[팔로 알토 네트웍스] 보안 운영 기초 #5

[5주차] 위협 방지 및 인텔리전스

학습목표

1. 위협 인텔리전스의 집합, 시행 및 공유를 간소화하는 방법을 파악한다.
2. 오토포커스가 상황에 맞는 위협 인텔리전스를 SOC 팀에 제공하여, 실제 공격에 대한 실행 가능한 통찰력을 제공하는 방법에 대해 개략적으로 설명한다.
3. 위협 인텔리전스 수집 및 대응을 위한 Mindmeld를 구성한다.

[5-1] 위협 인텔리전스

위협 인텔리전스(오토포커스)

고도로 자동화되고 점점 더 고도화되는 사이버 공격이 그 어느 때보다 대량으로 발생하고 있다. 엔터프라이즈 네트워크의 모든 위협을 조사하려고 노력하는 보안 팀은 진정으로 진보된 공격을 분석하고 이해할 시간이 거의 없을 것이다. 당장 회사 일하기도 바쁜데 그걸 분석할 시간이 어디 있겠냐는 말이다.

팔로알토 네트웍스 오토포커스는 보안 전문가에게 자동화 기능을 제공하는 사전 예방 기반 네트워크 보안 접근 방식을 가능하게 한다. 서비스의 위협 인텔리전스는 PAN-OS 소프트웨어 및 파노라마를 포함한 팔로알토 네트웍스 플랫폼에서 직접 액세스할 수 있도록 한다. 오토포커스는 추가 전문 리소스 없이 의심스러운 활동에 대한 심층 조사를 허용하는 보안 팀의 기존 워크플로우 속도를 높일 것이다.

오토포커스는 팔로알토 네트웍스 위협 인텔리전스 클라우드에 호스팅되는 대규모 분산 컴퓨팅 환경을 기반으로 구축되었다. 다른 솔루션과 달리, 이 서비스는 IoC 수준에서 위협 데이터에 액세스하고 실행할 수 있도록 하며, 대시보드에 여러 소스의 요약된 로그를 단순히 보여주는 것을 넘어, 위협 환경에 대한 전례 없는 가시성을 제공한다. 오토포커스는 서비스를 제공하는 수천 개의 글로벌 기업, 서비스 제공업체 및 정부의 집합적인 통찰력으로 위협 환경에 대한 전례 없는 가시성을 가지고 있다.

팔로알토 네트웍스 오토포커스 위협 인텔리전스 클라우드

 

이 서비스는 다음과 같은 정보를 제공한다.
① 와일드 파이어
② PAN-DB 서비스를 이용한 URL 필터링
③ 팔로알토 네트웍스 글로벌 패시브 DNS 네트워크
④ 팔로알토 네트웍스 Unit 42 위협 인텔리전스 및 리서치 팀
⑤ 폐쇄형 및 오픈 소스 인텔리전스를 포함한 타사 피드

 

오토포커스는 수십억 개의 아티팩트를 포함한 10억 개 이상의 샘플 및 세션을 보안 분석 및 대응 작업에 즉시 실행 가능하게 만든다. 오토포커스는 분석, 포렌식 및 사냥 워크플로우를 가속화하는 데 필요한 글로벌 위협 인텔리전스 및 공격 컨텍스트를 갖춘 보안 운영 플랫폼을 확장한다. 또한, 플랫폼과 오토포커스는 함께 보안 팀을 점점 더 많은 탐지 기반 경고 및 이벤트 후 완화를 집계하는 데 의존하는 기존 수동 접근 방식에서 벗어나, 정교한 공격을 방지하고 사전 예방적 사냥 활동을 가능하게 한다.

우선 순위 알림 및 태그

오토포커스를 사용하면 가장 중요한 위협과 일상적인 상품 공격을 구별할 수 있으며, 네트워크의 이벤트를 태그로 컨텍스트화한다. 오토포커스 고유의 태그는 가장 중요한 위협에 대한 가시성을 강화하며, 어떤 멀웨어 패밀리, 캠페인, 위협 행위자, 악의적인 행동 및 익스플로잇이 자신에게 사용되고 있는지 알려주는 컨텍스트 인텔리전스를 제공한다.

태그가 네트워크의 이벤트와 일치하면, 우선 순위 알림이 전자 메일, 오토포커스 대시보드 내 또는 HTTP 게시물을 통해 전송되며, 전체 태그 컨텍스트가 포함된다. 알림은 사용자 지정이 가능하여 가장 중요한 위협에 대한 우선 순위 및 컨텍스트를 통해 기존 보안 워크플로우를 향상시킨다.

오토포커스의 모든 호스트 또는 네트워크 기반 표시자에 대해 태그를 생성하여, 조직 또는 산업에서 특정 위협이 관찰되었을 때 이를 알려줄 수 있다. 모든 태그를 검색할 수 있으므로, 관련 악의적인 샘플 또는 표시자를 신속하게 식별할 수 있다.

새로운 위협이 식별되면, 여러분 자신의 조직인 팔로알토 네트웍스 유닛 42와 오토포커스 전문가들로 구성된 글로벌 커뮤니티가 서비스에 새로운 태그를 추가한다. 오토포커스는 유닛 42가 새로운 위협을 식별하고, 글로벌 데이터의 상관관계를 파악하고, 악의적인 샘플 간의 연결을 파악하고, 적대자 또는 캠페인 프로필을 구축하는 데 사용하는 주요 분석 도구다.

 

오토포커스 및 보안 운영 플랫폼을 통해 보안 팀은 다음과 같은 이점을 얻을 수 있을 것이다.
① 네트워크에서 확인되는 위협이 얼마나 표적이 되거나 고유한지 확인
② 관련 악성 샘플 조사
③ 도메인 확인 기록이 있는 의심스러운 DNS 쿼리 식별

 

위협 상관관계
보안 팀은 위협 분석을 수행할 때 어떤 IoC가 문제 해결에 가장 적합한 경로를 나타내는지 신속하게 파악해야 한다. 적극적이거나 지속적인 타협을 위해서는 조사 속도와 데이터를 의미 있게 연관시키는 능력이 매우 중요하다. 각 파일에는 수백, 심지어 잠재적으로 수천 개의 아티팩트가 있으며, 공격자의 더 큰 프로필이나 관련 공격과 연관된 소수의 고유한 IoC만 있다.

오토포커스는 혁신적인 통계 분석 엔진을 사용하여 글로벌 데이터 세트에 걸쳐 수십억 개의 아티팩트를 연관시키고 표적 공격과 관련된 가능성이 있는 고유한 IoC를 제공한다. 이 서비스는 고유한 시각적 가중치 시스템을 자동으로 적용해 고유하고 중요한 IoC를 식별하여, 분석 및 사고 대응 작업을 가장 관련성이 높은 경로로 안내한다.

오토포커스를 사용하면 호스트 및 네트워크 기반 아티팩트 수준에서 정교한 다층 검색을 구축하고 업계, 기간 및 기타 필터 내에서 검색 대상을 지정할 수 있다. 이러한 검색을 통해 공격 간에 이전에 알려지지 않은 연결을 만들고, 그에 따라 사고 대응 작업을 계획할 수 있다.

추가 분석이 필요할 때, 보안 팀은 오토포커스와 PAN-OS 소프트웨어 또는 파노라마 사이에서 전환할 수 있으며, 두 시스템 모두에 대해 미리 입력된 검색을 제공한다. 오토포커스는 팔로알토 네트웍스의 위협 인텔리전스 전체를 제공하므로, 분석, 포렌식 등의 작업에 걸리는 시간이 크게 단축된다.

 

실행 가능한 인텔리전스
보안 팀은 위협 인텔리전스의 우선순위를 정하고 분석하며, 상호 연관시키는 방법 이상을 필요로 한다. 오토포커스를 사용하면 서비스의 고부가가치 IoC를 PAN-OS 소프트웨어 외부 동적 목록으로 내보내, 악의적인 URL, 도메인 및 IP 주소를 즉시 차단함으로써 보안 운영 플랫폼에 대한 새로운 보호를 만들 수 있다. 오토포커스는 표준 CSV 형식을 통해 IoC를 타사 보안 장치로 내보낼 수도 있다. 보안 팀은 오토포커스를 사용하여 조직에 대한 고유한 표적 공격을 식별하고 이를 완화하고 방지하기 위한 직접 조치를 취할 수 있다.

위협 분석, 포렌식 및 사고 대응 팀은 종종 잠재적인 보안 사고를 조사하기 위해 광범위한 스크립트, 오픈 소스 도구, 보안 장치 및 서비스에 의존한다. 오토포커스는 다음을 통해 타사 서비스를 강화하여, 조사에 필요한 시간을 크게 줄일 수 있다.

 

① 개방형 API 지원 오토포커스 API는 RESTful(Responentative State Transfer) 프레임워크를 기반으로 구축되어 있으며, 위협 인텔리전스 데이터를 기존 SIEM 툴로 전송하는 등 수백 가지 사용 사례로 통합할 수 있다. 이 프레임워크를 통해 추가적인 위협 분석 또는 사용자 지정 위협 차단 자동화를 위한 데이터를 사용할 수 있다.

② 원격 스위핑 기능 보안 팀은 오토포커스에서 직접 서비스 내 지표에서 내부 및 타사 외부 시스템으로 이동할 수 있다. 팀은 최대 10개의 외부 시스템을 정의할 수 있으며, 이를 통해 차세대 방화벽의 로그 상관 관계를 파악하거나, SIEM 도구에서 검색을 트리거하는 등 전체 인프라에서 원활하게 분석을 계속할 수 있다.

③ STIX 데이터 형식 지원 오토포커스는 STIX(Structured Threat Information Expression) 인프라와 즉시 통합을 제공하며, 데이터를 STIX 데이터 형식으로 내보낼 수 있도록 한다.

 

위협 지표 공유(마인멜드)
성공적인 사이버 공격을 방지하기 위해, 많은 조직이 보안 장치에 대한 새로운 제어를 생성할 목적으로 다양한 위협 정보 제공업체로부터 절충 지표(IoC)를 수집한다. 그러나 안타깝게도 집계 및 집행에 대한 기존 접근 방식은 본질적으로 매우 수동적이며, 복잡한 워크플로우를 생성하고 차단해야 하는 IoC를 식별하고 검증하는 데 있는 시간 없는 시간을 다 끌어쓰게 된다.

마인멜드는 위협 인텔리전스의 집계, 시행 및 공유를 간소화하는 오픈 소스 애플리케이션다. 마인멜드는 깃허브 및 미리 구축된 가상 머신에서 쉽게 배포할 수 있도록 직접 사용할 수 있다. 확장 가능한 모듈식 아키텍처를 통해 누구나 오픈 소스 저장소에 코드를 기여함으로써 마인멜드 기능을 추가할 수 있다.

마인멜드는 다음과 같은 다양한 사용 사례를 지원한다.

① 위협 인텔리전스 피드 집계 및 상관 관계 설정
② IP 주소 블랙리스트를 포함한 새로운 방지 제어 적용
③ 환경에 대한 특정 위협 인텔리전스 피드의 가치 평가
④ 팔로알토 네트웍스 디바이스 로그에서 인디케이터를 추출하여 다른 보안 툴과 공유
⑤ 신뢰할 수 있는 피어와 지표 공유
⑥ 차단 또는 엄격한 검사를 위해 Torex 노드에서 들어오는 세션 식별
⑦ Office365 URL 및 IP 주소 추적

 

마인멜드는 위협 인텔리전스 피드를 집계하고 연관시킨다.

마인멜드를 사용하면 정부 및 상업 조직을 포함한 공공, 민간 및 상업 정보 소스 전반에 걸쳐 위협 정보를 집계할 수 있다.

마인멜드는 다음과 같은 정보 수집 및 상관 관계를 단순화한다.

① 상업적 위협 인텔리전스 피드
② 오픈 소스 인텔리전스(OSINT) 공급자
③ 위협 인텔리전스 플랫폼
④ 정보공유 및 분석센터(ISAC)
⑤ 컴퓨터 비상대응팀(CERT)
⑥ 기타 마인멜드 사용자

 

지표가 수집되면 마인멜드는 모든 소스에서 메타데이터를 필터링, 중복제거 및 통합할 수 있으며, 이를 통해 보안 팀은 여러 소스에서 풍부해진 보다 실행 가능한 데이터 세트를 분석하여 보다 쉽게 시행할 수 있다.

마인멜드는 기본적으로 팔로알토 네트웍스 보안 운영 플랫폼과 통합되어 도구에 공급되는 모든 소스에서 파생된 URL, IP 주소 및 도메인 인텔리전스에 대한 새로운 예방 기반 제어를 자동으로 생성한다. 조직은 만료된 지표의 자동 시간 초과를 포함하여, 블록 목록을 관리하기 위해 추가 리소스를 지출하지 않고도 외부 동적 목록 및 DAG(Dynamic Address Group)로 IoC를 차단하는 워크플로우를 단순화할 수 있다. 또한, 마인멜드는 오토포커스 컨텍스트 위협 인텔리전스 서비스와 통합되어 조직이 오토포커스에서 고부가 가치의 표적 지표를 식별하고 내보내기 목록 및 마인멜드와 함께 차세대 방화벽에서 차단할 수 있도록 한다.

[5-2] 와일드파이어를 통한 제로데이 공격 방지

WildFire

자동으로 고도의 회피 제로데이 익스플로잇 및 멀웨어 방지는 고도의 회피 제로데이 익스플로잇 및 멀웨어를 위한 업계에서 가장 진보된 분석 및 방지 엔진이다. 이 서비스는 동적 및 정적 분석, 혁신적인 기계 학습 기술 및 획기적인 베어 메탈 분석 환경을 결합하여, 가장 회피적인 위협까지도 탐지하고 방지하는 고유한 다중 기술 접근 방식을 사용한다.

오늘날 조직은 악성 프로그램의 전체 시장과 경쟁해야 하며, 개발자가 악성 도구를 판매하거나 임대하여 모든 계층의 공격자가 사용할 수 있도록 해야 한다. 그러면서 동시에 고급 회피 기술이 상용화되어 공격이 기존의 탐지 접근 방식을 피할 수 있게 되었다. 이제 숙련도가 낮은 공격자도 기존의 위협 식별 및 예방 접근 방식을 피할 수 있는 고유한 공격을 시작할 수 있으므로, 오늘날 볼 수 있는 알려지지 않은 위협의 양에 대해 확장할 수 없는 인간의 개입이 필요하다.

 

WildFire는 적대자에 대한 방정식을 변경하여, 팔로알토 네트웍스 플랫폼 배포 시마다 분산 센서 및 시행 지점으로 전환하여, 제로 데이 멀웨어 및 악용 사례가 확산되고 성공하기 전에 이를 방지한다. WildFire 환경 내에서 위협이 폭발하고, 인텔리전스가 추출되며, 전 세계 어디에서나 처음 발견된 후 불과 5분 만에 팔로알토 네트웍스 보안 운영 플랫폼 전체에서 예방이 자동으로 조정된다.

 

독특한 다중 기술 접근 방식으로 미지의 세계 찾기
WildFire는 알려지지 않은 위협을 탐지하는 데 사용되는 기존의 접근 방식을 뛰어 넘어, 4가지 독립적인 기술을 통해 고성능 및 회피 방지 탐지 기능을 제공한다.
① 동적 분석을 통해 파일이 목적에 맞게 구축된 회피 방지 가상 환경에서 폭발하는 것을 관찰하여, 수백 가지 행동 특성을 사용해 제로데이 익스플로잇 및 멀웨어를 탐지할 수 있다.
② 정적 분석은 멀웨어 및 익스플로잇에 대한 효과적인 탐지로 동적 분석을 보완하여, 멀웨어 변종을 즉시 식별할 수 있다. 정적 분석은 동적 언팩을 활용하여 패커 도구를 사용하여 탐지를 회피하려는 위협을 분석한다.
③ 머신 러닝은 각 파일에서 수천 개의 고유한 특징을 추출하여 예측 머신 러닝 모델을 훈련시켜 새로운 멀웨어를 식별하는데, 이는 정적 분석이나 동적 분석만으로는 불가능하다.
④ 베어메탈 분석은 실제 하드웨어 환경에서 회피 위협을 폭발시켜, 공격자가 안티VM 분석 기술을 배포할 수 있는 능력을 완전히 제거한다.

이 네 가지 고유한 기술을 통해 WildFire는 높은 효율성과 0에 가까운 오탐으로 알려지지 않은 멀웨어와 공격을 탐지하고 방지할 수 있다.

 

자동화된 예방 오케스트레이션
모든 WildFire 가입자가 제로데이 악용 또는 멀웨어를 발견하면, 이 서비스는 전 세계 어디에서나 처음 발견된 후 불과 5분 만에 모든 WildFire 가입자에 대한 고성능 회피 방지 보호를 자동으로 조정한다. 이러한 보호는 30,000명 이상의 WildFire 사용자에게 도출되고 공유되며, 알려지지 않은 위협을 탐지하고 예방하는 데 중점을 둔 업계 최대의 분산 센서 네트워크를 형성한다. 또한 WildFire는 보안 운영 플랫폼의 중앙 예방 조정 지점을 형성하여. 다음을 통해 새로운 제어를 적용할 수 있다.
① 위협 방지: 멀웨어, 공격 및 명령 및 제어 활동을 차단한다.
② 새로 발견된 악성 URL을 방지하기 위한 PAN-DB를 사용하는 URL 필터링
③ 오토포커스 컨텍스트 위협 인텔리전스 서비스로 관련성과 컨텍스트가 높은 위협 인텔리전스의 추출, 상관관계 및 분석이 가능하다.
④ 실시간 평결 결정 및 위협 예방을 위한 Cortex XDR 에이전트 및 Prisma SaaS.
⑤ WildFire API를 사용하여 타사 서비스에 대한 평결을 위해 당사의 기술 파트너와 통합한다.

회피 저항성 발견

 

가장 고급 멀웨어 분석 환경
WildFire는 업계에서 가장 진보된 분석 환경을 제공하기 위해 수년간의 획기적인 혁신을 이루어, 오늘날 사용 가능한 알려지지 않은 위협을 가장 정확하고 회피 방지하는 기능을 제공한다. WildFire 엔진은 두 가지 주요 구성 요소를 기반으로 한다.

 

① 맞춤형 하이퍼바이저
회피하기 어렵게 된 일반적으로 사용되는 오픈 소스 에뮬레이션 소프트웨어의 사용을 피하기 위해 처음부터 제작된 WildFire 하이퍼바이저는 전통적인 멀웨어 분석 환경에서 탐지를 회피하는 데 사용되는 상용화된 안티 VM 분석 기술에 영향을 받지 않는다. 사용자 지정 하이퍼바이저는 또한, 향후 WildFire에 고급 탐지 및 회피 방지 기능을 계속 구축할 수 있는 유연한 프레임워크를 제공한다.

② 베어 메탈 분석
가장 정교한 위협은 잠재적으로 고급 가상 환경에서 검사를 받고 있으며, 완전히 폭발하지 못한다는 것을 알 수 있다. WildFire는 이러한 종류의 고급 공격을 해결하기 위해 당사의 베어 메탈 분석 엔진을 사용하여, 실제 하드웨어 시스템에서 고급 위협을 자동으로 분석할 수 있다. 이제 가장 회피적인 위협도 확실하게 식별하고 방지할 수 있다.

③ 신원 확인 및 평결
WildFire는 악성 프로그램 분석 환경 내에서 윈도우 XP, 윈도우 7, 윈도우 10, 안드로이드 및 맥OS 운영 체제에서 의심스러운 내용을 실행하며, 일반적으로 익스플로잇되는 파일 형식(ex. EXE, DLL, ZIP, 7ZIP, RAR Archive, Mach-O, Mach-OSX DMG, ELF(Linux) 및 PDF뿐만 아니라, 마이크로소프트 오피스 문서, 자바 파일, 안드로이드 APK, 어도비 플래시 애플릿 및 이메일 메시지 내 링크)을 완벽하게 볼 수 있다. WildFire는 잠재적인 악성 행위가 있는 파일을 식별한 다음, 고급 기능과 함께 위협 인텔리전스, 분석 및 상관 관계를 적용하여 해당 작업을 기반으로 판결을 제공한다.

⑴ 완벽한 악성 행위 가시성은 포트 또는 암호화에 관계없이 웹 트래픽, SMTP, IMAP 및 POP와 같은 이메일 프로토콜 및 SMB 및 FTP와 같은 파일 공유 프로토콜을 포함한 수백 개의 애플리케이션에서 발생하는 모든 트래픽의 위협을 식별한다.
⑵ 호스트에 대한 변경 사항은 익스플로잇 증거, 지속성 메커니즘, 데이터 암호화 및 시스템 파괴 기술을 포함하여 호스트에 대한 변경 사항을 모두 관찰한다.
⑶ 의심스러운 네트워크 트래픽 분석은 백도어 생성, 다음 단계 멀웨어 다운로드, 평판이 낮은 도메인 방문, 네트워크 정찰 등 의심스러운 파일에 의해 생성된 모든 네트워크 활동을 모니터링한다.
⑷ 분석 방지 탐지는 디버거 탐지, 하이퍼바이저 탐지, 신뢰할 수 있는 프로세스에 대한 코드 주입, 호스트 기반 보안 기능 비활성화 등 VM 기반 분석을 피하도록 설계된 고급 멀웨어 기술을 모니터링한다.

 

조직은 WildFire와 결합하여 AutoFocus를 사용하여 관련성과 컨텍스트가 높은 가장 표적이 되는 위협에 홈인할 수 있다. AutoFocus는 마인멜드 위협 인텔리전스 신디케이션 엔진을 사용하여 WildFire에서 추출한 모든 데이터는 물론, 타사 위협 피드에서 검색할 수 있는 기능을 제공한다. 이를 통해 사용자는 타협의 지표 및 샘플을 Unit 42 위협 연구 팀의 인간 인텔리전스와 태그 형태로 연관시킬 수 있다. WildFire와 AutoFocus는 함께 조직 및 산업을 대상으로 하는 알려지지 않은 위협에 대한 전체 그림을 제공하여 다음과 같은 조치를 신속하게 취할 수 있는 능력을 높인다.
① 팔로알토 네트웍스 차세대 방화벽에서 외부 동적 목록을 자동으로 업데이트한다.
② STIX, TAXII 및 API를 통해 타사 툴에 자동으로 타협의 지표를 내보낸다.

이러한 조치는 사람의 개입이 필요하지 않으며, 전문 보안 직원을 추가하는 비용을 절감한다.

 

안전하고 확장 가능한 클라우드 기반 아키텍처
WildFire의 고유한 클라우드 기반 아키텍처는 알려지지 않은 위협 탐지 및 예방 기능을 광범위하게 지원한다. 네트워크, 엔드포인트 및 클라우드. 방화벽에 성능 영향을 주지 않고, 보안 운영 플랫폼의 일부로 서비스를 활용할 수 있다. WildFire는 가장 엄격한 로컬 개인 정보 보호 또는 규제 요구 사항을 충족하기 위해 다음을 포함한 여러 배포 모드로 제공된다.

① 글로벌 클라우드 제공
파일은 WildFire 글로벌 클라우드에 제출되어 규모와 속도를 제공하며, 물리적 및 가상화된 차세대 방화벽, 퍼블릭 클라우드 제품, Prisma SaaS 및 Cortex XDR 에이전트 사용자를 포함해 팔로알토 네트웍스의 모든 고객이 신속하게 서비스를 켤 수 있다.

② 프라이빗 클라우드 제공
로컬 온프레미스 장치인 WildFire 어플라이언스는 모든 위협 폭발, 인텔리전스 추출 및 보호 생성을 수행하지만, 개인 정보 보호나 규제 요구 사항이 있는 고객을 위해 글로벌 클라우드에서 업데이트를 받을 수 있는 기능을 유지한다.

③ 하이브리드 클라우드 제공
글로벌 클라우드에서 다른 콘텐츠를 분석하는 동안, 민감한 파일을 프라이빗 클라우드로 전송하도록 선택하여 글로벌 클라우드와 프라이빗 클라우드의 이점을 결합할 수 있다.

④ 글로벌 클라우드 인프라
국경을 넘어 콘텐츠를 보낼 필요 없이 글로벌 클라우드를 통해 제공되는 자동화된 보호 기능을 활용하여 개인 정보 보호 및 규정 준수를 대규모로 유지할 수 있다.

글로벌 클라우드 인프라

 

통합 로깅, 보고 및 포렌식
WildFire 사용자는 PAN-OS 관리 인터페이스, 파노라마  네트워크 보안 관리, AutoFocus 또는 WildFire 포털을 통해 악성 이벤트에 대한 통합 로그, 분석 및 가시성을 제공받으므로, 팀은 네트워크에서 관찰된 이벤트를 신속하게 조사하고 연관시킬 수 있다. 이를 통해 보안 직원은 다음을 포함하여 적시 조사 및 사고 대응에 필요한 데이터를 신속하게 찾고 조치할 수 있다.

① 호스트 및 네트워크 기반 활동을 포함하여 여러 운영 체제 환경에서 WildFire로 전송되는 모든 악성 파일을 자세히 분석한다.
② 악성 파일의 전송과 관련된 세션 데이터(소스, 대상, 애플리케이션, 사용자, URL 및 기타 속성 포함)
③ 역공학을 위한 원본 멀웨어 샘플에 액세스할 수 있으며, 동적 분석 세션의 전체 PCAP를 사용한다.
④ 보안 정보 및 이벤트 관리 시스템(SIEM)과 같은 타사 보안 도구와의 통합이 가능한 개방형 API다.

 

보안 운영 플랫폼
보안 운영 플랫폼을 기반으로 구축된 WildFire는 알려진 위협과 알려지지 않은 위협이 해를 끼치기 전에 이를 차단한다.
① 비표준 포트 사용 또는 SSL 암호화와 같은 탐지를 회피하려는 은밀한 시도를 포함하여, 모든 네트워크 트래픽 활동을 완벽하게 파악할 수 있다.
② 파지티브 보안 컨트롤로 표면을 줄여 감염 매개체를 선제적으로 제거한다.
③ NAT의 차세대 방화벽, 위협 방지, URL 필터링, Cortex XDR 에이전트 및 Prisma SaaS를 통한 알려진 위협 자동 방지 기능을 통해, 알려진 익스플로잇, 멀웨어, 악성 URL 및 명령 및 제어 활동에 대한 방어 기능을 제공한다.
④ AutoFocus 서비스를 통한 관련성 및 컨텍스트가 높은 위협 분석을 포함하여, WildFire를 통한 알려지지 않은 위협을 탐지하고 방지한다.

결과적으로 사이버 위협을 방지하기 위한 고유한 폐쇄 루프 접근 방식을 사용하여, 공격 라이프사이클 전반에 걸쳐 사이버 위협을 알고 차단할 수 있는 것이다.

 

파일의 개인 정보 보호 유지
고객 데이터의 보안과 개인 정보 보호가 우리의 최우선 과제다. WildFire 인프라는 팔로알토 네트웍스가 직접 관리하고, 보안 및 기밀 유지를 위한 업계 표준 모범 사례를 활용하며, SOC 2 준수 여부를 정기적으로 감사한다. 자세한 내용은 WildFire 개인 정보 보호 데이터시트에서 확인할 수 있다.

 

WildFire 요구사항
특정 파일 유형에 대한 WildFire 분석을 수행하려면 다음 버전 또는 최신 버전의 PAN-OS가 필요하다.
① 기본 WildFire 기능을 사용하려면 PAN-OS 4.1+가 필요하다.
② DF, Java, Office, APK 분석을 위해서는 PAN-OS 6.0+가 필요하다.
③ Adobe Flash 및 웹 페이지 분석에는 PAN-OS 6.1 이상이 필요하다.

 

라이센스 정보
WildFire 글로벌 클라우드 구독은 다음을 제공한다.
① Windows XP, Windows 7, Windows 10, macOS 및 Android OS 가상 분석 환경
② 와일드파이어 글로벌 클라우드에 샘플을 제출하는 와일드파이어 가입자가 발견한 제로데이 멀웨어 및 익스플로잇 사례에 대해 5분마다 자동 서명 업데이트가 제공된다. 서명에는 파일 기반 바이러스 백신 서명, 도메인 네임 시스템 서명 및 URL 서명이 포함된다. URL 서명에는 PAN-DB 가입이 필요하다.

③ PE 파일(ex. EXE, DLL 등) 지원, 모든 마이크로소프트 오피스 파일 형식; PDF, 플래시 파일; JAR 및 CLASS를 포함한 Java 애플릿; RAR 및 7ZIP 아카이브 파일; Linux ELF; Android APKs; MacOS 바이너리(ex. Mach-O, DMG, PKG 및 애플리케이션 번들); JScript, VBScript, PowerShell 및 Shell 스크립트를 포함한 스크립트 및 이메일 메시지 내 링크 분석
④ WildFire 시스템에 의해 결정된 베어 메탈 분석 환경에서 선택된 샘플 분석

 

기본 WildFire 기능은 PAN-OS 4.1 이상을 실행하는 모든 보안 운영 플랫폼 배포에서 표준 기능으로 사용할 수 있으며, 다음을 포함하여 제한된 WildFire 기능 집합을 사용할 수 있다.
① Windows XP 및 Windows 7 가상 분석 환경
② 압축 및 암호화된 내용을 포함하여, EXE 및 DLL 파일 형식만 자동으로 제출한다.
③ 24시간마다 정기적인 위협 방지 콘텐츠 업데이트와 함께 제공되는 자동 보호 기능