Да, производитель данного решения – Германия.
Что именно подразумевается по службами и сервисами? (Службы и Сервисы в операционных Системах или Службы и сервисы, которые работают в сети?)
Возможны оповещения по e-mail, смс, так же можно привязывать к событиям самописные скрипты.
Что касается цены, то система модульная и конечная цена зависит от функционала, который хочет видеть клиент.
Микроагент создан на базе микро-пк Banana Pro.
OS – Linux Debian Jessy
CRU — ARM Cortex-A7 Dual Core CPU
RAM — 1 GB DDR3 RAM
Storage — 8 GB SD или внешний HDD
1 Gigabit Ethernet Interface
Краткие возможности:
Автономный мониторинг объектов на площадке
Могут выполнять более 1000 тестов на одной «коробке»
Проверка канала на соблюдение SLA (скорость, потери, jitter и т.д.)
Опциональный GSM-модем, для возможности мониторинга при обрыве основных каналов связи.
Этот микроагент не выполняет функций маршрутизации, он включается в КСПД и проводит мониторинг оборудования.
Если нужно подробнее, пишите в личку
Проводили сравнение с CA Spectrum. Infosim является полноценной системой мониторинга, включающей fault management, configuration management, инвентаризацию.
Сравнивать можно с многими продуктами.
Касаемо opensource, то тут могу сказать следующее. Заказчик понял, что поддерживать эту систему ему придется самому, постоянно донастраивать, обновлять и разбираться в коде, а у них на это не было ни времени, ни желания. Да и программирование не все знают. Кроме того, недавно нашли серьезные бреши безопасности в одной из популярных бесплатных систем, поэтому как-то больше доверия было к промышленной системе, которая стоит в том числе у операторов связи, для которых сеть — это основной бизнес
Как я нашел в источниках, тот же Microsoft из своих продуктов запрещает инжект только для браузера Edge,
для него в Traps действительно есть исключение, которое отключает инъекцию в процесс для версий выше 11.00.15048 (см. скриншот). То есть, защита от эксплойтов (EPM) в этих версиях работать не будет. Таких исключений из коробки, опять же, совсем немного. В
основном это другие антивирусные продукты (в т.ч. встроенный Defender) и 2 браузера — Edge и Firefox (см. скриншот). Ну и если допустить успешную эксплуатацию уязвимости Edge, то в атаке должны быть еще какие-то действия: запуск других процессов, попытка связи
с C&C-центром и т.д… Такую активность можно задетектировать другими модулями Traps, а сетевую активность на файерволле.
1. На самом деле даже в рамках статьи мы не сильно углублялись в детали работы трапса. Фокусы с инжектированием DLL в терминологии вендора — это один механизм, Exploit Protection Modules (EPM), мы его детально описали в статье. Помимо этого есть еще Malware Protection Modules (MPM), куда входят в том числе Anti-Ransomware контрмеры, и именно их работу, а конкретно фичи статического анализа, мы проверяли в лабе на указанных семплах. Подробнее можно почитать тут: www.paloaltonetworks.com/documentation/41/endpoint/endpoint-admin-guide/malware-protection/manage-malware-protection-rules
Traps может сам собирать информацию о запускаемых exe-шниках и передавать на сервер управления, где потом можно создавать политики на основе этой информации.
Вообще это предлагаемый подход Palo Alto Networks — Zero Trust, принцип “нулевого доверия”. Разрешено только то, что описано явным образом, остальное запрещено. Это касается политик на их межсетевом экране в том числе.
Конечно, в реальной эксплуатации ложные срабатывания случаются. Но у Traps удобные инструменты управления политиками, и новые правила можно быстро раскатывать.
Вкратце, есть компания Coalfire, которая является PCI Qualified Security Assessor (QSA), и в их отчете сказано, что “...an
organization who was using a traditional AV to remain PCI DSS compliant can confidently replace that solution with Traps and remain compliant"
при установке надо указывать адрес сервера лицензирования ESM, его нужно устанавливать отдельно. По вопросам полноценного тестирования напишите мне в почту.
Да, пока это только enterprise-решение. Для функционирования нужно разворачивать сервер лицензирования ESM (Endpoint Security Manager), поэтому для дома не подойдет, к сожалению.
Что именно подразумевается по службами и сервисами? (Службы и Сервисы в операционных Системах или Службы и сервисы, которые работают в сети?)
Возможны оповещения по e-mail, смс, так же можно привязывать к событиям самописные скрипты.
Что касается цены, то система модульная и конечная цена зависит от функционала, который хочет видеть клиент.
OS – Linux Debian Jessy
CRU — ARM Cortex-A7 Dual Core CPU
RAM — 1 GB DDR3 RAM
Storage — 8 GB SD или внешний HDD
1 Gigabit Ethernet Interface
Краткие возможности:
Автономный мониторинг объектов на площадке
Могут выполнять более 1000 тестов на одной «коробке»
Проверка канала на соблюдение SLA (скорость, потери, jitter и т.д.)
Опциональный GSM-модем, для возможности мониторинга при обрыве основных каналов связи.
Этот микроагент не выполняет функций маршрутизации, он включается в КСПД и проводит мониторинг оборудования.
Если нужно подробнее, пишите в личку
Сравнивать можно с многими продуктами.
Касаемо opensource, то тут могу сказать следующее. Заказчик понял, что поддерживать эту систему ему придется самому, постоянно донастраивать, обновлять и разбираться в коде, а у них на это не было ни времени, ни желания. Да и программирование не все знают. Кроме того, недавно нашли серьезные бреши безопасности в одной из популярных бесплатных систем, поэтому как-то больше доверия было к промышленной системе, которая стоит в том числе у операторов связи, для которых сеть — это основной бизнес
для него в Traps действительно есть исключение, которое отключает инъекцию в процесс для версий выше 11.00.15048 (см. скриншот). То есть, защита от эксплойтов (EPM) в этих версиях работать не будет. Таких исключений из коробки, опять же, совсем немного. В
основном это другие антивирусные продукты (в т.ч. встроенный Defender) и 2 браузера — Edge и Firefox (см. скриншот). Ну и если допустить успешную эксплуатацию уязвимости Edge, то в атаке должны быть еще какие-то действия: запуск других процессов, попытка связи
с C&C-центром и т.д… Такую активность можно задетектировать другими модулями Traps, а сетевую активность на файерволле.
Есть описание на сайте вендора.
researchcenter.paloaltonetworks.com/2017/05/traps-protections-wanacrypt0r-ransomware-attacks
2. Мы можем отслеживать вредоносную активность с помощью MPM, тут поможет Child Process Protection. Мы можем либо запретить процессу java.exe порождать дочерние процессы, либо жестко ограничить белыми списками разрешенные действия. Это, кстати, будет работать и для всяких powershell fileless малварей. Описание тут: www.paloaltonetworks.com/documentation/41/endpoint/endpoint-admin-guide/malware-protection/manage-restrictions-on-executable-files/define-java-restrictions-and-exemptions
Вообще это предлагаемый подход Palo Alto Networks — Zero Trust, принцип “нулевого доверия”. Разрешено только то, что описано явным образом, остальное запрещено. Это касается политик на их межсетевом экране в том числе.
Вкратце, есть компания Coalfire, которая является PCI Qualified Security Assessor (QSA), и в их отчете сказано, что “...an
organization who was using a traditional AV to remain PCI DSS compliant can confidently replace that solution with Traps and remain compliant"
описан по ссылке: www.paloaltonetworks.com/documentation/41/endpoint/endpoint-admin-guide/malware-protection/malware-protection-flow
Если интересно протестировать конкретный экземпляр, можем попробовать запустить у себя в лабе.
Разумеется, можно добавлять свои приложения для защиты. Процесс описан здесь: www.paloaltonetworks.com/documentation/41/endpoint/endpoint-admin-guide/getting-started-with-rules/process-management/add-a-new-protected-process