PA L O A LT O N E T W O R K S : T r a p s Te k n i k V e r i
Traps: Gelişmiş Uç Nokta Koruması
TRAPS:
n Tüm güvenlik açığı istismarlarını
(vulnerability exploits) önler
n
Kötü amaçlı yazılımların yürüttüğü
tüm saldırıları önler
n Önlenen saldırılarla ilgili anlık adli
analiz kayıtları (forensics) sağlar
n Ölçeklenebilir yapıdadır, kullanıcı
dostudur ve sisteme az yük getirir.
n Ağ ve bulut güvenliği ile entegre olur
Palo Alto Networks® Traps, karmaşık güvenlik açığı
istismarlarını (vulnerability exploits) ve kötü amaçlı
yazılımların yürüttüğü saldırıları önleyen Gelişmiş Uç Nokta
Koruması sağlar. Traps, bunu ölçeklenebilirliği yüksek,
sisteme az yük getiren bir ajanla başarır. Söz konusu ajan,
saldırıları saldırının kendi hakkında herhangi bir ön bilgiye
gerek duymadan yenmeye olanak tanıyan yenilikçi bir
yaklaşım kullanır. Böylece Traps, kurumlara, uç noktaları
sanal olarak her hedefli saldırıdan korumak için güçlü bir
araç sağlamış olur.
Palo Alto Networks Traps, uç nokta güvenliği için özgün bir yaklaşım kullanmaktadır.
Bu yaklaşım, bilinen saldırıların yanı sıra geleneksel çözümlerin önleyemediği
gelişmiş ve hedefli saldırılardan korumayı da kapsayan tam bir uç nokta güvenlik
koruması sağlamak üzere tasarlanmıştır.
Milyonlarca saldırıyı ayrı ayrı tanımlamak ya da belki de algılanamaz olan kötü amaçlı
davranışı algılamak yerine Traps,
her saldırganın saldırısını gerçekleştirebilmek için birbirine bağlaması gereken temel
tekniklere odaklanır. Traps, bu tekniklerin etkisini azaltmak için sürece bir dizi
güvenlik açığı istismarı (exploit) ‘tuzağı’ (traps) kurarak herhangi bir kötü amaçlı
etkinlik başarıyla çalıştırılmadan önce saldırıyı hemen engeller.
Bu özgün yaklaşım, Traps’in 3. partiler tarafından geliştirilmiş olanlar da dahil
olmak üzere tüm uygulamaları korumasını ama bu uygulamalardan etkilenmemesini
sağlar.
Güvenlik açığı istismarlarını (exploit) önleme
Bir uç noktaya ilişkin bir güvenlik açığını (vulnerability) istismar etme (exploit) ile
ilgili asıl işlem, ardışık olarak çalışan birden fazla gelişmiş tekniğin çalıştırılmasını
gerektirir. Örneğin, tipik bir saldırıda saldırgan, önce bozmak için saldırarak ya da
bellek yerleşimini ya da işleyicileri atlayarak (bypass) bir sistemin denetimini ele
geçirmeye çalışır. Bilgisayar korsanı (hacker), arabellek taşmaları (buffer overflow)
ya da yığın bozulması (heap corruption) gibi bellek bozma tekniklerini kullanarak,
kendine özel kodu çalıştırmak için hedef yazılım içindeki zayıflıkları ya da güvenlik
açıklarını kullanabilir. Bir saldırgan, özel kodu çalıştırabildiğinde kötü amaçlı
yazılımlar indirebilir ya da sistemi tamamen kendi yararına kullanabilir.
Saldırgan, saldırıdan ya da saldırının karmaşıklığından bağımsız olarak saldırının
başarılı olabilmesi için, güvenlik açığı istismarı (exploit) ile ilgili bir dizi tekniği
ardışık olarak çalıştırmalıdır. Bazı saldırılar daha fazla adım içerebilir, bazıları ise daha
az. Her durumda, hedeflenen uç noktanın güvenlik açığını istismar edebilmek (exploit)
için en az iki ya da üç teknik kullanılmalıdır.
PA L O A LT O N E T W O R K S : T r a p s Te k n i k V e r i
Traps
Adli analiz
kaydı (forensic)
verileri toplanır
İşlem
sonlandırılır
llanıcı/yönetici
bilgilendirilir
PDF
Kullanıcı
belgeyi açar
Tuzaklar (traps)
işlemlere sorunsuz
bir şekilde yerleştirilir.
Güvenlik açığı
istismarı (exploit)
girişimi tuzağa
düşürüldüğü
Nasıl çalışır: Güvenlik açığı istismarını önleme (exploit prevention)
için işlem korunur.
Güvenlik Açığı İstismarını Önleme (Exploit Prevention)
Nasıl Çalışır
Traps, saldırganların kullandığı, güvenlik açığı istismarı (exploit) ile
ilgili farklı tekniklerin etkisini azaltmayı ya da engellemeyi hedefleyen
bir dizi güvenlik açığı istismarını önleme (exploit prevention) modülü
sağlar. Bu modüller, “tuzaklar” (traps) gibi çalışır; kullanıcı işlemlerine
(user processes) yerleştirilir, tetikleyici olarak tasarlanmıştır ve
saldırganın güvenlik açığı istismarı (exploit) tekniğini, teknik çalıştırılır
çalıştırılmaz engeller. Traps, önleme modüllerini, bir uygulama her
açıldığında saydam, statik “tuzaklar” olarak işleme (process) sorunsuz
bir şekilde yerleştirir. Bir modül bir işleme yerleştirildikten sonra o
işlem artık her güvenlik açığı istismarından (exploit) korunur. Var
olan birkaç teknikten biri kullanılarak bir güvenlik açığı istismarı
(exploit) girişimi gerçekleştirilirse Traps, bunu hemen engeller tekniği,
işlemi sonlandırır ve bir saldırının önlendiğini hem kullanıcıya hem de
yöneticiye bildirir. Traps, buna ek olarak, ayrıntılı adli analiz kayıtlarını
(forensics) toplar ve bu bilgileri Endpoint Security Manager (ESM)’a
raporlar. Bir güvenlik açığı istismarının (exploit) zincire benzer yapısı
nedeniyle, zincirdeki tekniklerden yalnızca birini önlemek, tüm saldırıyı
önlemek için yeterlidir.
Hiç bir istismar girişimi olmazsa, söz konusu kullanıcı ve işlem için
her şey olağan şekilde ilerler. Traps’in kaynak kullanımı az olduğu için
arka planda devreye alınan koruyucu önlemlerin kullanıcı deneyimi
üzerinde hiç bir etkisi olmayacaktır.
Traps, saldırının kendisine değil güvenlik açığı istismarı (exploit)
tekniklerine odaklanarak önceden güvenlik açığı (vulnerability)
bilgisine sahip olmadan, yerleştirilen yamalardan bağımsız bir şekilde
ve imza ya da yazılım güncellemeleri olmaksızın saldırıyı önleyebilir.
Traps’in kötü amaçlı etkinlikleri taramadığı ya da izlemediğine dikkat
edilmelidir. Bu şekilde çok az CPU ve bellek kullanıldığı için bu
yaklaşım, ölçeklenebilirlik açısından çok büyük yarar sağlamaktadır.
Traps’in istismarı (exploitation) önleme özelliği, programların güvenlik
açıklıklarından (vulnerability) kaynaklı saldırıları bellek bozulmasına
ya da mantık kusurlarına dayalı olarak önlemek üzere tasarlanmıştır.
Traps’in önleyebileceği saldırı örneklerinden bazıları şunlardır:
Tuzaklar (traps)
anında eylemleri
tetikler.
ESM'ye
Raporlanır
Güvenli!
Saldırı, herhangi bir
kötü amaçlı etkinlik
başarıya ulaşmadan
engellenir.
• Belirli koşullar altında, çalıştırılabilir dosyaların alt işlemler üretmesi
• Dinamik bağlantı kütüphanesi (Dynamic-link library - DLL)
hırsızlığı (yasal bir DLL’i, aynı isimli kötü amaçlı bir DLL ile
değiştirme)
• Program denetim akışı saldırısı (hijacking)
• Kötü amaçlı kodu, kural dışı durum işleyici (exception handler)
olarak ekleme
Kötü Amaçlı Yazılım Önleme
Kötü amaçlı yazılım (malware) olarak bilinen kötü amaçlı
çalıştırılabilir dosyalar, genellikle kötü amaçlı olmayan dosyalar
şeklinde gizlenir ya da kötü amaçlı olmayan dosyaların içine gömülür.
Bu dosyalar, denetimi ele geçirmeye çalışarak, hassas bilgileri
toplayarak ya da sistemin normal işlemlerini bozarak bilgisayarlara
zarar verebilir.
Gelişmiş saldırganlar, artan bir şekilde yazılımların güvenlik açıklarını
istismar ederken (vulnerability exploits) aynı zamanda saldırılar da
bilinmeyen ya da değiştirilmiş Kötü Amaçlı Yazılımlarla (Çalıştırabilir
dosyalar) birlikte gelişmektedir. Genellikle bu tür saldırıların bilinen
imzaları, bilinen dizgileri (string) ya da önceden bilinen davranışları
olmadığı için geleneksel uç nokta güvenlik yaklaşımları bunları
önleyemez.
Traps, kötü amaçlı yazılımların uç nokta üzerinde çalıştırılmasını etkili
bir şekilde önlemek için kötü amaçlı yazılım önlemenin şu üç bileşenini
çalıştırır:
1. Politika Tabanlı Kısıtlamalar Politika kısıtlamaları, kurumlara, belirli
yürütme senaryolarını kısıtlayan ve belirli dosyaları izin verilenler
(whitelisted) ya da izin verilmeyenler (blacklisted) listelerine almayan
politikalar kurabilme yeteneği sağlar. Saldırı yüzeyi, yalnızca
kaynak dosya kurulumunu denetleyerek büyük ölçüde küçültülebilir.
Traps, bir kullanıcı çalıştırılabilir dosyayı açmayı denediğinde,
uygulanabilecek çalıştırma (execution) kısıtlaması kurallarını
değerlendirir. Yaygın politika tabanlı kısıtlama örnekleri;
• Belirli klasörlerden çalıştırılabilir dosyaları çalıştırma
• Bellek bozulması
• Dış ortamdan çalıştırılabilir dosyaları çalıştırma
• Belirli koşullar altında Java kodunun tarayıcılarda çalışması
• Alt işlemler üreten işlemler
PAGE 2
PA L O A LT O N E T W O R K S : T r a p s Te k n i k V e r i
Tümü bir yönetim merkezinde olan ESM’ler şunları kapsar:
• Tarayıcılardan çalışan Java işlemleri
• İmzasız işlemler çalıştırma
• Konfigürasyon yönetimi
• Tehdit Yerleştirme
• Günlük tutma (logging) ve veri tabanı sorgulama
2. WildFire İncelemesi: Traps Endpoint Security Manager,
konulan politika kısıtlamalarıyla sınırlı olmayan dosyaların
çalıştırılması ile ilgili olarak dosyanın küresel tehdit topluluğu
içinde kötü amaçlı, iyicil ya da bilinmeyen olup olmadığını
algılamak için WildFire tehdit bulutunu bir sağlama (hash) ile
sorgular. WildFire bir dosyanın bilinen bir kötü amaçlı yazılım
olduğunu doğrularsa Traps, dosyanın çalıştırılmasını engeller ve
ESM’yi bilgilendirir.
™
3. Kötü Amaçlı Yazılım Tekniklerinin Azaltılması: Saldırganlar, kendi
kötü amaçlı yazılımlarını yerleştirirken güvenlik açığı istismarı (exploit)
tekniklerine benzer şekilde yaygın ve tanımlanabilir teknikler kullanır.
Traps, dosyanın çalışması politika ile kısıtlanmadığı ya da sağlama
(hash) ile WildFire tehdit bulutundaki bilinen bir saldırıyla eşleşmediği
durumda saldırının yürütülmesini tamamen önlemek için alt işlemleri,
web tarayıcılarında başlatılan Java işlemlerini, uzaktan tehdit ve işlem
yaratılmasını ve imzasız işlemlerin yürütülmesini sınırlayan ya da
engelleyen teknik bazlı, etkiyi azaltıcı etkenler (mitigation) uygular.
Dosyanın
çalıştırılmasına
izin verilir
Kullanıcı
çalıştırılabilir
dosyayı
açmaya çalışır.
Politika tabanlı
kısıtlamalar uygulanır.
WildFire'a karşı
HASH denetlenir.
Güvenli!
Kötü amaçlı yazılım
tekniğini
önleme uygulanır.
ESM'ye
Raporlanır
Nasıl çalışır: Kötü amaçlı yazılım önleme.
Adli Analiz Kayıtları (Forensics)
Traps ne zaman bir saldırıyı önlese olay, dosya, meydana gelen durum,
saldırı önlendiğinde belleğin durumu, vb. hakkında adli analiz kaydı
(forensic) ayrıntıları toplanır ve günlük (log) olarak tutulan bilgiler
Endpoint Security Manager ‘a (ESM) raporlanır. Saldırı önlenmiş
olmasına karşın hala toplanabilecek büyük miktarda bilgi vardır.
Kuruluşlar, saldırı girişimine ait tüm adli analiz kayıtlarını (forensics)
yakalayarak korunamayan diğer uç noktalara proaktif savunmalar
uygulayabilir.
Endpoint Security Manager, yönetimsel bilgileri, güvenlik politikası
kurallarını, uç nokta geçmişini ve güvenlik olaylarıyla ilgili ek
bilgileri depolayan merkezi bir veri tabanı içerir. Veri tabanı, MS-SQL
platformu üzerinden yönetilir.
Endpoint Security Manager, kendi günlüklerini (logs) dahili olarak
depolamanın yanı sıra günlükleri, güvenlik bilgisi ve olay yönetimi
(security information and event management - SIEM), Servis Kuruluşu
Denetimleri (Service Organization Controls - SOC’lar) ya da syslog
gibi harici bir günlük tutma platformuna (external logging platform) da
yazabilir. Harici bir günlük tutma platformu belirlemek, tüm Endpoint
Server’lardan (Uç Nokta Sunucusu) toplanan günlüklerin (logs)
birleştirilmiş bir görüntüsünü sağlar.
Endpoint Server (Uç Nokta Sunucusu)
Endpoint Server, güvenlik politikasını düzenli olarak tüm ajanlara
dağıtır ve güvenlik olayları ile ilgili tüm bilgileri yönetir.
• Traps Durumu– Endpoint Security Manager’daki bildiriler ve
sağlık sayfaları her uç nokta için durumu görüntüler.
• Bildirimler – Traps ajanı, ajanda oluşan bir servisin başlaması
ya da sonlanması gibi değişikliklerle ilgili bildirim mesajlarını
Endpoint Server’a gönderir.
• Önleme raporları – Traps, bir olaya ait tüm bilgileri gerçek
zamanlı olarak Endpoint Server’a raporlar.
• Yönetimsel denetim paneli (admin dashboard) ve güvenliğe genel
bakış
• Adli analiz kayıtlarının (forensics) görüntüleri
• Entegrasyon konfigürasyonu
Endpoint Security Manager, merkezi bir veri tabanı içerir
Syslog
ESM
SCCM
Veri tabanı- Seçilmiş ya da
var olanla entegrasyon.
Traps Mimarisi
Traps; Endpoint Security Manager, Endpoint Connection Server ve
uç nokta ajanlarından oluşan 3-katmanlı bir yönetim yapısı sağlar. Bu
model; bir yandan politikalar, adli analiz kayıtları (forensics), vb. için
bir merkezi konfigürasyonu ve veri tabanını korurken büyük yatay
ölçeklenebilirliğe de olanak sağlar.
Endpoint Security Manager (Uç Nokta Güvenlik Yöneticisi)
Endpoint Security Manager, güvenlik olaylarını, uç nokta sağlığını
ve politika kurallarını yönetmek için yönetimsel bir denetim paneli
(administrative dashboard) sağlar. Aynı zamanda ESM, inceleme için
sağlamalar (hash’ler) gönderildiğinde WildFire ile iletişimi de yönetir.
PAGE 3
Bağlantı
sunucusu
Bağlantı
sunucusu
Bağlantı
sunucusu
PA L O A LT O N E T W O R K S : T r a p s Te k n i k V e r i
Kapsama ve Platform Desteği
Traps, yamasız sistemleri korur, hiçbir donanım gerektirmez ve Microsoft Windows çalıştıran her platform (masaüstü bilgisayarlar, sunucular,
endüstriyel denetim sistemleri, terminaller, VDI, VM’ler ve gömülü sistemler vb.) genelinde desteklenir.
Traps, bugün Windows tabanlı şu işletim sistemlerini
destekler:
Ş İSTASYONLARI
• Windows XP SP3
• Windows 7
• Windows 8.1
• Windows Vista SP1
Özellikler
Traps, bu özgün yaklaşımla, bir dereceye kadar statik kapasitede
çalışır ve kötü amaçlı etkinlik için tarama yapmaz; kaynak
kullanımımız çok düşüktür:
TR APS AJANI:
• CPU – Ortalama kullanım %0.1
• Bellek Tüketimi - 25 MB
• Disk Alanı – 15 MB
SUNUCULAR
• Windows Server 2003
• Windows Server 2008 (+R2)
• Windows Server 2012 (+R2)
4401 Great America Parkway
Santa Clara, CA 95054
Ana Hat: +1.408.753.4000
Satış:
+1.866.320.4788 Destek: +1.866.898.9087
www.paloaltonetworks.com
Telif Hakkı ©2014, Palo Alto Networks, Inc. Tüm hakları saklıdır. Palo Alto
Networks, the Palo Alto Networks Logo, PAN-OS, App-ID ve Panorama, Palo
Alto Networks, Inc.’ın ticari markalarıdır. Tüm özellikler haber verilmeksizin
değiştirilebilir. Palo Alto Networks, bu belgedeki hiç bir hata için sorumluluk ya da
bu belgedeki bilgileri güncellemek için hiç bir yükümlülük üstlenmez. Palo Alto
Networks, haber vermeksizin bu yayını değiştirme, düzeltme, aktarma ya da aksi
takdirde yenileme hakkını saklı tutar. PAN_DS_TRAPS_100814
Download

Traps: Gelişmiş Uç Nokta Koruması