Palo Alto Firewall

Продукт
Разработчики: Palo Alto Networks (PAN)
Дата последнего релиза: октябрь 2011 года
Технологии: ИБ - Межсетевые экраны

Содержание

Основная статья: Межсетевой экран (Firewall)

2024: Взлом тысяч межсетевых экранов по всему миру

21 ноября 2024 года стало известно о том, что киберпреступники взломали тысячи межсетевых экранов Palo Alto Networks по всему миру. Больше всего пораженных устройств находится в США и Индии.

Сообщается, что злоумышленники активно эксплуатируют две уязвимости нулевого дня. Одна из них (CVE-2024-0012) использует обход аутентификации в веб-интерфейсе управления PAN-OSоперационной системы, которая применяется на всех межсетевых экранах нового поколения (NGFW) разработки Palo Alto Networks. Брешь позволяет неавторизованному злоумышленнику, имеющему сетевой доступ к веб-интерфейсу управления, получить привилегии администратора PAN-OS для выполнения каких-либо действий, например, изменения конфигурации. Вторая дыра (CVE-2024-9474) дает возможность выполнять команды на межсетевом экране с root-правами.

Тысячи межсетевых экранов Palo Alto Networks взломаны по всему миру

Как отмечает ресурс BleepingComputer, Palo Alto Networks занимается расследованием инцидентов. Говорится, что вредоносная активность впервые была зафиксирована 18 ноября 2024 года. Она в основном исходила с IP-адресов, связанных с анонимными VPN-сервисами. Злоумышленники выполняют на взломанных межсетевых экранах произвольные команды, а также внедряют вредоносное ПО.Обзор российского рынка банковской цифровизации: импортозамещение, искусственный интеллект и собственные экосистемы 6.8 т

Платформа мониторинга угроз Shadowserver сообщила об обнаружении более 2700 уязвимых устройств PAN-OS по всему миру. В частности, были атакованы свыше 2 тыс. брандмауэров. Более 550 из этих межсетевых экранов эксплуатируются в США, еще около 460 — в Индии. Таким образом, около половины атакованных устройств сосредоточены в двух странах.

«
Риск возникновения проблем значительно снижается при ограничении доступа к веб-интерфейсу управления на основе списка доверенных внутренних IP-адресо», — заявляет компания Palo Alto Networks.[1]
»

2021: Интеграция с Nvidia DPU BlueField

31 августа 2021 года компания Nvidia объявила об интеграции DPU BlueField в решения Palo Alto Networks. Подробнее здесь.

2011: Линейка Next-generation Firewalls

Американская компания Palo Alto Networks (PAN) представила в октябре 2011 года на российском рынке линейку своих устройств, которые сама PAN называет сетевыми экранами нового поколения (Next-generation Firewalls, NGFW).

В отличие от традиционных экранов, защищающих порты, сетевые протоколы и IP-адреса, экраны NGFW предназначены для защиты приложений, пользователей и передаваемого по сети контента. Преимущества такого подхода к организации защиты сети, по мнению инженеров PAN, заключаются в том, что традиционное блокирование трафика на уровне портов, сетевых протоколов и IP-адресов перестало быть эффективным, поскольку сегодня один и тот же порт могут использовать самые разные приложения, IP-адреса не идентифицируют пользователей, а сетевые пакеты — передаваемый контент.

Как следствие, применяя традиционные сетевые экраны, уже невозможно обеспечить поддержку внутрикорпоративных политик информационной безопасности (ИБ) относительно к приложениям. С учетом этого нетрудно представить, какие риски таят в себе уязвимости приложений для любой компании. Особенно если принять во внимание, что согласно данным ИБ-исследований наиболее известные современные взломы сетей связаны именно с уязвимостями приложений, а количество приложений во всем мире неуклонно и быстро растет, в том числе и приложений Web 2.0 (социальные сети, веб-почта, системы мгновенного обмена сообщениями и т. п.), которые практически повсеместно применяются в бизнес-целях.

Компенсация функциональных недостатков традиционных сетевых экранов за счет применения таких дополнительных средств сетевой защиты, как IPS/IDS, шлюзовые антивирусы, антиспам-системы, прокси-серверы, URL-фильтры и UTM-системы, по оценкам специалистов PAN, усложняет и удорожает защиту, снижает производительность сети.

Чтобы вернуть себе былую защитную эффективность, считают в PAN, современный сетевой экран должен уметь распознавать приложения независимо от используемых ими портов, сетевых протоколов, шифрования, специальных приемов маскирования; идентифицировать пользователей с любыми IP-адресами; в реальном времени защищать сеть от угроз, заключенных в приложениях; поддерживать выполнение политик контроля доступа к приложениям в целом и их отдельным функциям; работать `в линии` без снижения производительности сети на гигабитных скоростях.

При этом задача экрана NGFW, по мнению инженеров PAN, заключается не в блокировании приложений в случае обнаружения в них угроз безопасности, а в обеспечении их работы в целом и блокировании только содержащихся в них угроз, причем без потерь производительности и управляемости сети.

Приложения и их отдельные функции распознаются в устройствах NGFW по уникальным для каждого из них сигнатурам и эвристическими методами. Доступ в сеть экраны NGFW поддерживают на уровне приложений. Список приложений, контролируемых экранами PAN, постоянно пополняется специалистами компании и сегодня насчитывает более 1300 наименований. Контроль контента трафика устройствами осуществляется в обоих направлениях — внутрь сети и из нее. NGFW могут контролировать сжатые и зашифрованные файлы, анонимные приложения и приложения, пропущенные через прокси-серверы.

В NGFW реализованы три технологии, разработанные в PAN. Технология App-ID предназначена для распознавания приложений на уровне отдельных выполняемых ими функций. Технология User-ID благодаря интеграции со службами каталогов, работающими по протоколам LDAP, позволяет автоматически распознавать пользователей (как отдельных, так и группы) каждого приложения в сети и соотносить их с потоками передаваемых данных. Механизм Content-ID сканирует контент сетевого трафика, в том числе на предмет выявления в нем вредоносных кодов.

Все устройства NGFW компании PAN имеют одинаковую функциональность и различаются только производительностью, максимум которой сегодня составляет 20 Гбит/с в линии. Заявляется, что экраны NGFW можно располагать на любых участках сети. Дополнительная функциональность GlobalProtect позволяет всем NGFW, подключенным к корпоративной сети, образовывать за счет совместной работы для пользователей, независимо от того, где они находятся, облако сетевой безопасности.

Для поддержки функционала GlobalProtect на пользовательских устройствах должен быть установлен специальный программный агент, определяющий расположение устройства по отношению к сети. Если устройство является удаленным, то агент подключает его к ближайшему NGFW, как только оно выходит в Интернет, передает экрану информацию о состоянии устройства (его тип, актуальность установленных на нем обновлений, шифрование данных на нём и т. п.). За счет перечисленных выше технологий экран в состоянии обеспечить поддержку политик безопасности, установленных для подключения конечных точек к корпоративной сети.

2010: Технологии сетевого экрана

Разработчики Palo Alto запатентовали 3 инновационные технологии:

  • App-ID – технология, которая позволяет идентифицировать более 900 приложений в сети, независимо от их порта и протокола (в т.ч. web приложения, работающие на порту 80). Технология может распознавать приложения даже внутри SSL туннеля, дешифруя его;
  • User-ID – технология, которая интегрирует межсетевой экран нового поколения со службой Active *Directory (а также LDAPи Novell eDirectory), тем самым идентифицируя каждого пользователя каждого приложения;
  • Content-ID – технология, которая обеспечивает защиту от множества угроз (вирусы, трояны, ботнеты, шпионские программы), блокирует неавторизованную передачу файлов по сети и контролирует web серфинг.

Использование этих технологий обеспечивает беспрецедентный контроль над сетевым трафиком и позволяет гибко настроить политики безопасности, делая сеть прозрачной и управляемой. Выполнение всех перечисленных функций производится на скорости 10 Гбит/с с очень маленькой задержкой. Даже в режиме сканирования на вирусы, устройство обеспечивает скорость 5 Гбит/с.

Примечания



ПРОЕКТЫ (2) ИНТЕГРАТОРЫ (2) СМ. ТАКЖЕ (7)


Подрядчики-лидеры по количеству проектов

За всю историю
2021 год
2022 год
2023 год
Текущий год

  Softline (Софтлайн) (144)
  ESET (ИСЕТ Софтвеа) (65)
  Инфосистемы Джет (64)
  ДиалогНаука (56)
  Информзащита (41)
  Другие (1203)

  Смарт-Софт (Smart-Soft) (5)
  Национальный аттестационный центр (НАЦ) (4)
  Card Security (Кард Сек) (4)
  R-Vision (Р-Вижн) (4)
  Softline (Софтлайн) (4)
  Другие (72)

  Солар (ранее Ростелеком-Солар) (8)
  А-Реал Консалтинг (6)
  Softline (Софтлайн) (3)
  TUV Austria (2)
  Сторм системс (StormWall) (2)
  Другие (55)

  Инфосистемы Джет (6)
  UserGate, Юзергейт (ранее Entensys) (5)
  Уральский центр систем безопасности (УЦСБ) (4)
  Киберпротект (ранее Акронис-Инфозащита, Acronis-Infoprotect) (3)
  МСС Международная служба сертификации (3)
  Другие (55)

  Positive Technologies (Позитив Текнолоджиз) (5)
  Уральский центр систем безопасности (УЦСБ) (5)
  ИВК (4)
  Инфосистемы Джет (4)
  А-Реал Консалтинг (3)
  Другие (55)

Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров

За всю историю
2021 год
2022 год
2023 год
Текущий год

  Лаборатория Касперского (Kaspersky) (22, 170)
  ESET (ИСЕТ Софтвеа) (11, 79)
  Positive Technologies (Позитив Текнолоджиз) (13, 68)
  Смарт-Софт (Smart-Soft) (5, 47)
  Доктор Веб (Dr.Web) (7, 45)
  Другие (720, 500)

  Смарт-Софт (Smart-Soft) (1, 5)
  R-Vision (Р-Вижн) (1, 4)
  Ngenix (Современные сетевые технологии, ССТ) (2, 3)
  Positive Technologies (Позитив Текнолоджиз) (2, 3)
  Trend Micro (2, 3)
  Другие (13, 12)

  Солар (ранее Ростелеком-Солар) (3, 7)
  А-Реал Консалтинг (3, 6)
  Positive Technologies (Позитив Текнолоджиз) (3, 4)
  Лаборатория Касперского (Kaspersky) (2, 4)
  АМТ-Груп (AMT Group) (1, 1)
  Другие (12, 12)

  UserGate, Юзергейт (ранее Entensys) (3, 8)
  Лаборатория Касперского (Kaspersky) (1, 3)
  Киберпротект (ранее Акронис-Инфозащита, Acronis-Infoprotect) (1, 3)
  А-Реал Консалтинг (1, 2)
  Крок Облачные сервисы (1, 1)
  Другие (6, 6)

  UserGate, Юзергейт (ранее Entensys) (6, 9)
  Positive Technologies (Позитив Текнолоджиз) (4, 5)
  ИВК (1, 4)
  А-Реал Консалтинг (2, 3)
  Сторм системс (StormWall) (1, 2)
  Другие (7, 8)

Распределение систем по количеству проектов, не включая партнерские решения

За всю историю
2021 год
2022 год
2023 год
Текущий год

  Kaspersky Endpoint Security - 82
  ESET NOD32 Business Edition - 51
  Dr.Web Enterprise Security Suite - 35
  Kaspersky Enterprise Space Security - 34
  MaxPatrol SIEM - 33
  Другие 673

  Смарт-софт: Traffic Inspector Next Generation - 5
  R-Vision SGRC Центр контроля информационной безопасности (ЦКИБ) - 4
  MaxPatrol SIEM - 2
  Ngenix Облачная платформа - 2
  StormWall: Многоуровневая распределенная система фильтрации - 2
  Другие 16

  А-Реал Консалтинг: Интернет-шлюз ИКС - 3
  Solar MSS - 3
  Kaspersky Endpoint Security - 3
  Solar JSOC - 3
  А-Реал Консалтинг: Межсетевой экран ИКС - 2
  Другие 20

  UserGate UTM - 4
  Kaspersky Endpoint Security - 3
  Кибер Инфраструктура (ранее Acronis Инфраструктура) - 3
  UserGate C-серия Межсетевые экраны - 3
  А-Реал Консалтинг: Межсетевой экран ИКС - 2
  Другие 8

  ИВК Кольчуга - 4
  UserGate UTM - 3
  А-Реал Консалтинг: Межсетевой экран ИКС - 3
  Вебмониторэкс: ПроWAF - 2
  PT Application Inspector (PT AI) - 2
  Другие 21