Wie Advanced Threat Prevention und Advanced WildFire zusammenarbeiten

Cloud-Technologien und die digitale Transformation bringen neue Sicherheitsherausforderungen mit sich. Diese erfordern eine schnelle, effektive und bedarfsgerechte Malware-Analyse, die auch über Next-Generation-Firewalls hinausgeht. Palo Alto Networks ermöglicht es Kunden daher, die führenden Malware-Analysefunktionen von Advanced WildFire zu nutzen und sie in ihre Advanced Threat Prevention zu integrieren. Dadurch können sie benutzerdefinierte Anwendungen, wie beispielsweise Business-to-Consumer-Webportale, sichern, Dateifreigaben und Speicherorte vor einer Cloud-Migration auf bösartige Inhalte überprüfen und vieles mehr. 

Das  Advanced WildFire-Abonnement 

Ein Advanced WildFire-Abonnement gewährt Zugang zur API für eine bestimmte Anzahl von Dateiübermittlungen und Abfragen. Mit einem eigenständigen Advanced WildFire-Abonnement, das keine Next-Generation-Firewall erfordert, können Kunden flexibles Dateiübermittlungs- und Abfragevolumen erwerben und bei Bedarf über die API auf die fortschrittliche Malware-Analyse von Advanced WildFire zugreifen. 

Durch die Nutzung der integrierten Protokollierung, Berichterstattung und Forensik von Advanced WildFire erhalten Benutzer zudem umfassende Protokolle, Analysen und Einblicke in bösartige Ereignisse. Diese können über die PAN-OS-Verwaltungsschnittstelle, das Panorama-Netzwerksicherheitsmanagement, Cortex XDR oder Cortex XSOAR abgerufen werden. Dadurch können Sicherheitsteams schnell die in ihren Netzwerken beobachteten Ereignisse untersuchen. 

Intelligente Run-time Memory Analysis 

Advanced WildFire von Palo Alto Networks ermöglicht den Zugriff auf intelligente Run-time Memory Analysen und eine fortschrittliche Cloud-basierte Analyse-Engine. Diese innovative Technologie ergänzt die bestehenden statischen und dynamischen Analyse-Engines, um effektiv vor umgehungstaktischen Malware-Bedrohungen zu schützen. Die Hauptfunktion von Advanced WildFire besteht aber darin, eine präzise Unterscheidung zwischen schädlicher Malware, Greyware und harmlosen Dateien zu treffen. Sobald Advanced WildFire erkennt, dass eine Datei bösartig ist, wird diese Datei einer AV-Pipeline unterzogen, um eine Signatur zu generieren. Diese neu erstellte Signatur wird anschließend mit dem nächsten Update an Advanced WildFire-Kunden und im nächsten täglichen AV-Inhaltspaket an Advanced Threat Prevention-Kunden bereitgestellt. 

Der Prevention Prozess 

Durch die Kombination der fortschrittlichen Analysefunktionen von Advanced WildFire und den umfangreichen Signaturdatenbanken von Advanced Threat Prevention bietet die konfigurierte Firewall eine robuste Verteidigungslinie gegen eine Vielzahl von Malware-Bedrohungen.

  1. Die Firewall nutzt dateitypspezifische maschinelle Lernmodelle auf der Datenebene, um ein gewisses Maß an Schutz vor Zero-Day-Malware zu bieten.
  2. Um die Dateien zu überprüfen, vergleicht die Firewall die Signaturen in ihrem lokalen Cache. Dieser Cache wird hauptsächlich durch das bereitgestellte AV-Inhaltspaket von Advanced Threat Prevention und das Signatur-Update von Advanced WildFire aktualisiert. Durch diesen Abgleich wird festgestellt, ob eine Übereinstimmung mit einer bekannten schädlichen Datei besteht.
  3. Wenn im lokalen Cache der Firewall keine Übereinstimmung gefunden wird, greift die Firewall auf den Echtzeit-Signaturdienst von Advanced WildFire zurück, um die gesamte Datenbank historischer Signaturen zu durchsuchen. Dabei wird überprüft, ob eine Übereinstimmung besteht. Mit PAN-OS Nova besteht die Möglichkeit, den Dateitransfer während dieser Abfrage zu pausieren. 

Wenn eine Übereinstimmung festgestellt wird, erfolgen folgende Schritte:

  1. Die Signatur wird im lokalen Cache der Firewall gespeichert.
  2. Die Signatur wird in das nächste Update aufgenommen, das an alle Advanced WildFire-Kunden verteilt wird.
  3. Die Signatur wird erneut in das Advanced Threat Prevention AV-Inhaltspaket aufgenommen, das am nächsten Tag verfügbar ist. 

Falls der Echtzeit-Signaturdienst keine Übereinstimmung feststellt und die Datei von Advanced WildFire noch nicht analysiert wurde, wird sie zur Analyse an die Advanced WildFire-Cloud gesendet. Ohne Advanced WildFire haben Kunden keine Möglichkeit, festzustellen, ob eine neuartige Datei bösartig ist oder nicht. Sie sind nicht nur auf die 1,2 Millionen Malware-Signaturen im AV-Paket beschränkt, sondern verpassen auch die Vorteile der Echtzeit-Signatursuche und des Updates nach der Analyse in der Advanced WildFire-Cloud. In der Praxis würde dies bedeuten, dass neue Malware ohne Advanced WildFire erst am nächsten Tag erkannt wird und nicht innerhalb von fünf Minuten nach ihrer Entdeckung.