通过满足隐私和监管要求的内部分析,自动检测并防止零日攻击和恶意软件
Palo Alto Networks WildFire private cloud appliance(WF-500)对基于WildFire cloud的威胁分析环境进行了补充,提供了针对零日攻击和恶意软件的内部分析、引爆和自动协调预防。该设备的私有云架构允许企业满足隐私和监管要求,同时仍能从15500多名WildFire云用户的共享威胁情报和保护中获益。
敏感或受监管行业的组织在利用基于云的恶意软件分析服务(需要将内容发送到组织外部)的同时,难以维护数据隐私。为了在隐私方面提供最先进的安全性,WildFire采用了一种独特的混合方法,使用私有云设备进行本地引爆,同时利用共享情报和保护,包括基于策略向全球云提交不太敏感的内容。
把未知变成已知
作为共享野火体系结构的一部分,Palo Alto Networks®野火™ 设备通过多种互补分析技术的组合检测未知威胁,包括:
• 静态分析 – 检查文件的1000多个特征,以快速有效地确定恶意。
• 动力分析 – 根据确凿的行为属性,自动引爆虚拟环境中的文件,以发现以前从未见过的恶意软件。
• 共享威胁情报 – 通过在本地分析之前匿名查询WildFire全球云,可以选择性地利用来自15500多名WildFire订户的共享威胁情报和保护。
该设备可以执行可疑内容,可以完全查看常见的被利用文件格式,包括EXE、DLL、ZIP和PDF,以及Microsoft®Office文档、Java®文件、Adobe®Flash®小程序和电子邮件中的链接。
本地分析、云优势
默认情况下,WildFire appliance会进行所有威胁分析,并生成本地保护;它不会将任何内容发送到网络之外。
然而,客户有基于政策的选择,可以酌情利用来自整个野火生态系统的集体威胁情报,包括:
• 单机 – 不需要任何互联网连接来产生爆炸和保护。该设备可在完全隔离的环境中使用,并可手动更新。
• 云查询 – 可以匿名请求Palo Alto Networks威胁情报云的裁决,以在样本不离开网络的情况下提高准确性和吞吐量。
• 混杂模式 – 使用基于文件类型、应用程序或网络流量(上传或下载的文件)的细粒度策略将文件转发到WildFire appliance或WildFire global cloud。
预防的自动化协调
由于WildFire设备独特的基于云的架构,它形成了中央协调点,负责生成和传播所有本地Palo Alto网络下一代防火墙的保护。文件会自动发送到设备进行引爆和情报提取,从零日攻击或恶意软件的第一次实例开始,只需五分钟即可创建新的预防控制。该系统覆盖攻击生命周期的多个阶段,具有反恶意软件和DNS签名,以及PAN-DB的更新URL分类。
大规模分析规模与可靠性
WildFire appliance支持强大的群集功能,为大型网络提供更高的可靠性和分析能力。威胁信息与多达20个群集设备共享,以确保向所有防火墙提供单一、统一的签名包。高可用性、冗余存储和负载平衡确保了分析功能和数据在每天分析数十万个文件的过程中可能发生的任何硬件故障下都不会失效。
威胁情报、分析和关联
结合WildFire设备和可选样本提交,组织可以使用自动聚焦™ 背景威胁情报服务,以磨练最有针对性的威胁,具有高度的相关性和背景。AutoFocus能够搜索从设备中提取的数据,并将危害指标和样本与42单元威胁研究团队的人类智能相关联。
WildFire appliance和AutoFocus结合在一起,可以让您了解针对您的组织和行业的未知威胁,并提高您在不增加专业安全人员的情况下快速采取情报行动的能力。
集成日志记录、报告和取证
WF-500设备集成到Panorama中™ 网络安全管理,使其更容易集中管理其健康状况、策略和聚合分析统计数据。
WF-500用户通过Panorama(PAN-OS®管理界面)接收恶意事件的集成日志、分析和可见性,使团队能够快速调查和关联在其网络中观察到的事件。
下一代安全平台
WildFire设备是Palo Alto Networks下一代安全平台的一部分,可以识别和自动预防所有威胁,无论它们是来自web、电子邮件还是文件服务器,这与单功能沙箱设备不同。作为平台的一部分,WildFire设备提供:
• 对所有网络流量的完全可视性,包括隐蔽地试图逃避检测,例如使用非标准端口或SSL加密。
• 通过积极的安全控制减少攻击表面,主动清除感染媒介。
• 通过我们的下一代防火墙、威胁预防、URL过滤和陷阱实现自动已知威胁预防™ 高级端点保护和光圈™ SaaS安全服务,针对已知的漏洞、恶意软件、恶意URL以及命令和控制活动提供防御。
• 借助WildFire进行未知威胁检测和预防,包括通过自动聚焦服务进行具有高度相关性和上下文的威胁分析。