German WildFire Cloud

Vermehrt umgehen hochentwickelte Cyberangriffe durch getarnte und hartnäckige Methoden traditionelle Security-Maßnahmen, wodurch Ihre herkömmlichen Antivirus-, Intrusion-Prevention- und zweckgebundenen Sandbox-Appliance-Systeme keinen hochwertigen Schutz mehr leisten können. Deshalb dient die von Palo Alto Networks entwickelte WildFire-Technologie, entsprechend den neuartigen Aufgaben, als zusätzliche Schutzmaßnahme zur Verteidigung gegen fortgeschrittene, anhaltende Bedrohungsarten (APTs).

Identifikation von bisher unbekannter Bedrohung 

Die German WildFire Cloud der DTS identifiziert unbekannte Malware, Zero-Day-Attacken und APTs durch Ausführung dieser Bedrohungen in einer skalierbaren, cloud-basierten Sandbox-Umgebung.

Über Ihre Palo Alto Firewall bieten wir Ihnen einen Zugang zur German WildFire Cloud, damit Sie am verbesserten Schutz teilhaben können. Denn WildFire klassifiziert den gesamten Traffic von über 2.000 Anwendungen nativ, um unbekannte Schadprogramme und Schwachstellen aufzuspüren. Anschließend werden die verdächtigen Inhalte auf dem WildFire-System der DTS durch gewöhnliche Dateitypen, wie beispielsweise PDF-, RTF-, Office-Dokumente und PE-Dateien, welche EXEs, DLLs, Fonts und weitere Typen beinhalten, ausgeführt. Unabhängig von Ports oder Verschlüsselungen wird der Traffic dadurch auf einer einzigartig statischen und dynamischen Verhaltensmethode frühzeitig und vollständig transparent auf unbekannte Cyberangriffe analysiert und identifiziert.

Automatischer Schutz durch globale Verteilung

Das Erkennen einer Bedrohung ist der erste Schritt, doch der wahre Wert der WildFire liegt im Schutz jedes einzelnen Benutzers und Netzwerks. Bei Identifikation einer unbekannten Bedrohung generiert WildFire einen automatischen Schutz, um die Bedrohung und die mögliche Ausbreitung (Cyber-Kill-Chain) zu blockieren. Der generierte Schutz wird dann per Update in maximal 30 Minuten an alle WildFire-Nutzer weltweit verteilt. Durch diese schnelle Schutzverteilung kann die rapide Ausbreitung der Malware und weiterer zukünftiger Variationen ohne zusätzliche Tätigkeit oder Analyse bei allen Nutzern erkannt und blockiert werden.

Des Weiteren werden bekannte Bedrohungen proaktiv über die Threat-Prevention geblockt, welche als erste etablierte Verteidigungsmaßnahme gegen die schon bekannten Malware, Exploits und bösartigen URLs dient.

In Verbindung mit dem Schutz vor schädlichen Dateien und Exploits bieten wir Ihnen eine tiefgehende Analyse der schädlich abgehenden Kommunikation, störenden Command-and-Control-Aktivitäten mit Anti-C2-Signaturen und den DNS-basierten Callback-Signaturen an. Denn auch diese Informationen fließen zusätzlich in die Palo Alto Networks Datenbanken ein, wo neu entdeckte bösartige URLs automatisch blockiert werden.

Diese Korrelation von Daten und In-Line-Schutzmaßnahmen sind der Schlüssel zur Identifizierung und Abwehr von Einbruchsversuchen und zukünftigen Angriffen auf Ihr Netzwerk. Nur durch diese kombinierten Maßnahmen können sowohl bekannte als auch unbekannte Bedrohungen frühzeitig entdeckt und verhindert werden.

Vorgehensweise mittels WildFire:

Reduzierung der Angriffsfläche durch aktive Sicherheitskontrollen.

  1. Blockierung der bekannten Bedrohungen durch dauerhafte Überwachung des Traffics, der Ports und Protokolle.
  2. Schnelle Aufdeckung der unbekannten Bedrohungen durch Durchführung und Überwachung der wirklichen Verhaltens- weisen von eingehenden, unbekannten Inhalten in der German WildFire Cloud.
  3. Automatische Entwicklung neuer Schutzmaßnahmen mit anschließender Integration in die Abwehrmechanismen aller WildFire-Nutzer, wodurch die unbekannten zu bekannten Bedrohungen und somit die Bedrohungen für alle unterbunden werden.

Die Stärke der WildFire Cloud nach deutscher Konformität

Die Lösung ist eine cloudbasierte Architektur, welche für Sie in unseren Rechenzentren betrieben wird. Sie können die German WildFire Cloud ohne zusätzliche Hardwarekosten durch Ihre bestehenden Palo Alto Networks-Firewalls nutzen und erhalten somit den Zugang zu den dynamisch skalierten Malware-Analysen und der automatischen Verteilung von Schutzmaßnahmen. WildFire entspricht absichtlich einer sehr genauen Hardwarenachbildung, um realitätsnah verdächtige Proben zu analysieren und auszuführen. Durch den redundanten Aufbau der Umgebung in zwei deutschen Rechenzentren der ICS garantieren wir Ihnen eine Sicherheitslösung, welche den deutschen Regularien bzw. der Konformität nach dem Bundesdatenschutzgesetz entspricht. Alle verdächtigen Dateien werden sicher und verschlüsselt zwischen Ihrer Firewall und einem ICS Rechenzentrum übertragen. Nach Analyse werden gutartige Dateien vernichtet, während schädliche Dateien für weitere Analysen archiviert bzw. sicher aufbewahrt werden. Hierdurch gewähren wir Ihnen die Privatsphäre Ihrer Daten.

Somit bietet ICS als erstes deutsches Unternehmen mit der German WildFire Cloud eine virtuelle Malware-Analyseumgebung nach deutschem Recht an, welche über alle Firewalls hinweg gemeinsam verwendet werden kann, anstatt an jedem Ein-, Ausgangs- und Netzwerkpräsenzpunkt separate Hardware einzusetzen. Dieser Ansatz garantiert Ihnen eine maximal gemeinsame Nutzung von Informationen gegen Bedrohungen mit gleichzeitig minimalen Hardwareanforderungen.

Reporting und Korrelation

Außerdem versorgt WildFire Sie mit integrierten Protokollen, Analysen und Einsichten in WildFire-Ereignisse auf der Administrationsoberfläche von Palo Alto Networks oder Panorama. Dadurch haben Sicherheitsexperten die Möglichkeit, die im Netzwerk beobachteten Ereignisse umgehend zu untersuchen und zu korrelieren. Somit können Sie die Daten, welche Sie für frühzeitige Untersuchungen und Reaktionsmaßnahmen auf Vorfälle benötigen, schnell lokalisieren und anschließend in Aktionen wie Protokollanfragen oder benutzerdefinierten Signaturen umsetzen.

Informationen liefern wichtige Erkenntnisse über schädliches Verhalten, z.B. über sondierte Domains, erstellte Dateien, betroffene Registrierungseinträge und schädliches Verhalten.

Zur Unterstützung der Security und zur Aufdeckung von infizierten Hosts bietet WildFire auch:

  • Ausführliche Analysen zu jeder böswilligen, an WildFire gesandten Datei über vielfache Betriebssystemumgebungen, einschließlich sowohl client- als auch netzbasierte Tätigkeiten
  • Sitzungsdaten, welche mit der böswilligen Malware in Verbindung geraten sind, einschließlich Quelle, Bestimmungsort, Anwendung, User-ID™, URL-Adresse, usw.
  • Zugang z.B. zu originalen Malware-samples zwecks Rekonstruierung bzw. Nachbildung und zu allen PCAPs aus den dynamischen Analyse-Sessions
  • Eine Analyse liefert viele Gefährdungshinweise, wodurch gezielt gegen die ganze APT-Kill-Chain vorgegangen werden kann