Paloaltonetworks – Next Generation Firewall อันดับหนึ่งของโลก

PaloaltoNetworks

เป็นผู้ให้บริการโซลูชัน Next-generation Firewall ชั้นนาของโลก และเป็นผู้นาตลาดในด้าน Enterprise Network Firewall จากการจัดอันดับของ Gartner Magic Quadrant โดยถูกจัดให้อยู่ในกลุ่ม “Leader” และเป็นอันดับหนึ่งของโลกติดต่อกันมาเป็นระยะเวลาต่อเนื่องตั้งแต่ปี 2010 จนถึงปัจจุบัน ซึ่งถือเป็นระยะเวลายาวนานกว่า 7 ปีซ้อน

PaloaltoNetworks ถูกออกแบบมาเพื่อตอบโจทย์ความต้องการในการใช้งานระบบ Cloud และ SaaS ในปัจจุบัน รวมไปถึงเพิ่มฟีเจอร์ในการรับมือกับภัยคุกคามระดับสูงที่นับวันจะทวีความรุนแรงขึ้นเรื่อยๆ ไม่ว่าจะเป็นการป้องกัน Sandbox Evasion, การตรวจจับ C&C Server โดยอัตโนมัติ หรือการแชร์ข้อมูล Threat Intelligence เป็นต้น นอกจากนี้ยังเพิ่มคุณสมบัติในการตรวจจกับ Credential Theft Usage/Abuse อีกด้วย โดยสามารถสรุปฟีเจอร์ทั้งหมดได้ ดังนี้

1. ความสามารถด้าน Visibility and Control สาหรับการใช้ SaaS ผ่านทาง Aperture SaaS Security Service
2. ป้องกันการขโมยรหัสผ่านและนา Credential ไปใช้ในทางที่ผิดในทุกวัฏจักรของการโจมตี ตั้งแต่ป้องกันการโจมตีแบบ Brute Force บล็อกการใส่รหัสผ่านบนเว็บไซต์อันตราย ไปจนถึงตรวจจับการแทรกซึมของแฮ็คเกอร์ที่เข้ามาในระบบเครือข่ายผ่านการใช้รหัสผ่านที่ขโมยไป
3. การตรวจจับมัลแวร์ระดับสูง เช่น ระบบ Machine Learning สาหรับตรวจจับการซ่อนตัวของมัลแวร์เมื่ออยู่ใน Sandbox ระบบป้องกันการติดต่อกลับไปยัง C&C Server และการผสาน AutoFocus Contextual Threat Intelligence เข้ากับแอพพลิเคชัน MineMeld เป็นต้น
4. ความสามารถในการบริหารจัดการแบบรวมศูนย์ทั้งอุปกรณ์ Network Security Platform และ Advanced Endpoint Protection
5. ความเร็วในการอัปเดตฐานข้อมูลมัลแวร์และ Phishing ได้ภายใน 5 นาที
6. การเชื่อมต่อ SSL VPN แบบได้โดยไม่ต้องติดตั้งซอฟต์แวร์ใดๆ เพิ่มเติมบนเครื่อง Client

PaloaltoNetworks มีฮาร์ดแวร์ที่เน้นประสิทธิภาพในการประมวลผลทราฟฟิกที่มีการเข้ารหัส SSL ได้แก่ PA-5200 Series, PA-800 Series และ PA-220 ซึ่งมีคุณสมบัติเด่น ดังนี้

PA-5200 Series

สำหรับ ISP หรือ Data Center ที่ต้องการการตรวจจับ SSL สมรรถนะสูง เหมาะสาหรับผู้ใช้งานประมาณ 3,000 – 50,000 users

PA-800 Series

สำหรับองค์กรขนาดกลาง เหมาะสาหรับผู้ใช้งานประมาณ 300 – 500 users

 PA-220 Series

สำหรับองค์กรขนาดเล็กหรือสำนักงานสาขา เหมาะสาหรับผู้ใช้งานประมาณ 75 – 100 users

PaloaltoTraps (Endpoint Protection)

มีจุดเด่น คือ ป้องกันอุปกรณ์จากการโจมตีช่องโหว่และมัลแวร์แบบ Zero-day ได้อย่างมีประสิทธิภาพ

เทคนิคในการตรวจจับมัลแวร์

ระบบป้องกัน Endpoint สมัยก่อน ใช้วิธีการตรวจสอบแบบ Signature-based หรือพิจารณาจากพฤติกรรมของมัลแวร์ ซึ่งไม่สามารถตรวจจับมัลแวร์รูปแบบใหม่ๆ มัลแวร์ที่ใช้เทคนิคหลบหลีก (Evasion Technique) รวมทั้งมัลแวร์แบบ Zero-day และมีโอกาสเกิด False Positive สูง Palo Alto Traps ได้นำเสนอวิธีการใหม่ที่เน้นตรวจจับและขัดขวางเทคนิคที่แฮ็คเกอร์ใช้เพื่อทำการโจมตี โดยไม่สนว่าจะเป็นการโจมตีหรือเป็นมัลแวร์รูปแบบใด กล่าวคือ ปกติแล้วแฮ็คเกอร์จะใช้กรรมวิธีหลายขั้นตอนในการโจมตีเป้าหมาย อาจจะ 3 หรือ 5 ขั้นตอน Traps จะสร้างชุดการป้องกันแต่ละเทคนิคที่แฮ็คเกอร์ใช้ในแต่ละขั้นตอน เพื่อขัดขวางไม่ให้แฮ็คเกอร์สามารถทาการโจมตีได้สาเร็จ ปัจจุบันนี้ Traps มีชุดป้องกันมากกว่า 20 เทคนิค และสามารถตรวจจับมัลแวร์ที่ฝังบนไฟล์ได้หลากหลายชนิด เช่น PDF, RTF, DOC, PPT, XLS, และอื่นๆ

 

Traps Agent ขนาดเล็กแต่ทรงพลัง

Traps Agent เป็นโปรแกรมขนาดเล็กที่ติดตั้งบนเครื่อง Endpoint โดยจะแอบฝังตัวเองเข้ากับ Process ที่รันอยู่บนเครื่อง เมื่อ Process เหล่านั้นมีแนวโน้มหรือพยายามที่จะทาการโจมตีโดยใช้เทคนิคต่างๆ Traps Agent จะทาการขัดขวาง ทาลาย Process นั้นทิ้ง และแจ้งเตือนผู้ใช้ให้ทราบ รวมทั้งรายงานผลไปยัง Endpoint Security Manager (ESM) อย่างไรก็ตาม Traps Agent กินทรัพยากรของเครื่องน้อยมาก โดยใช้ RAM เฉลี่ยไม่เกิน 40 MB และ CPU เพียง 0.1% เท่านั้น เนื่องจากไม่จาเป็นต้องตรวจสอบและวิเคราะห์พฤติกรรมของมัลแวร์ตลอดเวลาเหมือนระบบป้องกัน Endpoint สมัยก่อน

ป้องกันการโจมตีแบบหลายเลเยอร์

เพื่อให้สามารถป้องกันภัยคุกคามได้อย่างมีประสิทธิภาพสูงสุด Palo Alto Traps ได้ถูกออกแบบมาให้ใช้วิธีป้องกันแบบหลายเลเยอร์ ประกอบด้วย

1. การควบคุมเชิงนโยบาย : บริษัทสามารถกาหนดนโยบายเพื่อควบคุมการรันไฟล์ที่ต้องการได้ เช่น ป้องกันการรันไฟล์บนโฟลเดอร์ tmp ของ Outlook หรือป้องกันการรันไฟล์นามสกุล exe บนไดรฟ์ USB เป็นต้น
2. ควบคุมการรันไฟล์ขั้นสูง : Traps สามารถกาหนดนโยบายเพื่อควบคุม Child process, Folder, Unsign executables ผ่านทางการควบคุมการรันแอพพลิเคชันหรือ Hash
3. ทำงานร่วมกับ WildFire : Traps สามารถส่งไฟล์ต้องสงสัยไปตรวจสอบและวิเคราะห์บนระบบคลาวด์ คือ WildFire ซึ่งแชร์ฐานข้อมูลมัลแวร์รูปแบบใหม่ทั่วโลก ทาให้สามารถป้องกันการโจมตีรูปแบบใหม่ที่ปรากฏขึ้นมาได้อย่างรวดเร็วและแม่นยำ
4. ป้องกันเชิงเทคนิค: Traps ดั้งเดิมสามารถป้องกันการโจมตีโดยอาศัยการขัดขวางขั้นตอนของแฮ็คเกอร์ผ่านทางการตรวจสอบและวิเคราะห์เทคนิคที่แฮ็คเกอร์ใช้ โดยสามารถป้องกันเทคนิคของแฮ็คเกอร์ได้มากกว่า 20 เทคนิค

นำเสนอการป้องกันเชิงรุก

PaloaltoTraps มีระบบวิเคราะห์ข้อมูลเชิงดิจิตอล (Forensics) ที่คอยเก็บข้อมูลการโจมตีที่ค้นพบไว้บน Endpoint Security Manager เพื่อที่ผู้ดูแลระบบ IT สามารถตรวจสอบ วิเคราะห์เชิงสถิติ และจัดทารายงานเพื่อนาไปใช้ปรับแต่งนโยบายรักษาความปลอดภัยของระบบให้ปลอดภัยมากยิ่งขึ้นได้ นอกจากนี้ Traps ยังสามารถแจ้งเตือนมายังผุ้ดูแลระบบเมื่อผู้ใช้พยายามที่จะปิดหรือหยุดการทางานของ Agent อีกด้วย

เป็น Appliance แยกขาดจากระบบไฟร์วอลล์

Palo Alto Traps สามารถติดตั้งโดยใช้องค์ประกอบหลัก 2 อย่าง คือ Endpoint Security Manager และ Traps Agent โดยแยกขาดจากระบบ Next-generation Firewall โดยสิ้นเชิง

1. Endpoint Security Manager (ESM) เป็น Appliance ทาหน้าที่บริหารจัดการ Trap Agents ไม่ว่าจะเป็นหน้า Dashboard สาหรับติดตามการทางาน การตั้งค่านโยบาย การจัดเก็บและวิเคราะห์ข้อมูล รวมทั้งจัดทารายงานให้แก่ผู้ดูแลระบบ นอกจากนี้ ยังสามารถส่งข้อมูลไปยังอุปกรณ์จัดเก็บ Log ภายนอก เช่น SIEM หรือ Syslog ได้ Endpoint Security Manager 1 เครื่องสามารถรองรับการจัดการ Traps Agent ได้สูงสุดถึง 50,000 Agents
2. Traps Agent เป็นโปรแกรมขนาดเล็กเพียง 9 MB ติดตั้งบนเครื่อง Endpoint ระบบปฏิบัติการ Windows เพื่อป้องกันภัยคุกคามรูปแบบต่างๆตามนโยบายที่กาหนดโดย ESM โดยกินทรัพยากรเครื่องน้อยมาก คือ RAM น้อยกว่า 40MB และ CPU เพียง 0.1% เท่านั้น ทาให้มั่นใจได้ว่าประสิทธิภาพการทางานของเครื่อง Endpoint ไม่ตกลงแน่นอน