TechTalkThai ศูนย์รวมข่าว Enterprise IT ออนไลน์แห่งแรกในประเทศไทย
Palo Alto Networks ผู้ให้บริการไฟร์วอลล์แบบ Next-Generation ชั้นนำของโลก ได้นำเสนอโซลูชันใหม่ล่าสุดสำหรับปกป้องเครื่องลูกข่าย (Endpoint Protection) เรียกว่า Palo Alto Traps โดยมีจุดเด่น คือ ป้องกันอุปกรณ์จากการโจมตีช่องโหว่และมัลแวร์แบบ Zero-day ได้อย่างมีประสิทธิภาพ
เทคนิคใหม่ในการตรวจจับมัลแวร์
ระบบป้องกัน Endpoint สมัยก่อน ใช้วิธีการตรวจสอบแบบ Signature-based หรือพิจารณาจากพฤติกรรมของมัลแวร์ ซึ่งไม่สามารถตรวจจับมัลแวร์รูปแบบใหม่ๆ มัลแวร์ที่ใช้เทคนิคหลบหลีก (Evasion Technique) รวมทั้งมัลแวร์แบบ Zero-day และมีโอกาสเกิด False Positive สูง Palo Alto Traps ได้นำเสนอวิธีการใหม่ที่เน้นตรวจจับและขัดขวางเทคนิคที่แฮ็คเกอร์ใช้เพื่อทำการโจมตี โดยไม่สนว่าจะเป็นการโจมตีหรือเป็นมัลแวร์รูปแบบใด กล่าวคือ ปกติแล้วแฮ็คเกอร์จะใช้กรรมวิธีหลายขั้นตอนในการโจมตีเป้าหมาย อาจจะ 3 หรือ 5 ขั้นตอน Traps จะสร้างชุดการป้องกันแต่ละเทคนิคที่แฮ็คเกอร์ใช้ในแต่ละขั้นตอน เพื่อขัดขวางไม่ให้แฮ็คเกอร์สามารถทำการโจมตีได้สำเร็จ ปัจจุบันนี้ Traps มีชุดป้องกันมากกว่า 20 เทคนิค และสามารถตรวจจับมัลแวร์ที่ฝังบนไฟล์ได้หลากหลายชนิด เช่น PDF, RTF, DOC, PPT, XLS, และอื่นๆ
Traps Agent ขนาดเล็กแต่ทรงพลัง
Traps Agent เป็นโปรแกรมขนาดเล็กที่ติดตั้งบนเครื่อง Endpoint โดยจะแอบฝังตัวเองเข้ากับ Process ที่รันอยู่บนเครื่อง เมื่อ Process เหล่านั้นมีแนวโน้มหรือพยายามที่จะทำการโจมตีโดยใช้เทคนิคต่างๆ Traps Agent จะทำการขัดขวาง ทำลาย Process นั้นทิ้ง และแจ้งเตือนผู้ใช้ให้ทราบ รวมทั้งรายงานผลไปยัง Endpoint Security Manager (ESM) อย่างไรก็ตาม Traps Agent กินทรัพยากรของเครื่องน้อยมาก โดยใช้ RAM เฉลี่ยไม่เกิน 40 MB และ CPU เพียง 0.1% เท่านั้น เนื่องจากไม่จำเป็นต้องตรวจสอบและวิเคราะห์พฤติกรรมของมัลแวร์ตลอดเวลาเหมือนระบบป้องกัน Endpoint สมัยก่อน
ป้องกันการโจมตีแบบหลายเลเยอร์
เพื่อให้สามารถป้องกันภัยคุกคามได้อย่างมีประสิทธิภาพสูงสุด Palo Alto Traps ได้ถูกออกแบบมาให้ใช้วิธีป้องกันแบบหลายเลเยอร์ ประกอบด้วย
- การควบคุมเชิงนโยบาย: บริษัทสามารถกำหนดนโยบายเพื่อควบคุมการรันไฟล์ที่ต้องการได้ เช่น ป้องกันการรันไฟล์บนโฟลเดอร์ tmp ของ Outlook หรือป้องกันการรันไฟล์นามสกุล exe บนไดรฟ์ USB เป็นต้น
- ควบคุมการรันไฟล์ขั้นสูง: Traps สามารถกำหนดนโยบายเพื่อควบคุม Child process, Folder, Unsign executables ผ่านทางการควบคุมการรันแอพพลิเคชันหรือ Hash
- ทำงานร่วมกับ WildFire: Traps สามารถส่งไฟล์ต้องสงสัยไปตรวจสอบและวิเคราะห์บนระบบคลาวด์ คือ WildFire ซึ่งแชร์ฐานข้อมูลมัลแวร์รูปแบบใหม่ทั่วโลก ทำให้สามารถป้องกันการโจมตีรูปแบบใหม่ที่ปรากฏขึ้นมาได้อย่างรวดเร็วและแม่นยำ
- ป้องกันเชิงเทคนิค: Traps ดั้งเดิมสามารถป้องกันการโจมตีโดยอาศัยการขัดขวางขั้นตอนของแฮ็คเกอร์ผ่านทางการตรวจสอบและวิเคราะห์เทคนิคที่แฮ็คเกอร์ใช้ โดยสามารถป้องกันเทคนิคของแฮ็คเกอร์ได้มากกว่า 20 เทคนิค
นำเสนอการป้องกันเชิงรุก
Palo Alto Traps มีระบบวิเคราะห์ข้อมูลเชิงดิจิตอล (Forensics) ที่คอยเก็บข้อมูลการโจมตีที่ค้นพบไว้บน Endpoint Security Manager เพื่อที่ผู้ดูแลระบบ IT สามารถตรวจสอบ วิเคราะห์เชิงสถิติ และจัดทำรายงานเพื่อนำไปใช้ปรับแต่งนโยบายรักษาความปลอดภัยของระบบให้ปลอดภัยมากยิ่งขึ้นได้ นอกจากนี้ Traps ยังสามารถแจ้งเตือนมายังผุ้ดูแลระบบเมื่อผู้ใช้พยายามที่จะปิดหรือหยุดการทำงานของ Agent อีกด้วย
เป็น Appliance แยกขาดจากระบบไฟร์วอลล์
Palo Alto Traps สามารถติดตั้งโดยใช้องค์ประกอบหลัก 2 อย่าง คือ Endpoint Security Manager และ Traps Agent โดยแยกขาดจากระบบ Next-generation Firewall โดยสิ้นเชิง
- Endpoint Security Manager (ESM) เป็น Appliance ทำหน้าที่บริหารจัดการ Trap Agents ไม่ว่าจะเป็นหน้า Dashboard สำหรับติดตามการทำงาน การตั้งค่านโยบาย การจัดเก็บและวิเคราะห์ข้อมูล รวมทั้งจัดทำรายงานให้แก่ผู้ดูแลระบบ นอกจากนี้ ยังสามารถส่งข้อมูลไปยังอุปกรณ์จัดเก็บ Log ภายนอก เช่น SIEM หรือ Syslog ได้ Endpoint Security Manager 1 เครื่องสามารถรองรับการจัดการ Traps Agent ได้สูงสุดถึง 50,000 Agents
- Traps Agent เป็นโปรแกรมขนาดเล็กเพียง 9 MB ติดตั้งบนเครื่อง Endpoint ระบบปฏิบัติการ Windows เพื่อป้องกันภัยคุกคามรูปแบบต่างๆตามนโยบายที่กำหนดโดย ESM โดยกินทรัพยากรเครื่องน้อยมาก คือ RAM น้อยกว่า 40MB และ CPU เพียง 0.1% เท่านั้น ทำให้มั่นใจได้ว่าประสิทธิภาพการทำงานของเครื่อง Endpoint ไม่ตกลงแน่นอน
Palo Alto Traps พร้อมให้ทดสอบและบริการในประเทศไทยประมาณเดือนสิงหาคมนี้ รายละเอียดเพิ่มเติมสามารถสอบถามได้ที่ Palo Alto ประเทศไทย และตัวแทนจำหน่าย
รายละเอียดเพิ่มเติม: https://www.paloaltonetworks.com/products/endpoint-security.html
