針對端點可疑的滲透攻擊偵測,以提供次世代防火牆聞名的Palo Alto,推出Traps Advanced Endpoint Protection(以下簡稱Traps系統),聲稱產品著重於偵測攻擊時使用的核心技術,藉此可阻斷滲透攻擊與惡意程式運作,甚至可以取代一般防毒軟體的功能。
想要部署Traps系統,用戶需要建置Endpoint Security Manager(ESM)平臺,有別於多數同類型的產品只以一臺伺服器主機部署,ESM平臺是由2種伺服器所組成:ESM Console管理主機、ESM Server資料收集伺服器。前者提供政策管理、監控端點狀態,後者則是連接端點電腦與其他元件,例如:WildFire雲端惡意軟體分析服務、存放記錄之用的資料庫等。
由於採用管理伺服器與資料收集伺服器分離架構,因此一旦端點電腦超過ESM Server能負荷的數量時,企業只需橫向擴充、增加ESM Server即可,而在這樣的機制下,企業也能採用兩臺ESM Server,做為彼此備援形式架設。
不過,有別於許多端點偵防產品,著重於協助管理者找到問題源頭,Traps比較偏重單一端點阻擋的策略,因此在這款產品上,大多數的設定功能都以單一端點為主,不像其他防毒廠商的產品都提供了攻擊鏈分析的機制。
儀表板提供端點、使用者帳號、應用程式的統計資訊,彙整在企業內部會較容易遭鎖定的目標
在Traps系統的儀表板中,系統提供6大指標圖表,包含4項端點運作指標,以及最需要關注的使用者帳號和應用程式統計資訊,後兩者在其他同類型的產品中,較少會在儀表板中提供這兩種類型的內容。而在Traps系統,則能同時快速掌握端點、使用者與應用程式等3個方面的資訊。
而與端點有關的指標,包含:最需要關注的電腦、運作狀態統計、代理程式的軟體版本分布,以及端點類型與可用授權。其中,運作狀態在電腦開機執行之外,可呈現關機、長時間沒有連線、代理程式未正常運作等資訊,因此管理者能夠藉此得知並未受到保護的電腦。
值得一提的是,由於Traps提供了最需要關注的使用者帳號和應用程式排行,於是管理者也可以知道入侵者鎖定的使用者帳號,以及特定可疑行為的軟體,在追查滲透攻擊時,便能縮小搜查的範圍。
以6大指標呈現整體狀態的儀表板
有別於許多同類型的產品,Palo Alto Traps Advanced Endpoint Protection透過6個圖形呈現其運作情形,其中在端點電腦的4種指標外,更提供了發生最多可疑行為的使用者帳號,以及最常用來執行違規行為的應用程式統計。
具備豐富的管理機制,並可限制應用程式的執行方式,阻擋有心人士攻擊
從管理介面的主要功能分類來看,Traps系統提供了事件記錄、政策設定、系統狀態監控3個部分。在事件記錄中,可區分為所有威脅、主動攔截與警示事件等檢視方式,基本上,由於許多事件已由系統依據相關行為條件主動攔截,大致上管理者就能針對警示事件的部分,加以確認,採取進一步的措施,包含檢視透過WildFire雲端服務所提供的分析報告,與檔案雜湊控管清單等,也可藉此事件建立新的規則,或是從端點截取相關的資料,再做分析。
而政策的管理介面中,則是針對漏洞攻擊與惡意軟體兩大類型,提供相關的管制設定。在漏洞攻擊的部分,管理者可對於特定的執行緒,制訂詳細的漏洞防護模組(Exploit Protection Modules,EPM)啟動的規則,這些包含資料執行防護(DEP)、DLL安全性防護等,一共多達17個模組可供選用,能夠調整的功能相當多。
在EPM之外,Traps對於漏洞攻擊防護的機制中,特別將端點的處理程序加以管理,這個功能是依據檔案名稱為依據,在系統提供的清單之中,會列出已偵測出具有相同處理程序的端點電腦、對應EPM規則數量,以及系統對其預設防護型態等。
對於惡意軟體的部分,Traps也提供專用的防護模組Malware Protection Modules(MPM),主要是針對惡意軟體可能會執行的行為,提供阻斷機制。此外,管理者可限制特定的執行緒運作的方式,例如,對於微軟的文書軟體Word主程式(WINWORD.EXE),禁止透過它執行的子應用程序措施,這樣一來,可避免攻擊者利用這套文書軟體,偷偷觸發與Word運作無關的惡意程式。
此外,對於大多數的端點偵防系統而言,都具有監控端點電腦的機制,Traps也有同樣的功能。但相反地,針對ESM Server的狀態,這套系統一樣擁有監控機制,因此,管理者就能在這裡同時檢視ESM Server與端點的運作狀態,算是相當不錯,如果企業擁有多臺ESM Server,就能在此集中管理。
Traps Advanced Endpoint Protection
特色總覽
在Palo Alto進階端點防護系統中,管理者可依據事件記錄類型、政策觸發、端點狀態等3大面向,進行調查,藉此找出問題發生的起始點。
依據威脅種類列出可疑事件記錄
在Traps的事件通知功能中,主要以系統已經執行攔截,與只發出警示訊息等兩大類型。兩種事件各別細分為漏洞攻擊、惡意軟體,以及依據政策限制的行為等項目,其中,攔截的方式,又區分為基本政策、預先偵測,以及WildFire雲端服務情資的規則。管理者便能依據類型,尋找特定的可疑事件。
包含攻擊手法與預測機制的政策設定
在執行政策方面,Traps仍是以漏洞、惡意中軟體為主,並且提供預測的部分。雖然政策以條列清單呈現,但點選之後就能看到較為詳細的資訊,包含啟用與否、適用的端點電腦群組、套用後端點會採取的限制功能等。
從列管端點清單瀏覽個別電腦狀態
在系統運作狀態的好壞而言,Traps不只能監控列管端點電腦,也提供ESM伺服器本身的資訊,以供調閱。而對於端點的可疑行為記錄收集上,這套系統可顯示電腦的狀態,包含系統的基本資訊(電腦名稱、IP位址、網域名稱、作業系統版本,以及代理程式的版本等)、登入時間、近期執行的記錄摘要等內容。
產品資訊
Traps Advanced Endpoint Protection
● 原廠:Palo Alto(02)7736-7358
● 建議售價:ESM為1,334,000元(未稅),端點部分,每伺服器每年為29,900元(未稅),每工作站每年7,500元(未稅),最低端點數量為2百臺
● 伺服器部署形式:軟體部署
● 管理功能:端點AD整合、報表輸出、警示通知
● 政策設定:漏洞與惡意軟體阻擋規則、處理程序管制
● 支援端點平臺:Windows XP、Windows 7~10、Windows Server
【註:規格與價格由廠商提供,因時有異動,正確資訊請洽廠商。】