Traps
Advanced Endpoint Protection
Bastian Schwittay
Systems Engineer Specialist - Endpoint, Palo Alto Networks
BEDROHUNGSLAGE IM STETIGEN WANDEL
2 | © 2018, Palo Alto Networks. All Rights Reserved.
Anzahl Angriffe
Neue Malwarevarianten
Dateilose Angriffe
35% Anstieg an dateilosenAngriffen
Komplexere Kampagnen
Gezielt, Multi-Vektor
55%Success Rate
10X
VIELE ENDPOINT SECURITY ANSÄTZE GREIFEN ZU KURZ
Traditionelles AV
Unzureichend & Zunehmend unbequem
Next-Generation AV
Inkonsistenter Schutz
Endpoint Detection & Response (EDR)
Ohne gute Präventionüberwältigende Arbeitslast
3 | © 2018, Palo Alto Networks. All Rights Reserved.
TRAPS ADVANCED ENDPOINT PROTECTION
Prävention zuerst:Bekannte und unbekannteBedrohungen automatisiert
verhindern
Schutz vor komplettenAngriffstechniken
Schnelle Erkennung und Antwort auf komplexere
Attacken
4 | © 2018, Palo Alto Networks. All Rights Reserved.
PRÄVENTIVER ANSATZ
5 | © 2018, Palo Alto Networks. All Rights Reserved.
Blockiert Malware und Ransomware
Blockiert Exploits and dateilose Bedrohungen
Stoppt komplexe Angriffs-kampagnen
Blockiert Malware und Ransomware
Blockiert Exploits and dateilose Bedrohungen
Stoppt komplexe Angriffs-kampagnen
MINIMIERUNG VON INFEKTIONEN
6 | © 2018, Palo Alto Networks. All Rights Reserved.
Blockiert unbekannte Malwaremittels lokaler KI / Machine
Learning und Verhaltensanalyse
Blockiert bekannte Malware mittels WildFire Threat
Intelligence
Analysiert unbekannte Files mit marktführender WildFire
Threat Intelligence Cloud
VERHINDERUNG BEKANNTER UND UNBEKANNTER MALWARE
7 | © 2018, Palo Alto Networks. All Rights Reserved.
Verwendung mehrerer Methoden erhöht Genauigkeit und Abdeckung
Prozessstart
Blockenunbekannter
Malware durch ML
Anti-Ransomware Verhaltensanalyse
WildFire erkenntunbekannte Malware
Endpunkt gesichert
BlockenbekannterMalware
WildFire liefert Bedrohungsinformationen an Traps
WILDFIRE – WELTGRÖSSTE THREAT INTELLIGENCE CLOUD
8 | © 2015, Palo Alto Networks. Confidential and Proprietary.
300Mio+vorher-nie-
gesehene Samples
pro Monat
20.000+Kunden =
Millionen Sensoren
45%durch WildFire erkannte
Malware ist auf Virus
Total unbekannt
230K+ neue Schutzpattern liefert
WF täglich 150+ Integrierte Drittanbieter
Threat Intelligence Feed Konnektoren
64%-70%Durch WF erkannte Zero-Day
Malware wird durch die Top
sechs AV Hersteller zu dem
Zeitpunkt noch nicht erkannt
>5 MrdSample Files in
WildFire
2.100+Unit 42
Malware Tags
1,2T
Artifakte in
WildFire
Stand April 2018
MINIMIERUNG VON INFEKTIONEN
9 | © 2018, Palo Alto Networks. All Rights Reserved.
Blocken von “in-memory”, dateilosen Bedrohungen
Angriffsfläche am Endpunktdurch Restriktionen verkleinern
Exploitprävention auf Technik-Ebene, nicht signaturbasiert
Blockiert Malware und Ransomware
Blockiert Exploits and dateilose Bedrohungen
Stoppt komplexe Angriffs-kampagnen
PRÄVENTION VON EXPLOIT TECHNIKEN
10 | © 2018, Palo Alto Networks. All Rights Reserved.
Mehrere Methoden zum Schutz vor Zero-Day Exploits
Endpunkt gesichert
Reconnaissance Prevention
Exploitversuch
Memory Corruption Prevention
Code Execution Prevention
Kernel Protection
Cloud environment
SECHS JAHRE INNOVATION IN DER EXPLOITPRÄVENTION
11 | © 2018, Palo Alto Networks. All Rights Reserved.
NEW
2012/13 2014 2015 2016 2017 2018
TRAPS ADVANCED ENDPOINT PROTECTION
EXPLOIT PREVENTION MODULES
GS Cookie
SysExit
CPL Protection
ROP Mitigation
Enhanced JIT Protection
Enhanced DLL Security
Child Process Protection
Exploit Kit Fingerprinting
Kernel Privilege Escalation
Dylib-Hijacking Protection
Gatekeeper Enhancement
Kernel APC Protection
Child Process Protection
DLL File Protection
ShellLink Protection
Null Dereference Protection
Shellcode & Library Preallocation
Hot Patch Protection
Font Protection
Heap Spray Checks
UASLR
DEP
DLL Security
Packed DLLs
JIT Mitigation
Brute Force Protection
Local Privilege Escalation Protection
ROP Mitigation (Linux)
JAVA
DLL Hijacking
Heap Corruption Mitigation
Heap Spray Mitigation
Null Dereference Protection
T01 Compatibility
SEH Protection
Shellcode Protection
(Linux)
SCHNELLE ERKENNUNG UND ANTWORT AUF KOMPLEXE ATTACKEN
12 | © 2018, Palo Alto Networks. All Rights Reserved.
Blockiert Malware und Ransomware
Blockiert Exploits and dateilose Bedrohungen
Stoppt komplexe Angriffs-kampagnen
Blockiert Malware und Ransomware
Blockiert Exploits and dateilose Bedrohungen
Stoppt komplexe Angriffs-kampagnen
SCHNELLE ERKENNUNG UND ANTWORT AUF KOMPLEXE ATTACKEN
13 | © 2018, Palo Alto Networks. All Rights Reserved.
Erkennung versteckter Bedrohung mittels Behavioral
Analytics
Liefert Visibilität und handfeste
Indikatoren für SOC/Incident
Response
Koordinierte Durchsetzung von Schutz über Netzwerk, Endpunkt und Cloud hinweg
KOORDINIERTES DURCHSETZEN VON SECURITY
14 | © 2018, Palo Alto Networks. All Rights Reserved.
NGFWs & Traps senden unbekannte
Links und Dateien an WildFire
NGFW und Traps werden automatisch
programmiert vor neu bekannten
Bedrohungen zu schützen
THREAT INTELLIGENCE
WildFire fällt Urteil über die Samples
und teilt diese Information globalStatic Dynamic Bare metalMachine Learning
WILDFIRE ANALYSIS
TRAPSNETWORK ENDPOINT CLOUD
1
2
3
RAPIDE INTEGRATION NEUER TECHNOLOGIEN
Traps Agents
Apps Apps Apps
Threat Intel & Logging
Network Endpoint Cloud
Schnelle Einführung neuer
Apps um Angriffe zu
stoppen
Daten für Analyse
organisieren
Application Framework
Speichern von Logs/Events im Logging Service
15 | © 2018, Palo Alto Networks. All Rights Reserved.
ERKENNUNG VERSTECKTER BEDROHUNG MIT MAGNIFIER
16 | © 2018, Palo Alto Networks. All Rights Reserved.
NETWORK
MAGNIFIERMACHINE LEARNING
ENDPOINT CLOUD
Analyse reichhaltiger Endpunkt-, Cloud und Netzwerk-basierter Daten
Schnellere Untersuchungen durch Endpunkt-Analysen
Skalierbar, flexibel und einfach als Cloud-basierteApp zu konsumieren
CLOUD-DELIVERED
SECURITY SERVICESDATA FROM LOGS & TELEMETRY
Sammeln der richtigen Daten
Visualisierung der Angriffskette und der “Root Cause”
ProaktiveNachverfolgung von
Bedrohungen
GEPLANT: VISIBILITÄT UND HANDFESTE INDIKATOREN FÜR SOC/IR
PRÄVENTIVER ANSATZ
18 | © 2018, Palo Alto Networks. All Rights Reserved.
Blockiert Malware und Ransomware
Blockiert Exploits and dateilose Bedrohungen
Stoppt komplexe Angriffs-kampagnen
Bester Schutz gegenMalware und Ransomware
BeschleunigtIncident
Response und automatisiertEindämmung
Bester Schutz gegenExploits und Datei-lose Angriffe
• Schlanker Agent: 100MB RAM, 200MB HD, CPU <1%
• Schützt online wie offline
• SaaS-basiert oder On-premise
• Umfassendes Plattformsupport: Win, macOS, Linux, Android
TRAPS ADVANCED ENDPOINT PROTECTION
19 | © 2018, Palo Alto Networks. All Rights Reserved.
• WildFire und Logging Service integriert
• Teil der Security Operating Platformund des Application Frameworks
WildFire Logging Service
Traps management service
DesktopsLaptopsPhone/Tablet Servers Cloud
USE CASES
• Public/Private Cloud
• OT/Produktionsumgebungen
• Legacy-Systeme/Applikationen
• Traps powered by WildFire – WildFire powered by Traps
20 | © 2018, Palo Alto Networks. All Rights Reserved.