Positive Hack Days, profile picture
Uploaded byPositive Hack Days
750 views

Хакер в ловушке, или Практическая демонстрация блокировки эксплойтов и криптолокера

Документ описывает методы защиты от атак хакеров, используя практические примеры и технологии от Palo Alto Networks. Подчеркивается важность блокирования на каждом этапе kill chain для предотвращения атак и демонстрации защиты от современных вредоносных программ, таких как криптолокеры. Кроме того, упоминается использование Threat Intelligence и динамически обновляемых фидов для блокировки угроз.

Embed presentation

практическая демонстрация блокировки эксплойтов Хакер в ловушке Денис Батранков denis@paloaltonetworks.com
Инфицирование отдельных серверов в ЦОД Достичь ЦОД Получить управление над целевой системой в ЦОД Достичь цели Для защиты от APT нужно иметь метод блокировки на каждом этапе Kill Chain Вектор атаки превратился в цепочку атак Цель хакера: пройти все этапы и атаковать. Цель безопасника: Установить защиту на каждом этапе, чтобы блокировать хотя бы одно звено цепи = остановить атаку! В атаке Anunak на банковский сектор cреднее время от первого письма до вывода денег – 42 дня (отчет компании Group-IB) Кража интеллектуальной собственности, финансовые транзакции, вымогательство Кража/шифрование данных Перемещение внутри сети и инфицирование других станций Обход защиты на рабочих станциях Приманка, компрометация, доставка эксплойта в почту Брешь в защите периметра Загрузка полноценного вируса и установление обратного канала Доставка вредоносного ПО
Многоэшелонированая защита внутри NGFW App-ID URL IPS ThreatLicense Spyware AV Files WildFire Блокировка приложений URL Malware Block the exploit Скрытое скачивание Неизвестные вирусы Известные вредоносы spyware, C&C C&C fast-flux domains Новые C&C Блокирование активных атак по сигнатурам, источникам, поведению Приманка •Эксплоит •Загрузка ПО для «черного хода» Установление обратного канала •Разведка и кража данных Этапы атаки
URL фильтр DNS Sinkholing Динамиче ские DNS Detect and Block Threat Intelligence: Блокировка центров управления URL категория - malware, DNS Sinkholing, Anti-Spyware Сразу блокируем ненужные для работы URL Сразу видим DNS запросы к вредоносным ресурсам. Сразу блокируем сайты на динамических DNS Сигнатуры популярных систем удаленного управления
TRAPS предотвращает атаки на хостах Документ открывает пользователь, ничего не ожидая Traps незаметно интегрируется в процесс Техника эксплуатации блокируется до начала вредоносной активности Когда происходит попытка взлома, то эксплойт вызывает ловушку и останавливается до того как вредоносная активность начинается Traps Traps оповещает о событии и собирает данные для анализа UserAdmin is Notified PDF P D F P D F Process is Terminated Forensic Data is Collected R R R
Kill Chain на практике Использовать уязвимость Скрипты (Wscript, Jscript) Макросы(VBA) Dropper (Executables, DLLs, powershell WMI, ..) Downloader (Executable, DLL, WMI, etc.) Выполнение вредоносного функционала Anti Exploit Эскалация привилегий (после эксплуатации) Child Objects Local Analysis WildFire У нас есть ловушки TRAPS
Kill Chain на практике Использовать уязвимость Скрипты (Wscript, Jscript) Макросы(VBA) Dropper (Ejecutables, DLLs, powershell WMI, ..) Downloader (Ejecutable, DLL, WMI, etc.) Выполнение вредоносного функционала Anti Exploit Эскалация привилегий (после эксплуатации) Child Objects Local Analysis WildFire Anti Exploit Anti Exploit Anti Exploit* Child Objects Anti Exploit* Local Analysis WildFire Anti Exploit* Local Analysis WildFire Local Analysis WildFire У нас есть ловушки TRAPS
Демонстрация защиты от криптолокера Locky
Анализируем что происходило Доставка Эксплуатация Удаленное управление Инсталляция X X X X X X X DNS сигнатуры AppID DefPort URL фильтр AV сигнатуры. IPS сигн. AV сигн. SSL Decrypt FileBlock AppID unknown X HTTPS : locky.exe
Как защищает Palo Alto Networks IP Feeds. Динамически обновляемые фиды плохих и рискованных IP-адресов, используемых в атаках. Threat Prevention (TP). Антивирус получает сигнатуры WannaCry вместе с обновлениями каждые 15 минут. IPS блокирует попытки эксплуатации MS17-010 URL Filtering. Блокирует URL-адреса, используемые в атаке. Обновления сразу же. DNS Sinkholing. Функция DNS Sinkholing позволяет идентифицировать зараженные хосты в сети. Traps Traps предотвращает запуск известных и неизвестных вариантов WanaCrypt0r на хостах. Моментально. Aperture Сервис защиты SaaS-приложений обнаруживает вредоносы и помещает их в карантин, использует Wildfire и DLP контролирует контент. AutoFocus Сервис AutoFocus предоставляет данные об используемых семплах, тактиках, техниках и процедурах для аналитиков SOC/IRP и охоты за угрозами в сети. Например поиск по тегу WanaCrypt0r WildFire WildFire автоматически анализирует все новые семплы, например от WanaCrypt0r, сразу создает защиту и аналитику, и рассылает их на NGFW, Traps, Aperture и AutoFocus. Всё в течение 5 минут.
Как самому попробовать? Легко! 11 | © 2017 Palo Alto Networks, Inc. Confidential and Proprietary. • Все уже установлено на виртуальных машинах – осталось запустить TRAPS Лучше антивируса Migration Tool Firewall -> NGFW Panorama Управление NGFW NGFW URL,AV,IPS,APP, … NGFW+TRAPS NSX, vCenter, ESXi Защита виртуализации
Платформа Palo Alto Networks Мы работаем для вашей защиты Обеспечиваем заданную производительность при всех включенных сервисах безопасности Email офиса в России: Russia@paloaltonetworks.com
Видеозапись демонстрации расположена тут https://youtu.be/Z2jmzzZniMo Email офиса в России: Russia@paloaltonetworks.com

More Related Content

PPT
принципы защиты информации от сетевых атак и шпионажа
byKolesntein_Iogan
 
PPTX
Ты, а не тебя. Армии умных ботов в руках хакера
byPositive Hack Days
 
PDF
Атрибуция кибератак
byAleksey Lukatskiy
 
PPT
принципы защиты информации от сетевых атак и шпионажа
byKolesntein_Iogan
 
PPTX
История из жизни. Демонстрация работы реального злоумышленника на примере ата...
byDmitry Evteev
 
PPT
Н.Романов (Trend micro) - Скрытые угрозы: можно ли тайное сделать явным?
byExpolink
 
PPTX
Современные вирусные угрозы
byDmitry Ledyaev
 
PDF
FireEye IDC IT Security Roadshow Moscow 2016
byDmitry Ragushin
 
принципы защиты информации от сетевых атак и шпионажа
byKolesntein_Iogan
 
Ты, а не тебя. Армии умных ботов в руках хакера
byPositive Hack Days
 
Атрибуция кибератак
byAleksey Lukatskiy
 
принципы защиты информации от сетевых атак и шпионажа
byKolesntein_Iogan
 
История из жизни. Демонстрация работы реального злоумышленника на примере ата...
byDmitry Evteev
 
Н.Романов (Trend micro) - Скрытые угрозы: можно ли тайное сделать явным?
byExpolink
 
Современные вирусные угрозы
byDmitry Ledyaev
 
FireEye IDC IT Security Roadshow Moscow 2016
byDmitry Ragushin
 

What's hot

PDF
Ростелеком. Ольга Макарова. "Информацинная безопасность в современных реалиях...
byExpolink
 
PPT
Троянские программы.
byBitUser Nguyễn
 
PDF
Борьба с фишингом. Пошаговая инструкция
byAleksey Lukatskiy
 
PPT
Kiberopastnost Sg
byanisol
 
PDF
Обнаружение необнаруживаемого
byAleksey Lukatskiy
 
PPTX
03
bymalvvv
 
PPT
01 Sachkov
byTraining center "Echelon"
 
PDF
Отчет Cisco по кибербезопасности за первое полугодие 2016 г.
byCisco Russia
 
PPSX
доктор веб медведев вячеслав год прошел как сон пустой или почему ничего не м...
byExpolink
 
PPTX
Безопасная работа в cети Интернет. Самборская Л.Н.
byTCenter500
 
PDF
SAMS - System Analysis of eMail messageS
byC0ffe1n
 
PPT
Информационная безопасность и web-приложения
byMaxim Krentovskiy
 
PDF
Тенденции мира информационной безопасности для финансовых организаций
byAleksey Lukatskiy
 
PDF
Охота на угрозы на BIS summit 2016
bySergey Soldatov
 
PDF
Доклад SiteSecure
byPositive Hack Days
 
PPTX
Истории из жизни. Как взламывают сети крупных организаций.
byDmitry Evteev
 
PPTX
PHDays 2012: Future Now
byDmitry Evteev
 
PDF
IT-Task. Дмитрий Ильин. "SIEM как головной мозг системы обеспечения информаци...
byExpolink
 
PPTX
Вадим Ковкин - Безопасный коммуникатор: миф или реальность?
byHackIT Ukraine
 
Ростелеком. Ольга Макарова. "Информацинная безопасность в современных реалиях...
byExpolink
 
Троянские программы.
byBitUser Nguyễn
 
Борьба с фишингом. Пошаговая инструкция
byAleksey Lukatskiy
 
Kiberopastnost Sg
byanisol
 
Обнаружение необнаруживаемого
byAleksey Lukatskiy
 
03
bymalvvv
 
01 Sachkov
byTraining center "Echelon"
 
Отчет Cisco по кибербезопасности за первое полугодие 2016 г.
byCisco Russia
 
доктор веб медведев вячеслав год прошел как сон пустой или почему ничего не м...
byExpolink
 
Безопасная работа в cети Интернет. Самборская Л.Н.
byTCenter500
 
SAMS - System Analysis of eMail messageS
byC0ffe1n
 
Информационная безопасность и web-приложения
byMaxim Krentovskiy
 
Тенденции мира информационной безопасности для финансовых организаций
byAleksey Lukatskiy
 
Охота на угрозы на BIS summit 2016
bySergey Soldatov
 
Доклад SiteSecure
byPositive Hack Days
 
Истории из жизни. Как взламывают сети крупных организаций.
byDmitry Evteev
 
PHDays 2012: Future Now
byDmitry Evteev
 
IT-Task. Дмитрий Ильин. "SIEM как головной мозг системы обеспечения информаци...
byExpolink
 
Вадим Ковкин - Безопасный коммуникатор: миф или реальность?
byHackIT Ukraine
 

Similar to Хакер в ловушке, или Практическая демонстрация блокировки эксплойтов и криптолокера

PPTX
Zero Trust Networking with Palo Alto Networks Security
byDenis Batrankov, CISSP
 
PPTX
Визуализация взломов в собственной сети
byDenis Batrankov, CISSP
 
PDF
Expose the underground - Разоблачить невидимое
byDenis Batrankov, CISSP
 
PDF
Визуализация взломов в собственной сети PAN
byАльбина Минуллина
 
PDF
Check Point. Сергей Чекрыгин. "Check Pont. На шаг впереди"
byExpolink
 
PPS
Check Point. Сергей Чекрыгин. "На один шаг впереди"
byExpolink
 
PDF
CheckPoint. Сергей Чекрыгин. "Check Pont. На шаг впереди"
byExpolink
 
PDF
Check Point. Сергей Чекрыгин. "На один шаг впереди"
byExpolink
 
PDF
Check Point. Сергей Чекрыгин. "На один шаг впереди"
byExpolink
 
PPS
Check Point. Сергей Чекрыгин. "На один шаг впереди"
byExpolink
 
PDF
Check Point. Сергей Чекрыгин. "На шаг впереди"
byExpolink
 
PPS
Check Point. Сергей Чекрыгин. "На один шаг впереди"
byExpolink
 
PDF
Check Point. Сергей Чекрыгин. "На один шаг впереди"
byExpolink
 
PPS
Check Piont. Чекрыгин Сергей. "На один шаг впереди"
byExpolink
 
PPS
Palo Alto Networks. Евгений Кутумин. "Платформа Palo Alto Networks для защиты...
byExpolink
 
PDF
Palo Alto Traps - тестирование на реальных семплах
byVladyslav Radetsky
 
PPTX
Защита корпорации на платформе Palo Alto Networks
byDenis Batrankov, CISSP
 
PDF
ВЕБИНАР: ЛУЧШИЕ ПРАКТИКИ И РЕКОМЕНДАЦИИ ПО ПРОТИВОДЕЙСТВИЮ ЦЕЛЕВЫМ КИБЕРАТАКА...
byDialogueScience
 
PDF
Check Point. Сергей Чекрыгин. "На один шаг впереди"
byExpolink
 
PPTX
Check Piont. Чекрыгин Сергей. "На один шаг впереди"
byExpolink
 
Zero Trust Networking with Palo Alto Networks Security
byDenis Batrankov, CISSP
 
Визуализация взломов в собственной сети
byDenis Batrankov, CISSP
 
Expose the underground - Разоблачить невидимое
byDenis Batrankov, CISSP
 
Визуализация взломов в собственной сети PAN
byАльбина Минуллина
 
Check Point. Сергей Чекрыгин. "Check Pont. На шаг впереди"
byExpolink
 
Check Point. Сергей Чекрыгин. "На один шаг впереди"
byExpolink
 
CheckPoint. Сергей Чекрыгин. "Check Pont. На шаг впереди"
byExpolink
 
Check Point. Сергей Чекрыгин. "На один шаг впереди"
byExpolink
 
Check Point. Сергей Чекрыгин. "На один шаг впереди"
byExpolink
 
Check Point. Сергей Чекрыгин. "На один шаг впереди"
byExpolink
 
Check Point. Сергей Чекрыгин. "На шаг впереди"
byExpolink
 
Check Point. Сергей Чекрыгин. "На один шаг впереди"
byExpolink
 
Check Point. Сергей Чекрыгин. "На один шаг впереди"
byExpolink
 
Check Piont. Чекрыгин Сергей. "На один шаг впереди"
byExpolink
 
Palo Alto Networks. Евгений Кутумин. "Платформа Palo Alto Networks для защиты...
byExpolink
 
Palo Alto Traps - тестирование на реальных семплах
byVladyslav Radetsky
 
Защита корпорации на платформе Palo Alto Networks
byDenis Batrankov, CISSP
 
ВЕБИНАР: ЛУЧШИЕ ПРАКТИКИ И РЕКОМЕНДАЦИИ ПО ПРОТИВОДЕЙСТВИЮ ЦЕЛЕВЫМ КИБЕРАТАКА...
byDialogueScience
 
Check Point. Сергей Чекрыгин. "На один шаг впереди"
byExpolink
 
Check Piont. Чекрыгин Сергей. "На один шаг впереди"
byExpolink
 

More from Positive Hack Days

PDF
Credential stuffing и брутфорс-атаки
byPositive Hack Days
 
PDF
Уязвимое Android-приложение: N проверенных способов наступить на грабли
byPositive Hack Days
 
PDF
SOC для КИИ: израильский опыт
byPositive Hack Days
 
PDF
Мастер-класс «Трущобы Application Security»
byPositive Hack Days
 
PPTX
Методика определения неиспользуемых ресурсов виртуальных машин и автоматизаци...
byPositive Hack Days
 
PPTX
Инструмент ChangelogBuilder для автоматической подготовки Release Notes
byPositive Hack Days
 
PPTX
Использование анализатора кода SonarQube
byPositive Hack Days
 
PPTX
Типовая сборка и деплой продуктов в Positive Technologies
byPositive Hack Days
 
PDF
Теоретические основы Application Security
byPositive Hack Days
 
PPTX
Развитие сообщества Open DevOps Community
byPositive Hack Days
 
PDF
Эвристические методы защиты приложений
byPositive Hack Days
 
PDF
Honeywell Industrial Cyber Security Lab & Services Center
byPositive Hack Days
 
PPTX
Механизмы предотвращения атак в ASP.NET Core
byPositive Hack Days
 
PPTX
Как мы собираем проекты в выделенном окружении в Windows Docker
byPositive Hack Days
 
PPTX
От экспериментального программирования к промышленному: путь длиной в 10 лет
byPositive Hack Days
 
PPTX
Требования по безопасности в архитектуре ПО
byPositive Hack Days
 
PDF
Формальная верификация кода на языке Си
byPositive Hack Days
 
PPTX
Автоматизация построения правил для Approof
byPositive Hack Days
 
PPTX
Аналитика в проектах: TFS + Qlik
byPositive Hack Days
 
PDF
Формальные методы защиты приложений
byPositive Hack Days
 
Credential stuffing и брутфорс-атаки
byPositive Hack Days
 
Уязвимое Android-приложение: N проверенных способов наступить на грабли
byPositive Hack Days
 
SOC для КИИ: израильский опыт
byPositive Hack Days
 
Мастер-класс «Трущобы Application Security»
byPositive Hack Days
 
Методика определения неиспользуемых ресурсов виртуальных машин и автоматизаци...
byPositive Hack Days
 
Инструмент ChangelogBuilder для автоматической подготовки Release Notes
byPositive Hack Days
 
Использование анализатора кода SonarQube
byPositive Hack Days
 
Типовая сборка и деплой продуктов в Positive Technologies
byPositive Hack Days
 
Теоретические основы Application Security
byPositive Hack Days
 
Развитие сообщества Open DevOps Community
byPositive Hack Days
 
Эвристические методы защиты приложений
byPositive Hack Days
 
Honeywell Industrial Cyber Security Lab & Services Center
byPositive Hack Days
 
Механизмы предотвращения атак в ASP.NET Core
byPositive Hack Days
 
Как мы собираем проекты в выделенном окружении в Windows Docker
byPositive Hack Days
 
От экспериментального программирования к промышленному: путь длиной в 10 лет
byPositive Hack Days
 
Требования по безопасности в архитектуре ПО
byPositive Hack Days
 
Формальная верификация кода на языке Си
byPositive Hack Days
 
Автоматизация построения правил для Approof
byPositive Hack Days
 
Аналитика в проектах: TFS + Qlik
byPositive Hack Days
 
Формальные методы защиты приложений
byPositive Hack Days
 

Хакер в ловушке, или Практическая демонстрация блокировки эксплойтов и криптолокера

  • 1.
    практическая демонстрация блокировкиэксплойтов Хакер в ловушке Денис Батранков denis@paloaltonetworks.com
  • 2.
    Инфицирование отдельных серверов вЦОД Достичь ЦОД Получить управление над целевой системой в ЦОД Достичь цели Для защиты от APT нужно иметь метод блокировки на каждом этапе Kill Chain Вектор атаки превратился в цепочку атак Цель хакера: пройти все этапы и атаковать. Цель безопасника: Установить защиту на каждом этапе, чтобы блокировать хотя бы одно звено цепи = остановить атаку! В атаке Anunak на банковский сектор cреднее время от первого письма до вывода денег – 42 дня (отчет компании Group-IB) Кража интеллектуальной собственности, финансовые транзакции, вымогательство Кража/шифрование данных Перемещение внутри сети и инфицирование других станций Обход защиты на рабочих станциях Приманка, компрометация, доставка эксплойта в почту Брешь в защите периметра Загрузка полноценного вируса и установление обратного канала Доставка вредоносного ПО
  • 3.
    Многоэшелонированая защита внутриNGFW App-ID URL IPS ThreatLicense Spyware AV Files WildFire Блокировка приложений URL Malware Block the exploit Скрытое скачивание Неизвестные вирусы Известные вредоносы spyware, C&C C&C fast-flux domains Новые C&C Блокирование активных атак по сигнатурам, источникам, поведению Приманка •Эксплоит •Загрузка ПО для «черного хода» Установление обратного канала •Разведка и кража данных Этапы атаки
  • 4.
    URL фильтр DNS Sinkholing Динамиче ские DNS Detect and Block ThreatIntelligence: Блокировка центров управления URL категория - malware, DNS Sinkholing, Anti-Spyware Сразу блокируем ненужные для работы URL Сразу видим DNS запросы к вредоносным ресурсам. Сразу блокируем сайты на динамических DNS Сигнатуры популярных систем удаленного управления
  • 5.
    TRAPS предотвращает атакина хостах Документ открывает пользователь, ничего не ожидая Traps незаметно интегрируется в процесс Техника эксплуатации блокируется до начала вредоносной активности Когда происходит попытка взлома, то эксплойт вызывает ловушку и останавливается до того как вредоносная активность начинается Traps Traps оповещает о событии и собирает данные для анализа UserAdmin is Notified PDF P D F P D F Process is Terminated Forensic Data is Collected R R R
  • 6.
    Kill Chain напрактике Использовать уязвимость Скрипты (Wscript, Jscript) Макросы(VBA) Dropper (Executables, DLLs, powershell WMI, ..) Downloader (Executable, DLL, WMI, etc.) Выполнение вредоносного функционала Anti Exploit Эскалация привилегий (после эксплуатации) Child Objects Local Analysis WildFire У нас есть ловушки TRAPS
  • 7.
    Kill Chain напрактике Использовать уязвимость Скрипты (Wscript, Jscript) Макросы(VBA) Dropper (Ejecutables, DLLs, powershell WMI, ..) Downloader (Ejecutable, DLL, WMI, etc.) Выполнение вредоносного функционала Anti Exploit Эскалация привилегий (после эксплуатации) Child Objects Local Analysis WildFire Anti Exploit Anti Exploit Anti Exploit* Child Objects Anti Exploit* Local Analysis WildFire Anti Exploit* Local Analysis WildFire Local Analysis WildFire У нас есть ловушки TRAPS
  • 8.
    Демонстрация защиты откриптолокера Locky
  • 9.
  • 10.
    Как защищает PaloAlto Networks IP Feeds. Динамически обновляемые фиды плохих и рискованных IP-адресов, используемых в атаках. Threat Prevention (TP). Антивирус получает сигнатуры WannaCry вместе с обновлениями каждые 15 минут. IPS блокирует попытки эксплуатации MS17-010 URL Filtering. Блокирует URL-адреса, используемые в атаке. Обновления сразу же. DNS Sinkholing. Функция DNS Sinkholing позволяет идентифицировать зараженные хосты в сети. Traps Traps предотвращает запуск известных и неизвестных вариантов WanaCrypt0r на хостах. Моментально. Aperture Сервис защиты SaaS-приложений обнаруживает вредоносы и помещает их в карантин, использует Wildfire и DLP контролирует контент. AutoFocus Сервис AutoFocus предоставляет данные об используемых семплах, тактиках, техниках и процедурах для аналитиков SOC/IRP и охоты за угрозами в сети. Например поиск по тегу WanaCrypt0r WildFire WildFire автоматически анализирует все новые семплы, например от WanaCrypt0r, сразу создает защиту и аналитику, и рассылает их на NGFW, Traps, Aperture и AutoFocus. Всё в течение 5 минут.
  • 11.
    Как самому попробовать?Легко! 11 | © 2017 Palo Alto Networks, Inc. Confidential and Proprietary. • Все уже установлено на виртуальных машинах – осталось запустить TRAPS Лучше антивируса Migration Tool Firewall -> NGFW Panorama Управление NGFW NGFW URL,AV,IPS,APP, … NGFW+TRAPS NSX, vCenter, ESXi Защита виртуализации
  • 12.
    Платформа Palo AltoNetworks Мы работаем для вашей защиты Обеспечиваем заданную производительность при всех включенных сервисах безопасности Email офиса в России: Russia@paloaltonetworks.com
  • 13.
    Видеозапись демонстрации расположенатут https://youtu.be/Z2jmzzZniMo Email офиса в России: Russia@paloaltonetworks.com

Editor's Notes

  • #3 Understanding the actions advanced attackers use, in order to combat them, is critical to defeating APTs. First proposed in 2011, the “kill chain” maps the stages an attacker takes to compromise networks, move within them, and in the end carry out their goal – usually stealing intellectual property. The important points are: This information about your adversary’s action informs your defenses at each point in the process It begins with the initial compromise, which typically takes the form of a spearphishing email or drive-by download. It’s all about exploiting a vulnerability in common software, such as Microsoft Internet Explorer or Adobe Reader, and gaining control of a target system. From here, you’ve only delivered an exploit, which is used to download Malware, which is the malicious code that is used by attackers to infect networks and endpoints. Once the attacker has delivered their Malware, they effectively control the infected endpoint, and can use outbound command-and-control communication to direct further actions within the network. Next, the attacker will attempt to move laterally within the network. For instance, going from the original point of infection laptop, stealing credentials, leveraging additional vulnerabilities, and finding other hosts, or other servers that take them closer to their goal. This is where the attacker is moving through the “squishy center” of an enterprise. Typically the attacker is attempting to find the database/server where intellectual property is stored. Of course, there is always a goal: in this case, the theft of valuable intellectual property for sale on underground markets or to copy trade secrets. This is done via command-and-control traffic that can leverage custom encryption or even DNS, making it very difficult to control or detect. The key point of understanding the kill-chain is how it can inform your defenses. All you need to do is prevent the attacker from moving to the next step in order to stop the entire attack. If they cannot make the initial compromise, they cannot deliver malware, or if they cannot use CnC communication, they cannot provide additional instruction and move within the network. We will map what Palo Alto Networks offers to help you in the next section.
  • #6 Let’s show how this looks to the individual user and admin. In this next example a user opens a document, then Traps seamlessly injects itself (in the form of prevention modules) into the process. It’s important to note that Traps isn’t scanning or monitoring for malicious activity. These are static “traps” set up within the processes ready to block any exploit technique the second it’s used. There’s a massive scalability benefit to this approach as very little CPU and memory are used. (We’ll cover this in more detail shortly.) Once Traps has injected itself into the process, that process is then shielded from any exploit. If an exploit attempt is made, Traps will immediately block the technique or techniques, terminate the process, and notify both the user and the admin that an attack was thwarted. In addition, Traps will collect detailed forensics and report that information to the Endpoint Security Manager (ESM). If no attack is made it’s business as usual for that user and process. The user has no idea any preventative measures were deployed behind the scenes given the minimal resource utilization. --------------------------------------- Optional when/if needed: We protect any process based on configuration. There are ~100 process by default that are protected within Traps, and there are up to 500 versions that are supported based on configuration so any time those processes are spun up Traps gets injected. You have to inject Traps at the time that the process is started, not necessarily the time the file is loaded. A good example of that would be - I open a Word document the Microsoft Word process is started – we have to inject as high up into that stack as we possibly can to be successful and regardless of whether that Word document was good or bad if I now open a second Word document it’s being opened in the same process – so we have to make sure that we’re always there.