e logiciel de pare-feu de nouvelle génération livré par Palo Alto Networks propose une cinquantaine de fonctionnalités spécialement conçues pour lutter contre les menaces de type « zero-day » et les attaques de malwares avancés. Illustration : D.R.
PAN 11.0 Nova, la dernière version du système d'exploitation du pare-feu de Palo Alto, renforce le sandboxing des malwares et s'intègre au nouveau CASB de l'éditeur.
Le logiciel de pare-feu de nouvelle génération livré par Palo Alto Networks propose une cinquantaine de fonctionnalités spécialement conçues pour lutter contre les menaces de type « zero-day » et les attaques de malwares avancés. Intégrées à la dernière version de PAN 11.0 Nova, le système d'exploitation du pare-feu de Palo Alto, ces fonctionnalités comprennent un sandboxing amélioré pour le service d'analyse des logiciels malveillants WildFire du fournisseur, une prévention avancée contre les menaces (Advanced Threat Prevention, ATP) et un nouvel agent de sécurité des accès au cloud (Cloud Access Security Broker, CASB).
Le sandbox WildFire de Palo Alto pour les logiciels malveillants, sur site ou dans le cloud, est étroitement intégré aux pares-feux du fournisseur. Quand un pare-feu détecte des anomalies, il envoie des données à WildFire pour analyse. Ce dernier utilise l'apprentissage machine, l'analyse statique et d'autres types d'analyses pour découvrir les menaces, les logiciels malveillants et les menaces « zero-day », comme l'a expliqué Palo Alto.
Une sandbox qui stopperait 26% d'attaques Zero-days de plus
La nouveauté de ce service réside dans les fonctionnalités Advanced WildFire, capables de mieux détecter les attaques « zero-day » très évasives de logiciels malveillants. « Advanced WildFire apporte en plus une analyse intelligente de la mémoire d'exécution combinée à des techniques d'observation furtive qui permettront au système de détecter et de protéger les ressources rapidement », a déclaré Anand Oswal, vice-président senior, sécurité réseau, chez Palo Alto. « L'objectif particulier de cette version est d'arrêter les menaces de type zero-day », a ajouté M. Oswal. « Elle stoppe 26% de logiciels malveillants « zero-day » de plus que les sandbox traditionnelles, et détecte 60% d'attaques par injection de plus, ce qui permet aux entreprises de garder une longueur d'avance sur certaines menaces très sophistiquées », a affirmé le VP de Palo Alto. Parmi les exemples de menaces sophistiquées actuelles, M. Oswal a cité le téléchargeur de chevaux de Troie avancé GuLoader, qui utilise un shellcode pour échapper aux techniques d'analyse antivirale.
PAN-11 Nova s'appuie également sur la version précédente du système d'exploitation - qui apportait des capacités de deep learning en ligne - et ajoute le support ATP pour la détection en ligne des attaques par injection de type « zero-day ». « L'application de deep learning en ligne, en temps réel, sur le trafic réseau, permet de détecter et de prévenir les nouvelles menaces, y compris les variantes de logiciels malveillants. Le service peut stopper les attaques inconnues au moment où elles se produisent, et pas seulement y remédier après coup », a encore déclaré M. Oswal. « On parle, par exemple, des tentatives d'injection, qui poussent du code malveillant dans les systèmes IT en exploitant des vulnérabilités non corrigées dans les logiciels », a encore déclaré M. Oswal. « Au cours de la dernière décennie, nous avons intégré des données télémétriques de haute-fidélité provenant de milliers de vulnérabilités exploitables. Et nos tests internes ont montré que lorsque nous activons cette prévention avancée des menaces, nous arrivons à détecter 60 % d'attaques par injection zéro de plus que par le passé ».
Résoudre les problèmes plus vite et verrouiller les paramètres critiques
Le nouveau PAN-OS s'articule également avec le CASB de nouvelle génération récemment introduit par Palo Alto pour aider les clients à repérer les problèmes de sécurité du cloud, notamment les mauvaises configurations système, les comptes utilisateurs inutiles, les privilèges excessifs des utilisateurs et les risques de conformité. L'idée est de fournir un tableau de bord pour résoudre les problèmes plus rapidement et verrouiller les paramètres de sécurité critiques. Palo Alto a aussi renforcé le support AIops du système d'exploitation en ajoutant une capacité de recherche et de correction des politiques de sécurité du pare-feu inefficaces, avant d'engager des changements, ce qui renforce les cyberdéfenses des entreprises. « Au fil du temps, nous avons développé les meilleures pratiques de cybersécurité, et le système peut indiquer aux clients, par le biais d'une analyse de type « what if », les mesures qui peuvent renforcer leur posture de sécurité », a déclaré M. Oswal. « Par exemple, le système peut proposer les meilleures pratiques pour la configuration des appareils d'un client qui a envie de savoir ce qui se passera s'il active le cryptage ici ou s'il change les configurations ».
Quatre nouveaux modèles dans la gamme d'appliances
En plus d'avoir procédé à cette mise à jour importante de PAN-OS, Palo Alto a ajouté de nouveaux boîtiers à sa famille NGFW. Dans le haut de gamme, il propose ainsi le PA-5440 à facteur de forme fixe 2RU, deux fois plus rapide que le PA-5260 haut de gamme. Le 5440 est destiné aux clients des grands campus et des datacenters. Pour les grands environnements de succursales, le fournisseur a développé le PA-1400, qui offre des performances 5 fois supérieures et une capacité de session 7 fois supérieure à celle de la génération précédente. Enfin, Palo Alto a introduit le PA-445 et le PA-415 pour les petites succursales. Ils sont dotés de la fonction PoE (Power over Ethernet) et sont destinés à protéger des dispositifs comme des points d'accès, des caméras IP et des téléphones IP sans avoir besoin de circuits électriques supplémentaires. Tous ces nouveaux pares-feux seront disponibles en décembre. PAN-OS 11.0 sera disponible ce mois-ci.
Suivez-nous