A l’instar du monde des pare-feux, Palo Alto Networks a décidé de venir bousculer le monde de la sécurité des endpoints.
De nombreuses attaques ciblées débutent à l’aide d’un exploit délivré via un fichier classique (Microsoft Office ou Adobe PDF). Dès que l’utilisateur ouvre le fichier, le code malicieux exploite une faille applicative pour la détourner et dérouler son attaque avec succès.
Traps aborde cette problématique avec une vue novatrice et unique pour empêcher ces exploits au lieu de se concentrer sur les millions d’attaques individuelles ou les failles applicatives inhérentes. Traps se concentre sur les techniques d’attaque directement utilisées par toute attaque à base d’exploits.
Traps intègre plusieurs mécanismes de prévention ayant une faible empreinte rendant la solution facilement déployable sur tout type de matériel avec un OS Obsolète ou non.
En ce qui concerne la protection contre les malwares, Traps enchaîne différents mécanismes simples à vérifier :
- Une vérification de la whitelist/blacklist définie par l’administrateur ;
- Une vérification de la signature éditeur (est-ce que l’éditeur de l’application est connu et validé par une CA reconnue) ;
- Une exécution en sandbox via le cloud Palo Alto Wildfire pour étudier le comportement et vérifier qu’il ne s’agit pas d’un malware ;
- Une analyse locale de plus d’une centaine de critères statiques permet de tracer l’appartenance potentielle à une famille de malwares. Ce que l’on appelle aussi le machine learning.
- Des restrictions comportementales d’applications pour bloquer certains usages classiques des malwares tels qu’une exécution depuis un répertoire temporaire.
Ces mécanismes sont exécutés séquentiellement et si l’un des points légitime l’application, Traps enchaîne avec l’analyse des techniques d’attaque.
- La prévention contre la corruption de la mémoire permet de détecter les attaques de détournement de la mémoire du système. Ceci est l’une des techniques d’attaque les plus couramment utilisée ;
- Les attaques de type « Logic Flaw Prevention » détournent les processus Windows classiques dans le but de permettre aux malwares de s’attribuer les bons droits et accès ;
- Enfin Traps intègre des techniques de prévention d’exécution de code malicieux injecté par les malwares ;
La force de Traps n’est pas tant les méthodes implémentées mais bien la manière dont Traps fonctionne !
Voici une synthèse de ce qu’apporte Traps de façon plus fonctionnelle.
