WildFire: analisi dinamica per identificare e bloccare le minacce sconosciute

Gli attacchi informatici avanzati utilizzano metodi furtivi e persistenti per eludere le misure di sicurezza tradizionali. L'odierno scenario delle minacce spinge i team di sicurezza a rivalutare i tradizionali sistemi di prevenzione delle intrusioni, soluzioni antivirus e appliance sandbox non integrate perché non sono più in grado di proteggere dalle APT, ovvero le minacce avanzate persistenti. 

WildFire è in grado di identificare il malware sconosciuto, gli exploit zero-day e le APT eseguendoli direttamente in un ambiente sandbox virtuale scalabile basato su cloud. WildFire crea e diffonde la protezione praticamente in tempo reale per aiutare i team che si occupano di sicurezza a sconfiggere gli attacchi informatici avanzati.

Estendendo la piattaforma firewall di nuova generazione in grado di classificare nativamente tutto il traffico proveniente da quasi 400 applicazioni, WildFire applica univocamente queste analisi comportamentali indipendentemente dalle porte o dal metodo di crittografia utilizzati e include visibilità completa di elementi quali traffico web, protocolli e-mail (SMTP, IMAP, POP), FTP e SMB.

Scopri di più sulla funzionalità di prevenzione delle APT.

Scheda tecnica di WildFire

Sfrutta il potere del cloud contro le minacce sconosciute

Per supportare analisi di malware dinamiche nell'ambito dell'intera rete, WildFire è stato sviluppato con un'architettura basata su cloud che può essere sfruttata dal firewall Palo Alto Networks di nuova generazione esistente, senza richiedere ulteriore hardware. Il cloud di WildFire può essere pubblico (impostazione predefinita) o privato (distribuito in locale in un appliance WF-500).

Indipendentemente dal cloud utilizzato (che sia pubblico o privato), l'architettura di WildFire è stata progettata specificamente per soddisfare le richieste di analisi di un elevato numero di contenuti potenzialmente dannosi. Con WildFire, l'ambiente di analisi del malware virtuale viene condiviso con tutti i firewall, a differenza della distribuzione di hardware a uso singolo a livello di ogni punto di ingresso/uscita e punto di presenza della rete. Questo approccio garantisce la massima condivisione delle informazioni sulle minacce, riducendo al minimo i requisiti hardware dell'attività.

Proteggi gli utenti e blocca gli attacchi, automaticamente

Il rilevamento di una minaccia rappresenta sempre il primo passo, ma il vero valore di WildFire risiede nella protezione di utenti e rete. Quando viene rilevata una minaccia sconosciuta, WildFire attiva automaticamente la protezione per bloccare la diffusione di tale minaccia nell'ambito della catena informatica, condividendo gli aggiornamenti con tutti gli abbonati dislocati ovunque nel mondo nel giro di soli 30 minuti. Grazie a questi aggiornamenti tempestivi, è possibile arrestare la rapida diffusione del malware, nonché identificare e bloccare la proliferazione di tutte le varianti future senza dover intraprendere altre azioni o eseguire ulteriori analisi.

Oltre a offrire protezione da file insidiosi e nocivi, le analisi di WildFire controllano dettagliatamente le comunicazioni dannose in uscita, interrompendo le attività di comando-controllo con firme anti-C2 e firme callback basate su DNS. Le informazioni vengono inoltre inviate al database PAN-DB, in cui gli URL dannosi rilevati vengono bloccati automaticamente. Questa correlazione di dati e protezioni in linea sono fondamentali per identificare e bloccare le continue intrusioni e gli attacchi futuri in una rete.

 

Correlazione e reportistica

Gli utenti di WildFire possono contare su funzionalità di registrazione, analisi e visibilità negli eventi di WildFire direttamente nell'interfaccia di gestione di Palo Alto Networks, in Panorama o nel portale di WildFire, consentendo ai team di analizzare e correlare rapidamente gli eventi osservati nelle reti. In questo modo, il personale addetto alla sicurezza potrà individuare rapidamente i dati necessari per effettuare investigazioni tempestive e risolvere i problemi, ad esempio indicatori di compromissione basati su host e reti, nonché rendere tali dati fruibili tramite query dei registri o firme personalizzate.

Le informazioni ottenute permettono di conoscere in modo approfondito i comportamenti dannosi, tra cui:

  • Azioni nocive
  • Domini visitati dal campione di utenti
  • File creati
  • Voci di registro interessate

2014 CyberEdge Threat Defense Report

How does your Cybersecurity strategy
stack up?









 

CHAT
Domande?
Discutine con chi può darti le risposte.
Avvia la chat