הכירו את פלטפורמת אבטחת המידע של פאלו אלטו
כתב: רוני דוקט, מהנדס מערכת בפאלו אלטו (Palo Alto Networks)
הפלטפורמה המוצעת על ידי פאלו אלטו הינה דוגמה מצוינת למשהו אשר עולה על סכום מרכיביו.
פלטפורמת אבטחת המידע של Palo Alto Networks מורכבת משלושה רכיבים:
● Next Generation Firewall.
● Next Generation Endpoint.
● Next Generation Threat Cloud.
הפלטפורמה המוצעת על ידי פאלו אלטו הינה דוגמה מצוינת למשהו אשר עולה עולה על סכום חלקיו. ה-Next Generation Firewall כבר ידוע שנים בפסגת טכנולוגית Network Security. ה-Next Generation Endpoint המבוסס על רכישת סייברה (Cyvera) הישראלית הינו המנגנון היעיל ביותר כיום לעצירה מלאה של Ransomwares.
אליהם מצטרף ענן ניתוח האיומים, אשר מהווה הנדבך הנוסף ומשמש לעצירת איומים מתקדמים ביותר. מבוסס בין השאר על מערכת Sandbox Security אשר במקור פותחה כדי לסייע פנימית לחברה לבצע בדיקות שפיות ל-samples של malwares אשר נאספים באופן שוטף לצורך בנית בסיס נתונים עבור מודולי ה-IPS והאנטי וירוס של החברה.
ענן ניתוח איומים זה, או בסלנג המקצועי – Wildfire – ניתן ליישום באחד משני אופנים:
● בענן ציבורי של פאלו אלטו, במסגרתו ה-FW אשר יושב ברשת הלקוח שולח (על פי הגדרות החוקה) את הקובץ לענן לבדיקה.
● באמצעות מכונת WF-500 אשר הינו Appliance ייעודי אשר מבצע את בדיקת ה-Sandbox בתוך רשת הלקוח.
השוני המהותי באופן הפעולה של Wildfire בהשוואה לפתרונות Sandbox מתחרים, הינו שאנו איננו מסתפקים בהתראה על כך שקובץ זוהה כ-Malware. לדעתנו זוהי רק חצי הדרך ונדרשת למעשה דרך פרקטית לחסום את ה-Malware, ולא רק להתריע על נוכחותו.
ללמוד באופן אקטיבי איומי יום אפס
מערכת Wildfire, בין אם בענן או אם באמצעות ה-WF-500, לאחר זיהוי קובץ כ-Malware – מייצרת באופן אוטומטי וממוכן חתימות על פי התנהגותו למנועים השונים אשר רצים על ה-FW של Palo Alto Networks. בצורה הזאת, מספר דקות לאחר ביצוע הבדיקה, יודע ה-FW לזהות ולחסום באופן אקטיבי את ההתנהגות של ה-Malware, על בסיס פרופיל ההתנהגות הייעודי שלו.
זוהי למעשה המערכת היחידה בעולם ה-Network Security כיום אשר יודעת ללמוד באופן אקטיבי איומי יום אפס (Zero Day) ולעדכן בצורה אוטומטית את מנועי ה-IPS ,Anti-Virus ,Anti-Malware ו-URL Filter.
לדעתנו זוהי תמצית היכולות של פאלו אלטו, הרבה מעבר להיותנו IPS מעולה, Anti-Virus Gateway מעולה (והמהיר ביותר הקיים) וכו' וכו'. בצורה דומה מתבצעת תקשורת גם בין רכיב ה-Endopint אל wildfire ומאפשרת זיהוי וחסימה כמעט בזמן אמת של איומים שלא נראו בשום מקום אחר.
בניתוח היכולות של Modern Malwares אל מול יכולות ה-Network Security הסטנדרטיים, כגון IPS עצמאי הטוב בתחומו, Anti-Virus עצמאי הטוב בתחומו, FW עצמאי הטוב בתחומו וכו' וכו' – הרי שהטכנולוגיות הללו אינן מספקות כמעט כלל כל יכולת הגנה מפניהם.
פאלו אלטו, תוך שימוש בפלטפורמה שלה – מספקת את הפתרון הטוב ביותר, ולמעשה הפתרון היחיד אשר מסוגל להתמודד עם איומי Zero Day,APT’s באופן פרקטי.
שונה באופן מהותי מהפתרונות המתחרים
יש לציין כי יכולות הבסיס של Palo Alto Networks הינם שונים באופן מהותי מהפתרונות המתחרים באופן הפעולה הבסיסי של ה-Layer-7 FW שלה. זוהי למעשה המערכת היחידה אשר מבצעת Layer-7 FW באופן אינהרנטי, ולא כ-"תוספת" ל-Layer-4 FW.
די בדוגמה של האם ניתן לאפשר שימוש ב-MS-Lync לביצוע וידיאו, אודיו, צ'אט לכל המשתמשים, ולאפשר לאוכלוסית משתמשים מסוימת גם שימוש ביכולות ה-File Transfer של MS-Lync לסוגי קבצים מסויימים, לסרוק אותם לוירוסים ולחפש בהם מילות קוד מסוימות – כדי לעמוד על ההבדל המהותי ביכולות.
הדוגמה הזו אינה אפשרית כלל בשום UTM או Legacy FW, ולא משנה איזה מודולים, בליידים וכו' נוסיף לו – היא אפשרית אך ורק ב-Palo Alto Networks.
יתירה מכך, כלל יצרני ה-Network Security כיום ממוקדים כולם ככללם בטיפול בווקטורים של Web ואימייל. פאלו אלטו הינה הפתרון היחיד אשר מסוגלת לבצע את כל יכולותיה על כלל הפרוטוקולים ברשת, ללא קשר לאיזה Port נעשה בהם שימוש, האם התעבורה מוצפנת וכו'. כדוגמה, האם האנטי-וירוס שלכם, ה-DLP וכו', יכולים לסרוק גם תעבורת FTP או MS-File-Transfer?
יש לציין שעוד לפני מנגנון ה-Wildfire – Sandbox, פאלו אלטו הינו ה-FW היחיד בעולם שמבצע Layer-7 FW באמת. לדוגמה – ההגדרה של DNS תהיה permit dns ולא permit port 53, ולכן טכניקות של malwares להוצאת מידע החוצה כדוגמת ssh tunnel בתוך פורט 53 – לא יעבדו – אולם זה דורש קונפיגורציה מתאימה ותואמת ב-FWים השונים ברשת. לכן מנגנון ה-Wildfire מתבטא ברוב עוצמתו בסינרגיה עם ה-FW של פאלו אלטו, הרבה יותר מאשר הרצתו כרכיב יחיד ברשת.