Tutoriale

Ce este Wildfire ?

Wildfire este serviciul cloud based the analiza a fisierelor si URL-urilor prezente in email-uri  dezvoltat the Palo Alto si permite utilizatorilor sa incarce fisiere in acest cloud pentru a fi analizate si clasificate.

wildfire

Fisierele ce sunt incarcate in Wildfire sunt testate intr-un mediu virtual izolat (virtual sandbox) pe sisteme Windows XP , Windows 7 si Android. Dupa analiza fisierele si link-urile sunt clasificate ca si Benign , Greyware , Malware si Phising . Analiza se face automat prin machine learning in mediu virtual , dar la nevoie sa testeaza manual si pe masini fizice (bare metal)

Daca un malware sau URL  a fost identificat , Wildfire creaza o noua semnatura de antivirus sau adauga URL-ul respectiv in categoria Phising URL  iar update-urile sunt disponibile in interval de minute pentru toate firewall-urile Palo Alto din lume ( *daca ai licenta 🙂 )

Schema logica e asta

wildfire-flowchart

Dupa cum se vede in flowchart , nu fiecare fisier are nevoie de analiza in cloud , de exemplu , daca fisierul este semnat de un „trusted signer ” nu se mai face o analiza sau daca dupa ce firewall-ul face un hash-ul respectiv exista in baza de date din Wildfire deja catalogat fisierul nu mai este trimis.

La fel daca fisierul depaseste marimea maxima configurata este permis fara a mai fi trimis catre Wildfire.

Limita maxima admisa pentru fiecare tip de fisier este in poza de mai jos :

Odata trimis fisierul in Wildfire , in functie de rezultate este clasificat in cele 4 categorii (benign,greyware,malware si Phising firewall-ul informat de verdict , iar in cazul in care verdictul este malware se genereaza o semnatura si se trimite catre firewall-urile din lume imediat daca exista o licente de Wildfire sau daca nu , ca parte a update-urilor de securitate zilnice.

Verdicte :

Benign – Sigur , fara implicatii de securitate
Grayware – Nu are implicatii de securitate , dar are un comportament potential nedorit gen adware.
Malware -Fisier malicios , care pune probleme de securitate . (troieni , virusi , rootkits , botnets)
Phising – Se determina in functie de comportamentul site-ului spre care esti redirectionat.

In cazul scanarii email-urilor se forwardeaza catre Wildfire dar firewall-ul sau Wildfire nu stocheaza sau permite vizualizarea continutului email-ului.

Functionalitate standard versus licenta Wildfire

Licenta standard :

Windows XP si Windows 7
Urmatorele tipuri de fisiere sunt scanate : EXE , DLL , SRC , FON
Update de semnaturi zilnice.
Automatic file subscription.

Licenta Wildfire :
Pe langa extensiile standard mai sunt incluse si urmatoarele : MS Office , PDF , JAR , CLASS , SWF , SWC,APK , Mach-O , DMG , PKG
Update la 5 minute
Trebuie licenta daca se foloseste appliance pentru private cloud WF-500 (explicat mai jos)

In cazul in care avem un private cloud ultra securizat si nu dorim ca fisierele sa paraseasca cloud-ul nostru , putem instala un appliance WF-500 desi nu am vazut nici o implementare care sa foloseasca acesta solutie.

La fel in care avem un cloud hibrid , putem folosi partial serviciile wildfire in cloud pentru fisiere generice si WF-500 pentru analiza fisierelor ultra secrete. (nu am vazut in practica nici o implemenare folosind aceasta solutie)

 

Lasă un răspuns

Adresa ta de email nu va fi publicată. Câmpurile obligatorii sunt marcate cu *