Palo Alto Traps ระบบป้องกัน Endpoint ระดับสูง

palo_alto_logo

Palo Alto Networks ผู้ให้บริการไฟร์วอลล์แบบ Next-Generation ชั้นนำของโลก ได้นำเสนอโซลูชันใหม่ล่าสุดสำหรับปกป้องเครื่องลูกข่าย (Endpoint Protection) เรียกว่า Palo Alto Traps โดยมีจุดเด่น คือ ป้องกันอุปกรณ์จากการโจมตีช่องโหว่และมัลแวร์แบบ Zero-day ได้อย่างมีประสิทธิภาพ

เทคนิคใหม่ในการตรวจจับมัลแวร์

ระบบป้องกัน Endpoint สมัยก่อน ใช้วิธีการตรวจสอบแบบ Signature-based หรือพิจารณาจากพฤติกรรมของมัลแวร์ ซึ่งไม่สามารถตรวจจับมัลแวร์รูปแบบใหม่ๆ มัลแวร์ที่ใช้เทคนิคหลบหลีก (Evasion Technique) รวมทั้งมัลแวร์แบบ Zero-day และมีโอกาสเกิด False Positive สูง Palo Alto Traps ได้นำเสนอวิธีการใหม่ที่เน้นตรวจจับและขัดขวางเทคนิคที่แฮ็คเกอร์ใช้เพื่อทำการโจมตี โดยไม่สนว่าจะเป็นการโจมตีหรือเป็นมัลแวร์รูปแบบใด กล่าวคือ ปกติแล้วแฮ็คเกอร์จะใช้กรรมวิธีหลายขั้นตอนในการโจมตีเป้าหมาย อาจจะ 3 หรือ 5 ขั้นตอน Traps จะสร้างชุดการป้องกันแต่ละเทคนิคที่แฮ็คเกอร์ใช้ในแต่ละขั้นตอน เพื่อขัดขวางไม่ให้แฮ็คเกอร์สามารถทำการโจมตีได้สำเร็จ ปัจจุบันนี้ Traps มีชุดป้องกันมากกว่า 20 เทคนิค และสามารถตรวจจับมัลแวร์ที่ฝังบนไฟล์ได้หลากหลายชนิด เช่น PDF, RTF, DOC, PPT, XLS, และอื่นๆ

palo_alto_traps_1

Traps Agent ขนาดเล็กแต่ทรงพลัง

Traps Agent เป็นโปรแกรมขนาดเล็กที่ติดตั้งบนเครื่อง Endpoint โดยจะแอบฝังตัวเองเข้ากับ Process ที่รันอยู่บนเครื่อง เมื่อ Process เหล่านั้นมีแนวโน้มหรือพยายามที่จะทำการโจมตีโดยใช้เทคนิคต่างๆ Traps Agent จะทำการขัดขวาง ทำลาย Process นั้นทิ้ง และแจ้งเตือนผู้ใช้ให้ทราบ รวมทั้งรายงานผลไปยัง Endpoint Security Manager (ESM) อย่างไรก็ตาม Traps Agent กินทรัพยากรของเครื่องน้อยมาก โดยใช้ RAM เฉลี่ยไม่เกิน 40 MB และ CPU เพียง 0.1% เท่านั้น เนื่องจากไม่จำเป็นต้องตรวจสอบและวิเคราะห์พฤติกรรมของมัลแวร์ตลอดเวลาเหมือนระบบป้องกัน Endpoint สมัยก่อน

palo_alto_traps_2

ป้องกันการโจมตีแบบหลายเลเยอร์

เพื่อให้สามารถป้องกันภัยคุกคามได้อย่างมีประสิทธิภาพสูงสุด Palo Alto Traps ได้ถูกออกแบบมาให้ใช้วิธีป้องกันแบบหลายเลเยอร์ ประกอบด้วย

  1. การควบคุมเชิงนโยบาย: บริษัทสามารถกำหนดนโยบายเพื่อควบคุมการรันไฟล์ที่ต้องการได้ เช่น ป้องกันการรันไฟล์บนโฟลเดอร์ tmp ของ Outlook หรือป้องกันการรันไฟล์นามสกุล exe บนไดรฟ์ USB เป็นต้น
  2. ควบคุมการรันไฟล์ขั้นสูง: Traps สามารถกำหนดนโยบายเพื่อควบคุม Child process, Folder, Unsign executables ผ่านทางการควบคุมการรันแอพพลิเคชันหรือ Hash
  3. ทำงานร่วมกับ WildFire: Traps สามารถส่งไฟล์ต้องสงสัยไปตรวจสอบและวิเคราะห์บนระบบคลาวด์ คือ WildFire ซึ่งแชร์ฐานข้อมูลมัลแวร์รูปแบบใหม่ทั่วโลก ทำให้สามารถป้องกันการโจมตีรูปแบบใหม่ที่ปรากฏขึ้นมาได้อย่างรวดเร็วและแม่นยำ
  4. ป้องกันเชิงเทคนิค: Traps ดั้งเดิมสามารถป้องกันการโจมตีโดยอาศัยการขัดขวางขั้นตอนของแฮ็คเกอร์ผ่านทางการตรวจสอบและวิเคราะห์เทคนิคที่แฮ็คเกอร์ใช้ โดยสามารถป้องกันเทคนิคของแฮ็คเกอร์ได้มากกว่า 20 เทคนิค

palo_alto_traps_3

นำเสนอการป้องกันเชิงรุก

Palo Alto Traps มีระบบวิเคราะห์ข้อมูลเชิงดิจิตอล (Forensics) ที่คอยเก็บข้อมูลการโจมตีที่ค้นพบไว้บน Endpoint Security Manager เพื่อที่ผู้ดูแลระบบ IT สามารถตรวจสอบ วิเคราะห์เชิงสถิติ และจัดทำรายงานเพื่อนำไปใช้ปรับแต่งนโยบายรักษาความปลอดภัยของระบบให้ปลอดภัยมากยิ่งขึ้นได้ นอกจากนี้ Traps ยังสามารถแจ้งเตือนมายังผุ้ดูแลระบบเมื่อผู้ใช้พยายามที่จะปิดหรือหยุดการทำงานของ Agent อีกด้วย

เป็น Appliance แยกขาดจากระบบไฟร์วอลล์

Palo Alto Traps สามารถติดตั้งโดยใช้องค์ประกอบหลัก 2 อย่าง คือ Endpoint Security Manager และ Traps Agent โดยแยกขาดจากระบบ Next-generation Firewall โดยสิ้นเชิง

  • Endpoint Security Manager (ESM) เป็น Appliance ทำหน้าที่บริหารจัดการ Trap Agents ไม่ว่าจะเป็นหน้า Dashboard สำหรับติดตามการทำงาน การตั้งค่านโยบาย การจัดเก็บและวิเคราะห์ข้อมูล รวมทั้งจัดทำรายงานให้แก่ผู้ดูแลระบบ นอกจากนี้ ยังสามารถส่งข้อมูลไปยังอุปกรณ์จัดเก็บ Log ภายนอก เช่น SIEM หรือ Syslog ได้ Endpoint Security Manager 1 เครื่องสามารถรองรับการจัดการ Traps Agent ได้สูงสุดถึง 50,000 Agents
  • Traps Agent เป็นโปรแกรมขนาดเล็กเพียง 9 MB ติดตั้งบนเครื่อง Endpoint ระบบปฏิบัติการ Windows เพื่อป้องกันภัยคุกคามรูปแบบต่างๆตามนโยบายที่กำหนดโดย ESM โดยกินทรัพยากรเครื่องน้อยมาก คือ RAM น้อยกว่า 40MB และ CPU เพียง 0.1% เท่านั้น ทำให้มั่นใจได้ว่าประสิทธิภาพการทำงานของเครื่อง Endpoint ไม่ตกลงแน่นอน

palo_alto_traps_4

Palo Alto Traps พร้อมให้ทดสอบและบริการในประเทศไทยประมาณเดือนสิงหาคมนี้ รายละเอียดเพิ่มเติมสามารถสอบถามได้ที่ Palo Alto ประเทศไทย และตัวแทนจำหน่าย

รายละเอียดเพิ่มเติม: https://www.paloaltonetworks.com/products/endpoint-security.html



About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

IBM จับมือ Pfizer พัฒนา AI ตรวจผู้ป่วยอัลไซเมอร์แรกเริ่มได้แม่นยำถึง 71%

IBM ได้เผยถึงความร่วมมือกับ Pfizer ในการพัฒนา AI เพื่อทำนายว่าผู้ป่วยนั้นมีอาการอัลไซเมอร์ระยะแรกเริ่มหรือไม่ และสามารถทำนายได้ด้วยความแม่นยำที่สูงถึง 71% ซึ่งสูงกว่าผลการทดสอบด้วยวิธีการทั่วๆ ไปที่มีความแม่นยำเพียง 59% เท่านั้น

HPE เตือนผู้ใช้งานอัปเดต Patch อุดช่องโหว่ความรุนแรงสูงสุดบน Storage และ 64 ช่องโหว่บน HPE Intelligent Management Center

HPE ได้ออกมาแจ้งเตือนผู้ใช้งานให้ทำการอัปเดต Patch ความรุนแรงระดับสูงสุดที่ได้คะแนนเต็ม 10/10 บนระบบบริหารจัดการของ HPE Primera และ HPE 3PAR StoreServ รวมถึงช่องโหว่อื่นๆ อีก 64 รายการบน HPE Intelligent Management Center (iMC)