Palo Alto Networks ผู้ให้บริการแพลทฟอร์มด้านความมั่นคงปลอดภัยชั้นนำของโลก ประกาศเปิดตัว “Traps” ระบบ Advanced Endpoint Protection ครั้งแรกในประเทศไทย เน้นป้องกันภัยคุกคามระดับสูงที่มุ่งโจมตีอุปกรณ์ปลายทาง เช่น เซิร์ฟเวอร์ PC หรือโน๊ตบุ๊ค ไม่ว่าจะเป็น Unknown Malware, Zero-day Exploits และ Ransomware
เปลี่ยนแนวคิดใหม่ บล็อกเทคนิคการโจมตี ไม่ใช่อ้างอิงจากรายการช่องโหว่เพียงอย่างเดียว
เทคนิคการโจมตีของ Unknown Threats หรือ Zero-day Exploits ในปัจจุบันมักแบ่งออกเป็น 6 เฟสหลักๆ คือ
- Reconnaissance – ลาดตระเวนหาเหยื่อที่ต้องการโจมตี และสอดส่องดูข้อมูลเบื้องต้น
- Weaponization and Delivery – เลือกวิธีการโจมตีและหลอกล่อเป้าหมายให้เข้ามายังไซต์ของตน เพื่อติดตั้ง Exploit Kits
- Exploitation – ค้นหาช่องโหว่ของเป้าหมาย แล้วทำการเจาะระบบเข้าไป
- Installation – ติดตั้งมัลแวร์ลงบนเครื่องของเป้าหมาย
- Command-and-Control – มัลแวร์สร้างการเชื่อมต่อกับ C&C Server เพื่อรอรับคำสั่งและส่งข้อมูล
- Actions on the Objective – ขโมยข้อมูลของเป้าหมายออกไป
จุดเด่นของแพลทฟอร์ม Palo Alto คือ ความสามารถในการบล็อกเทคนิคของแฮ็คเกอร์บนทั้ง 6 เฟสนี้ได้ทั้งหมด แทนที่จะใช้แต่การตรวจสอบรูปแบบตามฐานข้อมูลช่องโหว่เพียงอย่างเดียว เนื่องจากการโจมตีแบบต่างๆ ในยุคปัจจุบันมักใช้เทคนิคและแนวคิดคล้ายๆกัน ดังนั้นถ้าบล็อกเทคนิคการโจมตีเหล่านั้นได้อย่างสมบูรณ์ ก็จะสามารถหยุดยั้ง Unknown Threats และ Zero-day Exploits ก่อนจะทำอันตรายต่ออุปกรณ์ได้อย่างทันท่วงที
บล็อกเทคนิคการโจมตีได้ทั้งหมดจริงหรือ
จากตรวจสอบช่องโหว่และการโจมตีใหม่ๆ ในแต่ละปี พบว่ามีประมาณปีละ 1,000 รายการ ซึ่งทั้ง 1,000 รายการนี้ มีการใช้เทคนิคใหม่เพียงปีละ 2 – 4 เทคนิคเท่านั้น ในขณะที่มีมัลแวร์กว่า 1,000,000 รูปแบบ (ซึ่งส่วนใหญ่จะเป็นสายพันธ์ใกล้เคียงกัน) มีการใช้เทคนิคย่อยๆ เพียง 10 เทคนิคต่อปี โดยสรุปแล้ว เทคนิคที่เป็นหัวใจสำคัญของการโจมตีที่แฮ็คเกอร์ใช้จริงในปัจจุบันมีประมาร 24 รูปแบบ ซึ่งแพลทฟอร์ม Palo Alto สามารถบล็อกได้ทั้งหมด
Advanced Endpoint Protection สำหรับป้องกัน Advanced Malware และ Zero-day Exploit โดยเฉพาะ
Palo Alto Traps ถูกออกแบบมาเพื่อให้เป็น Agent สำหรับปกป้องอุปกรณ์ปลายทางจาก Advanced Malware และ Zero-day Exploits โดยเฉพาะ โดยจะเน้นการการตรวจจับและป้องกันเทคนิคของแฮ็คเกอร์บนเฟส Exploitation และ Installation ผู้ดูแลระบบสามารถบริหารจัดการ Agent ทั้งหมดได้ผ่านทาง Endpoint Security Manager (ESM) ซึ่งเป็นระบบแยกต่างหากจาก NGFW
หลักการทำงานของ Palo Alto Traps
เมื่อแอพพลิเคชันเริ่มทำงาน Traps Agent จะฝังตัวเองเข้าไปกับ Application Process โดยที่ผู้ใช้ไม่รู้ตัว เมื่อไฟล์ข้อมูลของแฮ็คเกอร์ที่มี Malicious Code แฝงตัวอยู่ถูกเปิด และ Code เริ่มรันตัวเองเพื่อโจมตีแอพพลิคเชันผ่านช่องโหว่ Traps Protection Module จะทำการบล็อกเทคนิคการโจมตีนั้นๆ ทำให้การแฮ็คไร้ผลไป หลังจากนั้น Traps Agent จะจัดการทำลาย Process ทิ้งไป เก็บข้อมูลทั้งหมดสำหรับทำ Data Forensics และรายงานเหตุการณ์ที่เกิดขึ้นแก่ IT Admin
นอกจากนี้ Traps ยังอาศัยเทคนิคอื่นๆ ในการป้องกันการเจาะระบบของอุปกรณ์คอมพิวเตอร์ด้วยเช่นกัน ไม่ว่าจะเป็น Malware Prevention Capabilities, Threat Intelligence Sharing และ Application Execution Control เป็นต้น ซึ่งช่วยให้ Traps สามารถระบุและตรวจจับภัยคุกคามที่อาจส่งผลกระทบต่ออุปกรณ์ได้อย่างรวดเร็วและแม่นยำ
ปิดท้ายด้วยรูปทีมงานของ Palo Alto Thailand ครับ (คนเยอะมาก)
รายละเอียดเพิ่มเติม: https://www.paloaltonetworks.com/products/secure-the-endpoint/traps