Pour faire face aux fameux « modern malwares », sujet d’actualité s’il en est, Palo Alto a développé WildFire. Cet outil permet d’identifier les menaces potentielles dans des fichiers exécutables en étudiant leur comportement au sein d’un environnement virtuel. Cette méthodologie permet la détection des comportements malicieux de façon rapide et efficace, même dans le cas où le malware en question n’aurait jamais été rencontré par le passé.
Palo Alto Networks a popularisé le Next Generation Firewall (NGFW), nous ne parlons dorénavant plus de Firewall.
Dans sa définition du NGFW, le Gartner indique: ” At minimum, Gartner states an NGFW should provide an upgrade path to include future information feeds and security threats”
Nous pouvons dire que Palo Alto Networks respecte ce critère :) avec la fonctionnalité WildFire disponible dans ses produits depuis la version 4.1 de PanOs.
Dans sa version actuelle WildFire ne peut être un concurrent à part entière des acteurs du secteur (qui a le vent en poupe !) des ATP que peuvent être Trend Deep Discovery ou FireEye. Néanmoins c’est un début de réponse intéressant à moindre coût et qui a vocation, selon PaloAlto, à évoluer.
Avec la nouvelle version 5.0 de PanOS une souscription (licence) a vu le jour. Celle-ci doit impliquer une réduction (à 1H) des délais d’écriture de signatures pour les exécutables malveillant détectés. C’est pour l’instant encore flou pour moi. A suivre dans un prochain article.
Pour être un peu plus technique, actuellement, dans sa version gratuite (qui doit perdurer) qu’est ce que WildFire ?
Wildfire est une option de sécurité supplémentaire paramétrable sur les équipements Palo Alto. Elle n’est pas activée par défaut.
Cette option paramétrée, les fichiers Microsoft Executable (.exe et .dll) zippés ou non qui transitent par les équipements (Firewall) Palo Alto et qui n’ont pas été détectés comme malicieux (de part leur analyse antivirus/malware, fonctionnalité Threat Prevention basée sur des signatures) sont envoyés sur des serveurs externes (sur Internet) pour une analyse de leur éventuel caractère malicieux (modification de la base de registre, modification du système de fichier …).
Les fichiers sont exécutés dans des environnements de test. Ce qui permet, de part leur comportement, de détecter l’éventuel caractère malicieux.
Si le fichier est malveillant, une signature est générée par Palo Alto (génération automatique). Cette signature est ensuite ajoutée à la base de signatures Threat Prevention. L’ajout est opéré sous 24H.
Le caractère malveillant du fichier peut être visualisé en se connectant sur un portail Web dédié. Un rapport détaillé de l’analyse y est présent.
Une alerte par mail peut être configurée sur le portail Web pour indiquer qu’un fichier malicieux et/ou bénin a été transmis et analysé.
Ce qu’il faut savoir :
Seuls les fichiers .EXE et .DLL sont actuellement analysés (les fichiers PDF et Microsoft Office/RTF devraient être prochainement inclus).
La nouvelle signature générée est ajoutée dans la prochaine base de signatures Antivirus (Threat Prevention) mise à jour toutes les 24H. La signature est donc disponible en 24H (Cela devrait changer, comme évoqué précédemment, avec la souscription WildFire).
La communication entre les équipements Firewall PaloAlto et les serveurs de PaloAlto s’opère en HTTPS (avec un certificat SSL propre au boitier).
La taille maximale des fichiers pouvant être transmise aux serveurs de Palo Alto est de 10MB (dans la version actuelle 4.1 du système d’exploitation)
WildFire est une option et fait partie de la brique de sécurité globale de Palo Alto : détection indépendante de l’application, capacité à décrypter les flux SSL, capacité à bloquer les Malwares connus (AV, Malware, Vulnérabilités), filtrage d’URLs ; blocage de fichiers, protection DoS et détection des Botnets.
La partie détection des Botnets peut être associée à WildFire pour la notion marketing de O-Day. Elle se présente sous la forme d’un rapport analysant les comportements suspects. L’analyse des comportements suspects s’opère par la surveillance et la corrélation de différents critères (Trafic/Application TCP/UDP non connu, utilisation de dynamic DNS, activité sur des sites de malware connus, accès à des domaines DNS nouvellement créés, accès à des IP et non des URLs, récupération d’exécutable sur des sites non connus, trafic IRC)
