Palo Alto Traps ระบบป้องกัน Endpoint ระดับสูง

palo_alto_logo

Palo Alto Networks ผู้ให้บริการไฟร์วอลล์แบบ Next-Generation ชั้นนำของโลก ได้นำเสนอโซลูชันใหม่ล่าสุดสำหรับปกป้องเครื่องลูกข่าย (Endpoint Protection) เรียกว่า Palo Alto Traps โดยมีจุดเด่น คือ ป้องกันอุปกรณ์จากการโจมตีช่องโหว่และมัลแวร์แบบ Zero-day ได้อย่างมีประสิทธิภาพ

เทคนิคใหม่ในการตรวจจับมัลแวร์

ระบบป้องกัน Endpoint สมัยก่อน ใช้วิธีการตรวจสอบแบบ Signature-based หรือพิจารณาจากพฤติกรรมของมัลแวร์ ซึ่งไม่สามารถตรวจจับมัลแวร์รูปแบบใหม่ๆ มัลแวร์ที่ใช้เทคนิคหลบหลีก (Evasion Technique) รวมทั้งมัลแวร์แบบ Zero-day และมีโอกาสเกิด False Positive สูง Palo Alto Traps ได้นำเสนอวิธีการใหม่ที่เน้นตรวจจับและขัดขวางเทคนิคที่แฮ็คเกอร์ใช้เพื่อทำการโจมตี โดยไม่สนว่าจะเป็นการโจมตีหรือเป็นมัลแวร์รูปแบบใด กล่าวคือ ปกติแล้วแฮ็คเกอร์จะใช้กรรมวิธีหลายขั้นตอนในการโจมตีเป้าหมาย อาจจะ 3 หรือ 5 ขั้นตอน Traps จะสร้างชุดการป้องกันแต่ละเทคนิคที่แฮ็คเกอร์ใช้ในแต่ละขั้นตอน เพื่อขัดขวางไม่ให้แฮ็คเกอร์สามารถทำการโจมตีได้สำเร็จ ปัจจุบันนี้ Traps มีชุดป้องกันมากกว่า 20 เทคนิค และสามารถตรวจจับมัลแวร์ที่ฝังบนไฟล์ได้หลากหลายชนิด เช่น PDF, RTF, DOC, PPT, XLS, และอื่นๆ

palo_alto_traps_1

Traps Agent ขนาดเล็กแต่ทรงพลัง

Traps Agent เป็นโปรแกรมขนาดเล็กที่ติดตั้งบนเครื่อง Endpoint โดยจะแอบฝังตัวเองเข้ากับ Process ที่รันอยู่บนเครื่อง เมื่อ Process เหล่านั้นมีแนวโน้มหรือพยายามที่จะทำการโจมตีโดยใช้เทคนิคต่างๆ Traps Agent จะทำการขัดขวาง ทำลาย Process นั้นทิ้ง และแจ้งเตือนผู้ใช้ให้ทราบ รวมทั้งรายงานผลไปยัง Endpoint Security Manager (ESM) อย่างไรก็ตาม Traps Agent กินทรัพยากรของเครื่องน้อยมาก โดยใช้ RAM เฉลี่ยไม่เกิน 40 MB และ CPU เพียง 0.1% เท่านั้น เนื่องจากไม่จำเป็นต้องตรวจสอบและวิเคราะห์พฤติกรรมของมัลแวร์ตลอดเวลาเหมือนระบบป้องกัน Endpoint สมัยก่อน

palo_alto_traps_2

ป้องกันการโจมตีแบบหลายเลเยอร์

เพื่อให้สามารถป้องกันภัยคุกคามได้อย่างมีประสิทธิภาพสูงสุด Palo Alto Traps ได้ถูกออกแบบมาให้ใช้วิธีป้องกันแบบหลายเลเยอร์ ประกอบด้วย

  1. การควบคุมเชิงนโยบาย: บริษัทสามารถกำหนดนโยบายเพื่อควบคุมการรันไฟล์ที่ต้องการได้ เช่น ป้องกันการรันไฟล์บนโฟลเดอร์ tmp ของ Outlook หรือป้องกันการรันไฟล์นามสกุล exe บนไดรฟ์ USB เป็นต้น
  2. ควบคุมการรันไฟล์ขั้นสูง: Traps สามารถกำหนดนโยบายเพื่อควบคุม Child process, Folder, Unsign executables ผ่านทางการควบคุมการรันแอพพลิเคชันหรือ Hash
  3. ทำงานร่วมกับ WildFire: Traps สามารถส่งไฟล์ต้องสงสัยไปตรวจสอบและวิเคราะห์บนระบบคลาวด์ คือ WildFire ซึ่งแชร์ฐานข้อมูลมัลแวร์รูปแบบใหม่ทั่วโลก ทำให้สามารถป้องกันการโจมตีรูปแบบใหม่ที่ปรากฏขึ้นมาได้อย่างรวดเร็วและแม่นยำ
  4. ป้องกันเชิงเทคนิค: Traps ดั้งเดิมสามารถป้องกันการโจมตีโดยอาศัยการขัดขวางขั้นตอนของแฮ็คเกอร์ผ่านทางการตรวจสอบและวิเคราะห์เทคนิคที่แฮ็คเกอร์ใช้ โดยสามารถป้องกันเทคนิคของแฮ็คเกอร์ได้มากกว่า 20 เทคนิค

palo_alto_traps_3

นำเสนอการป้องกันเชิงรุก

Palo Alto Traps มีระบบวิเคราะห์ข้อมูลเชิงดิจิตอล (Forensics) ที่คอยเก็บข้อมูลการโจมตีที่ค้นพบไว้บน Endpoint Security Manager เพื่อที่ผู้ดูแลระบบ IT สามารถตรวจสอบ วิเคราะห์เชิงสถิติ และจัดทำรายงานเพื่อนำไปใช้ปรับแต่งนโยบายรักษาความปลอดภัยของระบบให้ปลอดภัยมากยิ่งขึ้นได้ นอกจากนี้ Traps ยังสามารถแจ้งเตือนมายังผุ้ดูแลระบบเมื่อผู้ใช้พยายามที่จะปิดหรือหยุดการทำงานของ Agent อีกด้วย

เป็น Appliance แยกขาดจากระบบไฟร์วอลล์

Palo Alto Traps สามารถติดตั้งโดยใช้องค์ประกอบหลัก 2 อย่าง คือ Endpoint Security Manager และ Traps Agent โดยแยกขาดจากระบบ Next-generation Firewall โดยสิ้นเชิง

  • Endpoint Security Manager (ESM) เป็น Appliance ทำหน้าที่บริหารจัดการ Trap Agents ไม่ว่าจะเป็นหน้า Dashboard สำหรับติดตามการทำงาน การตั้งค่านโยบาย การจัดเก็บและวิเคราะห์ข้อมูล รวมทั้งจัดทำรายงานให้แก่ผู้ดูแลระบบ นอกจากนี้ ยังสามารถส่งข้อมูลไปยังอุปกรณ์จัดเก็บ Log ภายนอก เช่น SIEM หรือ Syslog ได้ Endpoint Security Manager 1 เครื่องสามารถรองรับการจัดการ Traps Agent ได้สูงสุดถึง 50,000 Agents
  • Traps Agent เป็นโปรแกรมขนาดเล็กเพียง 9 MB ติดตั้งบนเครื่อง Endpoint ระบบปฏิบัติการ Windows เพื่อป้องกันภัยคุกคามรูปแบบต่างๆตามนโยบายที่กำหนดโดย ESM โดยกินทรัพยากรเครื่องน้อยมาก คือ RAM น้อยกว่า 40MB และ CPU เพียง 0.1% เท่านั้น ทำให้มั่นใจได้ว่าประสิทธิภาพการทำงานของเครื่อง Endpoint ไม่ตกลงแน่นอน

palo_alto_traps_4

Palo Alto Traps พร้อมให้ทดสอบและบริการในประเทศไทยประมาณเดือนสิงหาคมนี้ รายละเอียดเพิ่มเติมสามารถสอบถามได้ที่ Palo Alto ประเทศไทย และตัวแทนจำหน่าย

รายละเอียดเพิ่มเติม: https://www.paloaltonetworks.com/products/endpoint-security.html


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

6 เทรนด์ Cybersecurity ปี 2024 โดย Gartner

ในโลกที่ Generative AI เฟื่องฟู การเตรียมความพร้อมด้านความปลอดภัยย่อมต้องพัฒนาอย่างต่อเนื่องเพื่อรับมือความซับซ้อนที่เพิ่มมากขึ้นด้วย Gartner ได้สรุป 6 เทรนด์ด้าน Cybersecurity สำหรับปี 2024 และอนาคตอันใกล้ ติดตามอ่านกันได้ในบทความนี้

Tenable ออกโซลูชันใหม่ Tenable One for OT/IoT

IT ไม่ใช่ช่องทางเดียวที่จะถูกโจมตีได้ แต่ยังมีธุรกิจอีกจำนวนมากที่ต้องพึ่งพาระบบ OT และ IoT ในการปฏิบัติการ ด้วยเหตุนี้เองการรู้จักช่องโหว่ที่เป็นความเสี่ยงจึงเป็นเรื่องสำคัญไม่น้อยไปกว่าระบบ IT ล่าสุด Tenable ผู้เชี่ยวชาญด้านการบริหารจัดการช่องโหว่ได้ขยายความสามารถใหม่ให้แพลตฟอร์ม Tenable One รองรับการบริหารจัดการช่องโหว่สำหรับ …