדבכים של הרשת הארגונית, כאשר כל יצרן מטפל באזור מסוים ברשת. התוצאה היא שבארגון אחד יש מגוון מוצרים ויצרנים שונים. באופן כזה, היכולת של מנהל אבטחת המידע לנתח את הלוגים ואת האירועים הקריטיים מוגבלת.
בהקשר זה, חברת Palo Alto Networks (פאלו אלטו) מציגה פתרונות הגנה אינטגרטיביים ומתקדמים בחלקיה השונים של הרשת הארגונית, והם:
• Perimeter (שער הארגון לאינטרנט) והסניפים.
• חוות השרתים.
• תחנות הקצה.
WildFire – שירות הגנה על מתקפות – Zero Day Attack
פאלו אלטו פיתחה טכנולוגיה מתקדמת לזיהוי איומים חדשים בשם WildFire, אשר משתמשת ב-Sand-Box לזיהוי מתקפות. מנהל האבטחה קובע איזה קבצים ישלחו לבדיקה בענן של פאלו אלטו. הקבצים מורצים במערכות ווירטואליות לבדיקה האם הם קבצי התקפה או קבצים תמימים. במידה ומתגלה שהקובץ נגוע, פאלו אלטו בונה חתימה ומעדכנת את כל האפליינסים של פאלו אלטו בעולם. כך נוצרת מעין רשת חברתית, חובקת עולם, להגנה מפני התקפות Zero day.
Perimeter – הגנה בשער הארגון
לפאלו אלטו סידרת מוצרים בדגמים שונים להגנה מקסימלית על כל גודל ארגון. המוצר של פאלו אלטו מתבסס על טכנולוגיה מתקדמת של Next Generation Firewall וכולל חומרה ייעודית וחזקה להרצת מנועי ההגנה השונים.
המוצר מגן על הארגון במספר שכבות הגנה כשהשכבה הראשונה היא צמצום האפליקציות שיכנסו לארגון. כידוע לא מעט אפליקציות משמשות פלטפורמה לאיומים והתקפות האקרים. צמצום האפליקציות המסוכנות שיכנסו לארגון (לפי בחירה) יצמצם את פוטנציאל האיום. בשכבה השנייה, חסימת אתרים לא מורשים תסנן גם היא את פוטנציאל ההתקפה על הארגון. לאפליקציות שיכנסו לארגון יופעלו מנועי סינון תוכן מבוססי חתימות וינטרלו וירוסים ומתקפות שיש להם חתימה. הנדבך האחרון הוא מנוע ה-WildFire שמסנן איומים חדשים ללא חתימה.
הגנה על הדטה סנטר בחוות השרתים
פאלו אלטו מתמחה בהגנה על השרתים ברשת הארגונית. התפיסה של החברה עומדת על הפרדה בין חוות השרתים ובין המשתמשים. כל פעולה בין תחנת העבודה לשרתים עוברת בחינה של פלטפורמת ההגנה של פאלו אלטו וכדי לאפשר קבלת סינון תוכן ונטרול איומים.
הגנה על תחנות הקצה – End Point Security
הרכיב האחרון בשרשרת שנדרש להגנה על הארגון הוא תחנות הקצה. תחנות קצה מקבלות מידע מחוץ לארגון (שם נמצאה פאלו אלטו להגן עליו) אולם הן עדיין יכולות להריץ קבצים מה-CD או DoK. לטיפול בנושא זה פאלו אלטו מציגה אתTraps אשר מתבסס על תפישה ייחודית.
מניתוחים שביצעה החברה על איומים בתחנות הקצה התברר ללא ספק שכל ההתקפות בווריאציות השונות מתחלקות לכ-20 משפחות שונות וביחד כ-80-90 התקפות המנצלות פרצות ספציפיות במערכות ההפעלה והאפליקציות. ה-Traps, כשמו כן הוא, מניח "מלכודות" בפרצות אלו וממתין לראות מיהם הקבצים שמנסים לפנות לפרצות אלו. במידה וקובץ פונה לאחד מחורי הפריצה הללו המוצר מזהה את הפעילות ומיד חוסם את הקובץ מלרוץ בתחנה. במקביל, הפתרון כמובן מעדכן גם את מנהל האבטחה בארגון.
הפלטפורמה של פאלו אלטו משלבת בין בכל הרכיבים שהוזכרו לעיל. כבר היום האפליינסים גם ב- Perimeter וגם בחוות השרתים פונים לבדיקות ב-WildFire כדי לראות אם הקובץ חשוד כנגוע או לא. פעילות זהה מבצע Traps כאשר קובץ המבקש לרוץ בתחנה נבדק על ידי המוצר כדי לראות יש לו חתימה הידועה ב-WildFire ואם כן הוא מיד יחסם. היתרון של Traps על מוצרים אחרים הוא ברור. המוצר אינו דורש משאבי CPU וזיכרון מהתחנה, אינו סורק את הדיסק והוא "רזה" מאוד.
לסיכום, אנו רואים תפישה מערכתית מקצה לקצה של פאלו אלטו לזיהוי וניטרול איומים שונים כולל איומי סייבר בכל אחד מנבכי הרשת. הרכיבים מדווחים אחת לשני ויש קשר ועבודה משותפת להגנה מקסימלית על הארגון.