某公家機關為提高伺服器、個人裝置相關網路資訊安全(Traps)使用環境

客戶背景
該客戶在北台灣為政府機關之A級單位。
辦公環境內均有電腦機房提供相關伺服器(Linux & Windows Server)及相關個人裝置(PC or NB),提供內部行政人員之使用。
現況需求說明
• 勒索軟體每分鐘都在蔓延
       • 人工處理顯然速度不夠快
       • 你的主機、系統、裝置仍然被加密
       • 變種使得每一個時刻都會有首例受害者
       • 特徵碼更新其實未處理仍然存在的漏洞缺少內部檔案防護閘道
       • 有沒有補丁?(舊作業系統)
       • 是否有效解決漏洞威脅?
       • 作業系統補丁有了,那應用軟體補丁呢?
       • 能否重啟?幾時重啟?開的起來嗎?
       • 有沒有相容性風險?
       • 伺服器到底裝不裝?


本公司提供之解決方案及專業服務
該政府單位是本公司重要的長期服務客戶之一,為協助改善其網路資安問題,本公司結合知名國際原廠,組織最優秀之專業團隊,從設備盤點、規劃、設計、採購、建置、測試到維運,提供整體解決方案及專業服務。
1. 盤點現有設備
發動本公司網路工程師團隊。
2. 提出完整建議書
包括現況分析、改善願景、解決方案、投資報酬分析、建置計畫、財務評估、配合事項等等,取得院方同意。
3. 專注端點APT防護機制方案專業廠商(Palo Alto)
Traps 產品介紹:
Palo Alto Networks Traps 用多重防護方法取代傳統防毒,以獨特方式結合了針對性的惡意軟體與漏洞防護措施,可保護使用者與端點免受已知和未知的威脅攻擊。相較於重要資產已經遭到入侵之後的入侵偵測與事件回應,Traps 可防堵安全漏洞。


• 多重方法惡意軟體和勒索軟體防禦
Traps 能夠使用多重防禦方法阻止惡意可執行檔、DLL 以及 Office 檔案啟動,減少可能遭受攻擊的範圍並提升惡意軟體防禦的精確度。這種做法可以結合下列項目來防止已知和未知的惡意軟體感染端點:
WildFire 威脅情報:Traps 運用來自 Palo Alto Networks WildFire® 雲端威脅分析服務的情報來預防已知的惡意軟體。 WildFire 是世界最大的分散式感測器系統,其專注於辨識與防禦未知威脅並將其轉變為已知,有著超過 20,000 間企業、政府機關與服務供應商客戶一同貢獻,為來自不同端點、網路與雲端應用程式的所有使用者構築出集體免疫的社群。
透過機器學習的本機分析:此分析方法會在允許任何未知的可執行檔、DLL 或 Office 檔案執行之前立即提供裁定。Traps 會在不到一秒內檢查數以百計的檔案特徵,完全不需要依賴先前對於威脅的認識。
• WildFire 檢驗與分析:除了機器學習之外,Traps 還會使用 _WildFire 深入檢驗未知檔案。偵測到新的威脅時,會在五分鐘之內在新世代安全平台 (包含所有的 Traps 客戶) 之間共享防禦控制措施。WildFire 結合了四種獨立技術的優勢,能夠進行高度真實並且防迴避的偵測,這四種技術包括動態分析、靜態分析、機器學習以及裸機分析。
• 精細的子程序防護:Traps 能精密控制合法程序 (例如執行碼引擎以及命令殼層) 的啟動,勒索軟體和其他進階威脅通常以惡意方式利用這些合法程序來規避傳統安全防護措施。
• 行為式勒索軟體防護:Traps 會監控系統的勒索軟體行為,並在偵測後立即封鎖攻擊,防止客戶數據遭加密。
• 定期掃描休眠惡意軟體:Traps 會對端點上的休眠惡意可執行檔案、DLL 和巨集執行排程掃描或隨需掃描,在無需等待嘗試執行惡意檔案的情況下予以修復。
Traps 政策也能夠讓組織將應用程式列入白名單和黑名單、限制應用程式的執行,並隔離惡意軟體。

• 多重方法入侵防禦
Traps 能夠封鎖攻擊所利用的入侵技術,而並非著眼於處理個別攻擊。Traps 可以在入侵嘗試的每一步都執行這樣的工作,藉以中斷攻擊生命週期並消除威脅。
Traps 使用多重方法預防入侵:
•入侵前防護:在入侵攻擊發動之前,Traps 即可封鎖弱點分析技術,有效防禦攻擊。
•技術型入侵防禦:Traps 能透過封鎖攻擊者用來操縱應用程式的技術,防禦已知與零時差入侵。
•核心入侵防禦:Traps 能阻止入侵利用作業系統核心中的弱點來建立具有提升權限 (也就是系統層級權限) 的程序。Traps 也能防禦用於從核心當中載入及執行惡意程式碼的植入技術,像是用於 _WannaCry 與 _NotPetya 攻擊中的技術。
Traps 能夠封鎖攻擊所利用的入侵技術,而並非著眼於處理個別攻擊。Traps 可以在入侵嘗試的每一步都執行這樣的工作,藉以中斷攻擊生命週期並消除威脅。
• 協調網路和雲端之間的執行
Traps 和 WildFire持續共享威脅情報,PaloAltoNetworks新世代安全平台的每個元件(例如新世代防火牆和雲端安全服務(見圖) 也是如此。Traps 的客戶可以接收這些威脅情報,並使用完整的WildFire惡意軟體分析功能。
這些威脅情報自動轉換為防禦功能,能消除攻擊者使用未知與進階惡意軟體感染系統的機會。
Traps也能和Panorama™網路安全管理共享其記錄,讓安全作業團隊能使用和防火牆記錄相同的脈絡檢視端點安全記錄。這有助於偵測可能在其他情況下規避偵測的威脅。



Traps NSS Lab 相關資料
       Security Value Map™
       Advanced Endpoint Protection (AEP)


整體測試結果:

誤判率:

本產品整體計分:

Traps產品部署架構與優勢

Traps支援平台類型

Traps相關介面與Traps&防毒軟體並存
如圖示,為Traps 相關操作及資料畫面



如圖示,在Windows 7 中Traps 與Symantec 同時並存,正常執行外同時沒有增加額外Client 端的電腦硬體效能

Traps效益
1.預防已知與未知的惡意軟體
       2.預防已知與零時差的漏洞攻擊
       3.無須病毒定義檔偵測惡意程式
       4.支援多種作業系統與虛擬化平台
       5.Traps提供多種偵測防禦技術如: 本地分析.雲端分析.行為分析
       6.威脅情報的自動化整合
       7.輕量化的代理程式僅占用系統0.1% CPU 負載50MB RAM
       8. 獲得業界認可和符合資安規範