Palo Alto Networks: Endpoint Protection (Traps)
Das Thema Endpoint Protection ist nicht neu. Jeder gestandene IT-Sicherheits-Anbieter hat mittlerweile eine Schutzlösung für Einzelsysteme im Portfolio. Das Problem am klassischen, signaturbasierten Ansatz ist die Dauer, die notwenig ist, um Signaturen an die Endpunkte zu liefern. Oftmals dauert es Tage, Wochen oder sogar Monate, bis die notwendigen Signaturen für Malware beim Softwareanbieter definiert und erfolgreich an die Server- und Client-Betriebssysteme verbreitet wurden.
Palo Alto Networks verfolgt mit der neuen Anti-Malware-Lösung „Traps“ einen neuen Ansatz. Die AV-Lösung klinkt sich in laufende Prozesse und neu gestartete Prozesse auf den Systemen ein und prüft diese fortwährend auf Anomalien und spezielle Eingriffe. Während bekannte Malware von klassischen AV-Anbietern kurzfristig zu einem sehr hohen Prozentsatz erkannt und geblockt wird, wird unbekannte, neue Malware selten kurzfristig erkannt. Damit auch Zero-Day-Malware inklusive neuer Exploits erkannt und geblockt werden kann, muss der Traps-Client auf dem System laufen.
Bei Erkennung von Exploit und Malware wird der Exploit/die Malware geblockt, der Prozess gekillt und Logdaten auf dem Client gesammelt.
Diese Informationen werden dann gemeinsam an den Endpoint Security Manager geschickt. Der Endpoint Security Manager konsolidiert die Daten und tauscht sich hashbasiert mit Wildfire aus.
Welche Systeme werden aktuell von Traps unterstützt?
- Windows XP with SP3
- Windows Vista
- Windows 7
- Windows 8.1
- Windows Server 2003
- Windows Server 2008
- Windows Server 2012
Dieser Beitrag ist auch zu lesen auf consulting-lounge.de.
Bei Interesse oder Fragen gerne über das Kontaktformular melden. Please feel free to use the contact form.