Voltar

Traps: Proteção Avançada para Endpoint

22/03/2018

O Traps da Palo Alto Networks adota uma abordagem exclusiva em segurança do endpoint, destinada a oferecer proteção completa, incluindo prevenção contra ataques convencionais e ataques avançados e direcionados que as soluções convencionais não conseguem evitar.
Em vez de procurar identificar os milhões de ataques individuais em si ou detectar comportamento malicioso que pode passar despercebido, o Traps concentra o foco nas técnicas básicas utilizadas por todo invasor no seu ataque.

Colocando uma série de “armadilhas” de exploração no processo para mitigar essas técnicas, o Traps consegue driblar o ataque imediatamente, antes da possível execução de qualquer atividade maliciosa. 

Essa abordagem exclusiva permite que o Traps seja compatível com qualquer aplicativo, protegendo todos os aplicativos, inclusive os de terceiros.

*Prevenção contra exploração*

Atualmente, o processo de exploração de uma vulnerabilidade em um endpoint exige a execução de várias técnicas avançadas operando em sequência. Por exemplo, em um ataque típico, para controlar um sistema, um invasor tentará corromper ou driblar a alocação de memória, os handlers. Utilizando técnicas de corrupção de memória como sobrecarga de buffer ou corrupção de heap, o invasor se aproveita dos pontos fracos ou vulnerabilidades do software alvo para rodar um código específico. Depois de executar esse código, ele consegue baixar um malware ou controlar todo o sistema para tirar proveito dele.

Independentemente do ataque ou da complexidade dele, para que o ataque seja bem-sucedido é necessário que o invasor execute uma série de técnicas de exploração em sequência. Alguns ataques compreendem mais passos, outros menos, mas em todos os casos são utilizadas pelo menos duas ou três técnicas para explorar o endpoint desejado.

*Como a prevenção de exploração funciona*

O Traps emprega uma série de módulos de prevenção de exploração destinados a mitigar e bloquear as diferentes técnicas de exploração disponíveis para os invasores. Esses módulos, injetados nos processos do usuário, agem como “armadilhas”. O objetivo deles é acionar e bloquear a técnica de exploração do invasor na primeira tentativa. Sempre que um aplicativo é aberto, o Traps insere módulos de prevenção nesse processo de forma imperceptível, como “armadilhas” transparentes e estáticas. Assim que o módulo entra no processo, ele fica protegido contra qualquer exploração. Se acontecer uma tentativa de exploração usando uma das técnicas disponíveis, o Traps bloqueia na hora a técnica, finaliza o processo e notifica tanto o usuário como o administrador que um ataque foi evitado. Além disso, ela coleta detalhes para análise forense e emissão de relatórios com informações para o Endpoint Security Manager (ESM). Como a exploração sempre é resultado de ações em cadeia, só é preciso impedir uma técnica dessa cadeia para conseguir bloquear o ataque.

Se não ocorrer nenhuma tentativa, tudo continua normalmente entre o usuário e o processo. Como o Traps utiliza pouquíssimo recurso, as medidas preventivas que acontecem nos bastidores não interferem na experiência do usuário.

Com foco nas técnicas de exploração e não no ataque em si, o Traps consegue impedir o ataque, sem conhecimento anterior da vulnerabilidade e independente se foi aplicado algum patch, atualização de assinatura ou de software no sistema. É importante observar que o Traps não varre nem monitora o sistema em busca de atividade maliciosa, uma grande vantagem
desse enfoque em termos de escalabilidade, que utiliza muito pouco da CPU e da memória.
A técnica de prevenção de exploração do Traps tem como objetivo impedir ataques às vulnerabilidades dos programas, usando para isso corrupção da memória e erros lógicos. 

Entre os ataques que o Traps consegue evitar estão:


• Corrupção da memória
• Impedir que código Java seja executado nos navegadores em determinadas condições
• Impedir que executáveis se expandam para os processos-filho, em determinadas condições
• Sequestro de DLL (dynamic-link library), substituindo uma DLL idônea por uma maliciosa com o mesmo nome.
• Sequestro do fluxo de controle do programa
• Inserção de código malicioso como handler de exceção

*Prevenção contra malware*


Os arquivos executáveis maliciosos, os chamados malwares, normalmente disfarçam-se ou ficam embutidos em arquivos não maliciosos. Eles podem causar danos porque tentam controlar o computador, coletar informações confidenciais e corromper as operações normais do sistema.
Embora os invasores sofisticados estejam cada vez mais explorando as vulnerabilidades dos softwares, os ataques também estão progredindo com malwares (arquivos executáveis) desconhecidos ou manipulados. Como esses tipos de ataques geralmente não têm assinaturas, strings nem Comportamento anterior conhecidos, as abordagens convencionais de segurança do endpoint não conseguem detê-los.

Para impedir com sucesso a execução de malwares no endpoint, o Traps utiliza os três componentes a seguir para prevenção contra malwares: 

1. Restrições baseadas em políticas;
2. Inspeção pelo Wildfire
3. Mitigação das técnicas de malware

*Análise forense*

Sempre que o Traps evita um ataque, serão coletados em tempo real detalhes do processo para análise forense: o arquivo onde ocorreu a tentativa, o estado da memória quando o ataque foi evitado e vários outros dados. O relatório contendo essas informações será registrado no Endpoint Security Manager (ESM). Apesar de o ataque ter sido evitado, ainda há bastante inteligência a ser coletada. Capturando todos os dados para análise forense da tentativa de ataque, as empresas precisam aplicar defesas proativas em outros terminais que podem não estar protegidos.

*Arquitetura do Traps*

A solução Traps oferece uma estrutura de gerenciamento em três camadas composta pelo Endpoint Security Manager, Endpoint Connection Server e agentes em terminais. Esse modelo possibilita grande escalabilidade horizontal, mas mantendo a configuração centralizada e um banco de dados para políticas, análise forense etc. 

*Endpoint Security Manager*


O Endpoint Security Manager traz um painel administrativo para gerenciamento dos eventos de segurança, da saúde dos terminais e das regras das políticas. O ESM também cuida da comunicação com o WildFire quando os hashes são enviados para inspeção. O centro de gerenciamento integrado do ESM cobre:

• Gerenciamento das configurações
• Registros e consulta ao banco de dados
• Painel de administrador e visão geral da segurança
• Capturas de tela para análise forense
• Configuração da integração

O Endpoint Security Manager inclui um banco de dados centralizado que armazena informações administrativas, regras das políticas de segurança, histórico de terminais e informações adicionais sobre os eventos de segurança. O banco de dados é gerenciado pela plataforma MS-SQL. 
O Endpoint Security Manager cria registros em uma plataforma para registros externa como a SIEM (security information and event management), SOCs (Service Organization Controls) ou syslog, além de armazenamento interno dos registros. A especificação de uma plataforma de registro externa permite ter um quadro agregado dos registros de todos os Servidores de Terminais.


Servidor de Endpoint

O Endpoint Server distribui regularmente a política de segurança para todos os agentes e gerencia todas as informações relacionadas aos eventos de segurança.

• Status do Traps – as notificações e páginas sobre a saúde do ambiente no Endpoint Security Manager mostram o status de cada endpoint.
• Notificações – o agente Traps envia mensagens de notificação sobre qualquer mudança no agente como o início e encerramento de um serviço para o Endpoint Server.
• Relatórios sobre prevenção – o Traps reporta todas as informações sobre um evento para o Endpoint Server em tempo real.

*Cobertura e Compatibilidade com plataformas*

A Traps protege sistemas sem patches, não precisa de hardware e é compatível com qualquer plataforma com Microsoft Windows; desktops, servidores, sistemas industriais de controle, terminais, VDI, máquinas virtuais, sistemas integrados etc. 

Fonte: Palo Alto Networks