Zur Startseite gehen
0,00 €*

Wie Advanced Threat Prevention und Advanced WildFire zusammenarbeiten

von: Sven Berger | 7. Juni 2023

Cloud-Technologien und die digitale Transformation bringen neue Sicherheitsherausforderungen mit sich. Diese erfordern eine schnelle, effektive und bedarfsgerechte Malware-Analyse, die auch über Next-Generation-Firewalls hinausgeht. Palo Alto Networks ermöglicht es Kunden daher, die führenden Malware-Analysefunktionen von Advanced WildFire zu nutzen und sie in ihre Advanced Threat Prevention zu integrieren. Dadurch können sie benutzerdefinierte Anwendungen, wie beispielsweise Business-to-Consumer-Webportale, sichern, Dateifreigaben und Speicherorte vor einer Cloud-Migration auf bösartige Inhalte überprüfen und vieles mehr. 

Das Advanced WildFire-Abonnement

Ein Advanced WildFire-Abonnement gewährt Zugang zur API für eine bestimmte Anzahl von Dateiübermittlungen und Abfragen. Mit einem eigenständigen Advanced WildFire-Abonnement, das keine Next-Generation-Firewall erfordert, können Kunden flexibles Dateiübermittlungs- und Abfragevolumen erwerben und bei Bedarf über die API auf die fortschrittliche Malware-Analyse von Advanced WildFire zugreifen. 

Durch die Nutzung der integrierten Protokollierung, Berichterstattung und Forensik von Advanced WildFire erhalten Benutzer zudem umfassende Protokolle, Analysen und Einblicke in bösartige Ereignisse. Diese können über die PAN-OS-Verwaltungsschnittstelle, das Panorama-Netzwerksicherheitsmanagement, Cortex XDR oder Cortex XSOAR abgerufen werden. Dadurch können Sicherheitsteams schnell die in ihren Netzwerken beobachteten Ereignisse untersuchen.

Intelligente Run-time Memory Analysis

Advanced WildFire von Palo Alto Networks ermöglicht den Zugriff auf intelligente Run-time Memory Analysen und eine fortschrittliche Cloud-basierte Analyse-Engine. Diese innovative Technologie ergänzt die bestehenden statischen und dynamischen Analyse-Engines, um effektiv vor umgehungstaktischen Malware-Bedrohungen zu schützen. Die Hauptfunktion von Advanced WildFire besteht aber darin, eine präzise Unterscheidung zwischen schädlicher Malware, Greyware und harmlosen Dateien zu treffen. Sobald Advanced WildFire erkennt, dass eine Datei bösartig ist, wird diese Datei einer AV-Pipeline unterzogen, um eine Signatur zu generieren. Diese neu erstellte Signatur wird anschließend mit dem nächsten Update an Advanced WildFire-Kunden und im nächsten täglichen AV-Inhaltspaket an Advanced Threat Prevention-Kunden bereitgestellt.

Der Prevention Prozess

Durch die Kombination der fortschrittlichen Analysefunktionen von Advanced WildFire und den umfangreichen Signaturdatenbanken von Advanced Threat Prevention bietet die konfigurierte Firewall eine robuste Verteidigungslinie gegen eine Vielzahl von Malware-Bedrohungen.

  1. Die Firewall nutzt dateitypspezifische maschinelle Lernmodelle auf der Datenebene, um ein gewisses Maß an Schutz vor Zero-Day-Malware zu bieten.
  2. Um die Dateien zu überprüfen, vergleicht die Firewall die Signaturen in ihrem lokalen Cache. Dieser Cache wird hauptsächlich durch das bereitgestellte AV-Inhaltspaket von Advanced Threat Prevention und das Signatur-Update von Advanced WildFire aktualisiert. Durch diesen Abgleich wird festgestellt, ob eine Übereinstimmung mit einer bekannten schädlichen Datei besteht.
  3. Wenn im lokalen Cache der Firewall keine Übereinstimmung gefunden wird, greift die Firewall auf den Echtzeit-Signaturdienst von Advanced WildFire zurück, um die gesamte Datenbank historischer Signaturen zu durchsuchen. Dabei wird überprüft, ob eine Übereinstimmung besteht. Mit PAN-OS Nova besteht die Möglichkeit, den Dateitransfer während dieser Abfrage zu pausieren.

Wenn eine Übereinstimmung festgestellt wird, erfolgen folgende Schritte:

  1. Die Signatur wird im lokalen Cache der Firewall gespeichert.
  2. Die Signatur wird in das nächste Update aufgenommen, das an alle Advanced WildFire-Kunden verteilt wird.
  3. Die Signatur wird erneut in das Advanced Threat Prevention AV-Inhaltspaket aufgenommen, das am nächsten Tag verfügbar ist.

Falls der Echtzeit-Signaturdienst keine Übereinstimmung feststellt und die Datei von Advanced WildFire noch nicht analysiert wurde, wird sie zur Analyse an die Advanced WildFire-Cloud gesendet. Ohne Advanced WildFire haben Kunden keine Möglichkeit, festzustellen, ob eine neuartige Datei bösartig ist oder nicht. Sie sind nicht nur auf die 1,2 Millionen Malware-Signaturen im AV-Paket beschränkt, sondern verpassen auch die Vorteile der Echtzeit-Signatursuche und des Updates nach der Analyse in der Advanced WildFire-Cloud. In der Praxis würde dies bedeuten, dass neue Malware ohne Advanced WildFire erst am nächsten Tag erkannt wird und nicht innerhalb von fünf Minuten nach ihrer Entdeckung.

Autor: Sven Berger

20+ Jahre IT-Sicherheits-Experte, Prokurist, Leitung des Bereichs IT-Sicherheit der ito consult GmbH/ UTMshop
Zertifizierungen: Dipl. Betriebswirt; Sophos Certified Architect

Produktgalerie überspringen

Zugehörige Produkte

Palo Alto Networks Advanced Threat Prevention Subscription für PA-1410
Palo Alto Networks Advanced Threat Prevention Subscription für PA-1410
Anforderungen Um das Advanced Threat Prevention-Abonnement zu nutzen, benötigen Sie Palo Alto Networks Next-Generation Firewalls mit PAN-OS 10.2 oder höher. Empfohlene Umgebungen Palo Alto Networks Networks Next-Generation Firewalls sollten an allen Einsatzorten verwendet werden, da interne und externe Quellen netzwerkbasierte Bedrohungen über Exploits, Malware, Spyware, C2 oder URLs in Ihr Netzwerk einschleusen können. Advanced Threat Prevention-Lizenz Für Threat Prevention benötigen Sie eine separate Lizenz, die wir als integriertes, cloudbasiertes Abonnement der Palo Alto Networks Networks Next-Generation Firewalls ausliefern. Sie ist auch im Rahmen der Palo Alto Networks Networks Subscription ELA, der VM-Series ELA oder Prisma Access erhältlich. Ein IPS sucht seinesgleichen. Advanced Threat Prevention stoppt als branchenweit erstes IPS den Datenaustausch mit unbekannten Command-and-Control-(C2-)Servern in Echtzeit und blockiert insgesamt 48 Prozent mehr C2-Traffic als jede andere Lösung. Umfassende C2-Abdeckung Advanced Threat Prevention blockiert mithilfe branchenführender spezieller Deep-Learning- und ML-Modelle selbst getarnte und noch unbekannte C2-Kanäle inline und in Echtzeit. Kompromisslose Sicherheit Schützen Sie Ihr Netzwerk mit Signaturen von Forscherqualität vor bekannten Bedrohungen wie Exploits und Standardmalware, ohne Abstriche bei der Leistung. Umfassende Transparenz Nutzen Sie User-ID™ und App-ID™ auf unseren ML-gestützten NGFWs, um den Verkehr auf allen Ports im Kontext zu betrachten und keine Bedrohung zu übersehen – unabhängig davon, wie gut sie getarnt ist.      
2.681,92 €*
Details
Palo Alto Networks Advanced WildFire Subscription für PA-1410
Palo Alto Networks Advanced WildFire Subscription für PA-1410
Highlights Nutzen Sie die Vorteile eines "unendlichen" Signatur Repository. Greifen Sie auf alle bekannten AV-Signaturen zu, unabhängig davon, ob die Bedrohung gestern oder vor 10 Jahren, mit Echtzeit-Signatursuche Eliminieren Sie das Verweildauerrisiko. Verkürzen Sie die Reaktionszeit auf Bedrohungen Reaktionszeit auf Sekunden mit automatischer Bereitstellung koordinierten Schutzes im gesamten Netzwerk, Endpunkt und Cloud Reduzieren Sie verwertbare Ereignisse und die Arbeitsbelastung für das SOC. Stoppen Sie die ursprüngliche Bedrohung, weniger Erkennungsereignisse, die untersucht zu untersuchen und einzudämmen. Mehr als traditionelles Sandboxing Palo Alto Networks Advanced WildFire ist die branchenweit größte Cloud-basierte Malware Prevention Engine die Unternehmen vor hochgradig schwer fassbaren Bedrohungen schützt, indem sie patentierte Machine Learning Erkennungs-Engines schützt und automatisierten Schutz für Netzwerk, Cloud und Endgeräte bietet. Advanced WildFire analysiert jede unbekannte Datei auf böswillige Absichten um das Risiko von Patient Null zu reduzieren. Wichtige Funktionen Bösartiges Verhalten im gesamten Datenverkehr aufspüren Advanced WildFire identifiziert Dateien mit potenziell bösartigem Verhalten und liefert dann Empfehlungen, die auf der Grundlage von Bedrohungsdaten, Analysen und Zusammenhängen sowie erweiterten Funktionen:- Vollständige Sichtbarkeit von bösartigem Verhalten, identifiziert Bedrohungen im gesamten Datenverkehr über Hunderte von Anwendungen hinweg. Anwendungen, einschließlich Webverkehr, E-Mail-Protokolle wie SMTP, IMAP und POP sowie Dateifreigabe, Dateifreigabeprotokolle wie SMB und FTP, unabhängig von Ports oder Verschlüsselung.- Die Analyse des verdächtigen Netzwerkverkehrs überwacht alle Netzwerkaktivitäten, die von einer verdächtigen Datei ausgehen, einschließlich der Erstellung von Backdoors, des Herunterladens von Malware der nächsten Stufe, des Besuchs von Domains mit niedrigem Ruf, Netzwerkerkundung und vieles mehr.- Die Erkennung von dateilosen Angriffen/Skripten, wenn potenziell bösartige Skripte, wie JScript und PowerShell, das Netzwerk durchqueren, und leitet sie zur Analyse und Ausführung an Advanced WildFire weiter. Fingerprinting von Malware-Familien Advanced WildFire extrahiert gepackte ausführbare Dateien, die üblicherweise verwendet werden, um statische Signaturen und generische Musterabgleiche zu umgehen und nutzt patentierte Malware-Familien-Fingerprinting-Erkennung, um neue Bedrohungen mit bekannten Bedrohungen mit bekannten Malware-Familien zu korrelieren und so in großem Umfang vorbeugende Maßnahmen gegen ausweichende Malware zu ergreifen.
2.681,92 €*
Details
Unsere Website benutzt Cookies, die für den technischen Betrieb der Website erforderlich sind und stets gesetzt werden. Andere Cookies, die den Komfort bei Benutzung dieser Website erhöhen, der Direktwerbung dienen oder die Interaktion mit anderen Websites und sozialen Netzwerken vereinfachen sollen, werden nur mit Ihrer Zustimmung gesetzt. Zur Datenschutzerklärung