Защиты от всех угроз – как известных, так и неизвестных. Технологии Content-ID™ и Wildfire™

Безопасная работа приложений означает разрешение доступа к определенным приложениям и применение определенных политик в целях блокировки известных уязвимостей, известного или неизвестного вредоносного и шпионского ПО, контроль передачи файлов и данных, а также пользования Интернетом. Наиболее распространенные тактики маскировки угроз, включая переключение между портами и туннелирование, нейтрализуются путем реализации политики предупреждения угроз с использованием контекста приложений и протоколов, который генерируется декодерами в App-ID.

Решения, основанные на концепции унифицированного управления защитой от угроз (UTM), напротив, используют разрозненный подход к предотвращению угроз, в рамках которого отдельные функции, межсетевые экраны, системы предотвращения вторжений, антивирусы, фильтры URL-адресов и сканеры трафика работают без обмена контекстом, что делает их более уязвимыми перед попытками обхода защиты.

Межсетевые экраны Palo Alto Networks позволяют:

Блокировать известные угрозы благодаря встроенным системам обнаружения вторжений (IPS), Network Antivirus, AntiSpyware;
Блокирование неизвестного и целенаправленного вредоносного ПО. Технология WildFire;
Идентифицировать хосты, зараженные ботами;
Ограничивать несанкционированную передачу файлов и данных;
Осуществлять контроль пользования интернетом.

Блокирование известных угроз

Системы предотвращения вторжений и сетевые средства защиты от шпионского ПО. Единый формат сигнатур и система потокового сканирования позволяют защитить вашу сеть от широкого спектра угроз.
Система предотвращения вторжений (IPS) нейтрализует угрозы, связанные с блокированием сети и использованием уязвимостей на уровне приложений, переполнением буфера, DoS-атаками и сканированием портов. Механизмы IPS включают:

Декодирование и анализ протоколов;
Определение аномалий протоколов;
Статистический анализ аномалий;
Блокирование «битых» пакетов;
Проверка протокола на соответствие шаблону поведения;
Эвристический анализ;
Восстановление дефрагментированных пакетов IP;
Проверка трафика на сигнатуры угроз.

Сетевой антивирус и средство защиты от шпионского ПО блокируют миллионы вариантов вредоносных программ, а также генерируемый вредоносными программами трафик команд и контроля, вирусы в PDF-файлах и вредоносные программы, скрытые в сжатых файлах или веб-трафике (сжатый HTTP/HTTPS). Сигнатурная проверка антивируса, осуществляемая одновременно со всеми остальными операциями межсетевого экрана, дает значительный выигрыш в пропускной способности устройства по сравнению с прокси-антивирусами.

Реализуемая на основе политик безопасности расшифровка SSL для всех приложений и портов обеспечивает защиту от вредоносных программ, осуществляющих доступ через приложения, использующие защищенный протокол SSL.

Блокирование неизвестного и целенаправленного вредоносного ПО. Технология Wildfire™

Подробнее о технологии Wildfire

Технология WildFire выявляет и анализирует неизвестное или целенаправленное вредоносное ПО путем прямого запуска неопознанных файлов в виртуальной облачной среде «песочница». WildFire осуществляет мониторинг на предмет более 100 видов вредоносного поведения, а результаты немедленно доводятся до сведения администратора в форме экстренных уведомлений.

Предлагающаяся отдельно подписка на WildFire обеспечивает усиленную защиту, ведение журналов и формирование отчетов. Как подписчик, вы получаете защиту в течение часа после обнаружения новой вредоносной программы в любой точке мира, что позволяет эффективно блокировать распространение новых вредоносных программ, прежде чем они нанесут вам вред. Как подписчик, вы также получаете доступ к интегрированным в WildFire инструментам ведения журналов и формирования отчетности, а также программному интерфейсу для отправки образцов в облако WildFire для анализа.

Идентификация хостов, зараженных ботами

Подробнее об идентификации хостов, зараженных ботами

App-ID классифицирует все приложения на всех портах, включая весь неизвестный трафик, который зачастую может представлять собой опасность сбоев или угроз для вашей сети. Отчет о признаках ботнет-поведения анализирует неизвестный трафик, подозрительные запросы к DNS и URL-адресов, а также различное необычное поведение в сети в целях выявления устройств, которые могут быть заражены вредоносными программами. Результаты анализа отображаются в виде списка потенциально зараженных хостов, которые могут являться участниками ботнета.

Ограничение несанкционированной передачи файлов и данных

Подробнее о фильтрации передаваемых данных

Функции фильтрации данных позволяют администраторам реализовывать политики, которые снизят риски, связанные с несанкционированной передачей файлов и данных. Операции передачи файлов контролируются путем анализа содержимого файла (в отличие от анализа только расширения файла). По результатам анализа принимается решение, следует ли разрешать передачу файла. При этом может блокироваться загрузка исполняемых файлов (которые обычно загружаются с использованием различных средств маскировки), что позволяет защитить сеть от скрытого распространения вредоносных программ.

Функции фильтрации данных позволяют обнаруживать содержимое, соответствующее шаблонам конфиденциальных данных (номеров кредитных карт и социального страхования; например, номер кредитной карты – 4 группы по 4 цифры), и управлять его передачей.

Контроль пользования интернетом

Подробнее о контроле пользования интернетом

Полностью интегрированная настраиваемая система фильтрации по URL-адресам позволяет администраторам применять точечные политики в отношении использования веб-ресурсов, дополняющие политики мониторинга трафика приложений и управления им, а также защищающие организацию от всех возможных рисков нарушения требований законодательства, несоблюдения нормативных требований и снижения производительности.

Кроме того, в политику безопасности могут быть интегрированы категории URL-адресов, что позволяет точнее управлять расшифровкой SSL (например, «не расшифровывает трафик к сайтам финансовых услуг», но «расшифровывать трафик к блог-сайтам»), качеством обслуживания или другими правилами.

Полностью интегрированная в межсетевой экран база из 20 миллионов URL, разделенных на 76 категорий, позволяет администратору точно применять политики доступа к web-ресурсам. В локальной базе URL также могут создаваться пользовательские категории. База может быть дополнена внешней динамической базой URL в 180 миллионов URL и локальным кэшем на 1 миллион адресов.