Palo Alto avverte della vulnerabilità del firewall utilizzata nell’attacco DDOS al fornitore di servizi

“Dovrebbe esserci un modo automatico per configurarlo per monitorare il traffico e decidere quale è un attacco e quale non lo è. In Arbor, è necessario modificare e impostare tutti i parametri manualmente, mentre nella protezione DDOS del punto di controllo, è possibile selezionare i parametri più bassi e, nel corso delle settimane, il protettore DDOS di controllo imparerà il traffico e puoi quindi stringere alcuni dei parametri per decidere quale traffico è regolare e quale è malizioso.”” Il supporto regionale qui in africano potrebbe migliorare, come il marketing e gli account manager.”” Un miglioramento sarebbe quello di fornire informazioni su come i prezzi vengono eseguiti a livelli di cliente diversi.”” Il supporto IT della soluzione necessita di miglioramenti.”” Un problema che deve essere affrontato le informazioni sulle preoccupazioni che ho ricevuto di attacchi al radar e al pergola, presumibilmente, non intraprendendo alcuna azione.”” La soluzione potrebbe essere più granulare per includere i registri al secondo e il monitoraggio migliorato della pipeline per le licenze del router.”” Dovrebbero migliorare la sezione di reporting e renderla un po ‘più dettagliata. Vorrei avere rapporti molto migliori e più dettagliati.”” La decryption SSL di Arbor è confusa e ha bisogno di installazione di carte esterne nei dispositivi. Questa non è la soluzione migliore dal punto di vista architettonico per proteggere HTTPS e ogni altro protocollo che è crittografato.”

Riepilogo dell’articolo

1. Denial-of-Service (DOS) e attacchi di negazione del servizio distribuiti (DDO) sono diventati problemi comuni per le imprese di tutte le dimensioni.

2. Le campagne DDoS sono comunemente usate dagli hacktivisti per interrompere le aziende o le agenzie governative.

3. Le botnet controllate da gruppi criminali possono reclutare migliaia o milioni di macchine infette per gli attacchi globali DDoS.

4. La difesa contro gli attacchi DDoS è parte integrante di qualsiasi strategia di prevenzione delle minacce IT.

5. Gli ISP svolgono un ruolo cruciale nella prevenzione degli attacchi DDoS filtrando o blackoling traffico prima che raggiunga la rete target.

6. I profili di protezione DDOS nel firewall di prossima generazione di Palo Alto Networks consentono il controllo di vari tipi di alluvioni del traffico.

7. I profili di protezione DOS consentono di impostare limiti indipendenti sulle sessioni aggregate e stesse.

8. Le reti Palo Alto possono identificare e bloccare gli strumenti DDOS come Loic, Trinoo e altri.

9. Profili di protezione della vulnerabilità nelle reti Palo Alto difendono dagli exploit che possono portare a condizioni DOS.

10. Il controllo delle botnet è essenziale per prevenire il contributo agli attacchi DDoS altrove.

Domande e risposte

1. Come possono essere prevenuti gli attacchi DDoS?

Gli attacchi DDoS possono essere prevenuti implementando una forte strategia di difesa che include misure proattive come il monitoraggio del traffico e l’impostazione di parametri per identificare automaticamente gli attacchi.

2. Quali miglioramenti sono necessari nel supporto regionale delle reti Palo Alto in Africa?

Il supporto regionale in Africa, in particolare il marketing e la gestione dell’account, necessita di miglioramenti per garantire servizi e supporto migliori per i clienti.

3. Come può Palo Alto Networks fornire informazioni sui prezzi per diversi livelli di cliente?

Palo Alto Networks dovrebbe fornire informazioni dettagliate su come i prezzi vengono eseguiti per i clienti a diversi livelli per migliorare la trasparenza e l’esperienza del cliente.

4. Quale area della soluzione richiede un miglioramento in termini di supporto IT?

Il supporto IT della soluzione richiede un miglioramento per affrontare eventuali problemi o preoccupazioni prontamente ed efficiente.

5. Arbor sta intraprendendo le azioni appropriate in risposta agli attacchi segnalati?

Sono stati segnalati segnalazioni di Arbor che non intraprendono alcuna azione in risposta agli attacchi, il che solleva preoccupazioni e deve essere affrontato per una migliore sicurezza.

6. Come può la soluzione di Arbor essere più granulare per un migliore monitoraggio?

La soluzione di Arbor può essere più granulare includendo funzionalità come tronchi al secondo e monitoraggio migliorato della pipeline per le licenze per router.

7. Quali miglioramenti sono necessari nella sezione di reporting di Palo Alto Networks?

Le reti di Palo Alto dovrebbero migliorare la sezione di reporting fornendo rapporti più dettagliati e completi per migliori analisi e approfondimenti.

8. In che modo la decrittazione SSL di Arbor necessita di miglioramento?

La decryption SSL di Arbor è confusa e richiede l’installazione di schede esterne nei dispositivi, che non è la soluzione più ideale per proteggere HTTPS e altri protocolli crittografati SSL.

– Esperienza personale: come qualcuno che ha affrontato gli attacchi DDoS, capisco l’importanza di avere una strategia di difesa globale in atto. È rassicurante sapere che Palo Alto Networks offre funzionalità come i profili di protezione DDOS e la possibilità di bloccare gli strumenti DDOS. Inoltre, l’enfasi sul lavoro con gli ISP per impedire al traffico di DDoS di raggiungere la rete è cruciale. Tuttavia, miglioramenti in settori come il supporto regionale, la trasparenza dei prezzi, il supporto IT e il reporting possono migliorare ulteriormente l’efficacia della soluzione. Nel complesso, l’implementazione di forti misure di prevenzione dei DDoS è essenziale nel panorama della sicurezza informatica di oggi.

Palo Alto avverte della vulnerabilità del firewall utilizzata nell’attacco DDOS al fornitore di servizi

“Dovrebbe esserci un modo automatico per configurarlo per monitorare il traffico e decidere quale è un attacco e quale non lo è. In Arbor, è necessario modificare e impostare tutti i parametri manualmente, mentre nella protezione DDOS del punto di controllo, è possibile selezionare i parametri più bassi e, nel corso delle settimane, il protettore DDOS di controllo imparerà il traffico e puoi quindi stringere alcuni dei parametri per decidere quale traffico è regolare e quale è malizioso.”” Il supporto regionale qui in africano potrebbe migliorare, come il marketing e gli account manager.”” Un miglioramento sarebbe quello di fornire informazioni su come i prezzi vengono eseguiti a livelli di cliente diversi.”” Il supporto IT della soluzione necessita di miglioramenti.”” Un problema che deve essere affrontato le informazioni sulle preoccupazioni che ho ricevuto di attacchi al radar e al pergola, presumibilmente, non intraprendendo alcuna azione.”” La soluzione potrebbe essere più granulare per includere i registri al secondo e il monitoraggio migliorato della pipeline per le licenze del router.”” Dovrebbero migliorare la sezione di reporting e renderla un po ‘più dettagliata. Vorrei avere rapporti molto migliori e più dettagliati.”” La decryption SSL di Arbor è confusa e ha bisogno di installazione di carte esterne nei dispositivi. Questa non è la soluzione migliore dal punto di vista architettonico per proteggere HTTPS e ogni altro protocollo che è crittografato.”

Ottenere una maniglia sui DDO

Denial-of-Service (DOS) e attacchi di negazione del servizio distribuiti (DDoS) sono diventati un problema sempre più comune per le imprese di tutte le dimensioni. Le campagne DDOS sono comunemente usate dagli hacktivisti per mettere in imbarazzo o interrompere in altro modo una società target o un’agenzia governativa. Sfortunatamente, il problema non lo fa’T fermarti qui. Le botnet controllate da gruppi criminali possono reclutare migliaia e persino milioni di macchine infette per unirsi a un attacco DDO veramente globale, consentendo alla banda di estorcere essenzialmente un riscatto dalla rete target in cambio di fermare l’attacco. Indipendentemente dalla fonte, la difesa di una rete da questi attacchi DDoS è diventata parte integrante di qualsiasi strategia di prevenzione delle minacce IT. Mentre indossiamo’T affermare di essere una soluzione end-to-end per fermare gli attacchi DDo. Permettere’S Dai un’occhiata rapida a come potrebbe apparire una strategia DDoS complessiva.

Tieni gli attacchi DOS il più lontano possibile dalla rete
Sebbene, naturalmente, tendiamo a concentrarci sulle protezioni che possiamo fornire a Palo Alto Networks, è molto importante riconoscere che la protezione DDoS deve iniziare prima che il traffico raggiunga mai la tua rete. Gli ISP sono partner sempre più importanti nella lotta contro i DDo. Gli ISP possono monitorare i collegamenti Internet e possono filtrare o blackhole traffico per proteggere la rete clienti. Prepararsi per i DDO richiede davvero di guardare oltre il nostro perimetro e il lavoro con il tuo ISP è un ottimo modo per mantenere il traffico DOS il più lontano possibile dalla tua rete.

Profili di protezione DDOS
Naturalmente, i tentativi di DOS alla fine finiranno a portata di mano e dovrai respingere l’attacco e proteggere le tue risorse. È qui che i profili di protezione DOS nel firewall di prossima generazione sono particolarmente potenti. I profili DOS ti consentono di controllare vari tipi di alluvioni del traffico come alluvioni SYN, UDP e ICMP. Puoi anche impostare regole per il numero massimo di sessioni simultanee per garantire che le sessioni possano’T sopraffatte anche le risorse. Tuttavia, il vero potere dei profili di protezione DOS è la capacità di stabilire limiti indipendenti sulle sessioni aggregate e stesse. Ad esempio, è possibile impostare un soffitto complessivo di pacchetti syn che dovrebbe essere consentito che si applica a tutti i dispositivi protetti da una regola particolare. Quindi è possibile impostare una regola molto più mirata per i pacchetti syn totali che dovrebbero essere consentiti di andare a un indirizzo IP specifico. Puoi applicarli “classificato” Regole basate su IP di origine, IP di destinazione o coppia di destinazione di origine. Combinando protezioni DOS aggregate e classificate è possibile creare una grande protezione non solo per la rete in generale, ma anche per i sistemi e i servizi critici che la rete può’Tvivi senza.

Rilevamento di strumenti DDoS
Il prossimo passo è identificare e bloccare gli strumenti DDOS utilizzati dagli aggressori. I gruppi di hacktivisti si affidano spesso a strumenti molto semplici o script facilmente distribuibili che possono essere utilizzati dagli utenti con competenze informatiche di base. Loic (il cannone ionico a basso orbita) è stato uno strumento popolare in vari progetti anonimi e altre operazioni di hacktivista. Palo Alto Networks è in grado di identificare gli attacchi guidati da Loic, Trinoo e altri e bloccare automaticamente il loro traffico DDOS al firewall.

Bloccare gli exploit DOS
Il passo più semplice è bloccare gli exploit che possono portare a condizioni DOS. Palo Alto Networks I profili di protezione della vulnerabilità forniscono una protezione in linea da oltre 400 diverse vulnerabilità sia nei server che nei clienti che causano una negazione delle condizioni di servizio. La difesa da questi tipi di vulnerabilità è relativamente diretto ed è probabilmente già un componente dei tuoi IP e profili di prevenzione delle minacce sui tuoi dispositivi Palo Alto Networks.

Controllo dei botnet per controllare i DDO
Mentre è fondamentale essere preparati per i DDO contro la tua rete, è anche importante garantire che la tua rete lo faccia’T contribuisce a un attacco altrove. Molti attacchi DDoS sono opera di botnet che sfruttano un esercito di macchine infette per inviare traffico a una fonte specifica. Palo Alto Networks fornisce il blocco del traffico di comandi e controllo malware e offre il rapporto di botnet comportamentale per esporre i dispositivi nella rete che sono probabilmente infettati da un bot. Questi sforzi ti assicureranno di indossare’T contribuisce inconsapevolmente a un attacco DDoS.

Quando si tratta di DDoS è sempre importante ricordare che probabilmente non ci sarà mai un singolo proiettile d’argento. L’arresto degli attacchi DDoS richiede una miscela di forti controlli di sicurezza locale e sforzi per mitigare l’attacco a monte. L’uso di queste tecniche in modo coordinato ti aiuterà a costruire un approccio generale per far fronte a un attacco DDoS.

Palo Alto avverte della vulnerabilità del firewall utilizzata nell’attacco DDOS al fornitore di servizi

Palo Alto Networks sta esortando i clienti a patcha una linea di prodotti firewall dopo aver scoperto che la vulnerabilità è stata utilizzata in un attacco di negazione del servizio distribuito.

Il 19 agosto, la società ha reso disponibili tutte le patch per CVE-2022-0028, che colpisce la serie PA, la serie VM e la serie CN del software PAN-OS Firewall.

Palo Alto Networks ha affermato di aver recentemente appreso che un tentativo riflesso negativo del servizio-una versione di un attacco DDOS-è stata identificata da un fornitore di servizi e ha sfruttato i firewall sensibili da più fornitori, tra cui Palo Alto Networks.

Un attacco di amplificazione della riflessione

La società di sicurezza Netscout ha descritto un attacco di amplificazione della riflessione come tecnica utilizzata dagli hacker per “Entrambi ingrandiscono la quantità di traffico dannoso che possono generare e oscurare le fonti del traffico di attacco.

Questo tipo di attacco DDoS sopraffà il bersaglio, causando interruzioni o interruzioni di sistemi e servizi, secondo NetsCout.

La società ha aggiunto che gli attacchi di amplificazione della riflessione sono pericolosi perché i server utilizzati per questi tipi di attacchi “possono essere server ordinari senza un chiaro segno di essere stato compromesso, rendendo difficile prevenirli.”

Sono diventati una tattica preferita tra i criminali informatici negli ultimi anni perché richiedono uno sforzo minimo per condurre e creare enormi attacchi volumetrici utilizzando una modesta fonte di robot o un singolo server robusto, ha spiegato Netscout.

Documentati per la prima volta nei primi anni 2000, gli attacchi DDO sono stati inizialmente eseguiti mediante dirottando i computer domestici per lanciare le richieste sui siti Web, tutti contemporaneamente, al fine di sopraffare una vittima’S hosting infrastrutture.

Con il passare degli anni, anche i metodi per eseguire gli attacchi DDoS. Uno dei più pericolosi di questi metodi era il cosiddetto “Attacco di amplificazione riflettente DDOS.” Ciò accade quando un utente malintenzionato invia pacchetti di rete a un server di terze parti su Internet, il server elabora e crea un pacchetto di risposta molto più grande, che quindi invia a una vittima anziché all’attaccante (grazie a una tecnica nota come spoofing IP).

La tecnica consente efficacemente gli aggressori di riflettere/rimbalzare e amplificare il traffico verso una vittima attraverso un punto intermedio.

Negli ultimi due anni, gli accademici dell’Università del Maryland e dell’Università del Colorado Boulder hanno dichiarato di aver scoperto un modo per abusare di firewall e altre middlebox di rete per lanciare attacchi giganti DDO contro qualsiasi obiettivo su Internet.

Nella sua consulenza, Palo Alto Networks ha descritto una situazione in cui un aggressore potrebbe utilizzare CVE-2022-0028, che ha un punteggio CVSS di 8.6, a “condotta riflessa e amplificata gli attacchi di negazione del servizio TCP (RDOS)” Quello “sembrerebbe originare da una serie PA (hardware), Serie VM (virtuale) e CN (contenitore) di Palo Alto.”

L’Agenzia per la sicurezza della Cybersecurity and Infrastructure ha aggiunto CVE-2022-0028 al suo elenco di vulnerabilità sfruttate note di lunedì e ha ordinato alle agenzie civili federali di riparare il bug prima del 12 settembre.

L’agenzia aggiunge solo bug che sono sotto sfruttamento attivo.

Attacchi da record

Bud Broomhead, CEO della società di sicurezza dell’IoT Viakoo, ha affermato che la possibilità di utilizzare un firewall di Palo Alto Networks per eseguire attacchi riflessi e amplificati è “Parte di una tendenza generale all’uso dell’amplificazione per creare enormi attacchi DDoS.”

Ha continuato a fare riferimento a Google’s recente annuncio secondo cui uno dei suoi clienti è stato preso di mira con il più grande attacco DDoS mai registrato, raggiungendo il picco a 46 milioni di richieste al secondo.

Per dirla in prospettiva, hanno confrontato l’attacco a “ricevere tutte le richieste giornaliere a Wikipedia (uno dei 10 migliori siti Web trafficati al mondo) in soli 10 secondi.”

Viakoo ha detto che l’attacco e gli altri lo faranno “Metti più attenzione ai sistemi che possono essere sfruttati per consentire quel livello di amplificazione.”

Palo Alto ha osservato nella sua versione che l’attacco risultante può “aiutare a offuscare l’identità dell’attaccante e implicare il firewall come fonte dell’attacco.”

La società ha fornito una serie di soluzioni di soluzioni alternative e mitigazione insieme alle patch. Il problema è stato scoperto dalla società di sicurezza informatica Excellium-Services S.UN. con sede in Lussemburgo e Belgio.

A giugno, Cloudflare ha annunciato di aver fermato l’attacco di DDOS (DEDO (DDoS) più grande HTTPS mai registrato a 26 milioni di richieste al secondo, superando un attacco allora record di 17.2 milioni di richieste, che all’epoca erano quasi tre volte più grandi di qualsiasi precedente attacco volumetrico DDoS mai riportato nel dominio pubblico.

Sia CloudFlare che Google hanno espresso preoccupazione per l’evoluzione degli attacchi DDoS negli ultimi anni man mano che crescono in frequenza e di dimensioni esponenzialmente.

“Le dimensioni degli attacchi continueranno a crescere e le tattiche continueranno ad evolversi,” I ricercatori di Google hanno detto venerdì scorso.

Jonathan Greig

Jonathan Greig è un giornalista di Breaking News a Recorded Future News. Jonathan ha lavorato in tutto il mondo come giornalista dal 2014. Prima di tornare a New York City, ha lavorato per notizie in Sudafrica, Giordania e Cambogia. In precedenza ha coperto la sicurezza informatica su Zdnet e TechRepublic.

Che cos’è un attacco di servizio distribuito del servizio (DDoS)?

Un attacco DDoS (Distributed Denial of Service (DDoS) è una variante di un attacco DOS che impiega un numero molto elevato di computer attaccanti per sopraffare il bersaglio con traffico fasullo. Per raggiungere la scala necessaria, i DDO vengono spesso eseguiti da botnet che possono cooptare milioni di macchine infette per partecipare inconsapevolmente all’attacco, anche se non sono il bersaglio dell’attacco stesso. Invece, l’attaccante sfrutta il numero enorme di macchine infette per inondare l’obiettivo remoto con il traffico e causare un DOS.

Sebbene l’attacco DDoS sia un tipo di attacco DOS, è significativamente più popolare nel suo uso a causa delle caratteristiche che lo differenziano e lo rafforzano da altri tipi di attacchi DOS:

• Il partito attaccante può eseguire un attacco di scala dirompente a seguito della grande rete di computer infetti, efficacemente un esercito di zombi – in base al loro comando
• La distribuzione (spesso in tutto il mondo) dei sistemi di attacco rende molto difficile rilevare dove si trova la festa di attacco effettiva
• È difficile per il server target riconoscere il traffico come illegittimo e rifiutarlo una voce a causa della distribuzione apparentemente casuale dei sistemi di attacco
• Gli attacchi DDoS sono molto più difficili da chiudere rispetto ad altri attacchi DOS a causa del numero di macchine che devono essere chiuse, al contrario di una sola

Gli attacchi DDoS spesso prendono di mira organizzazioni specifiche (imprese o pubbliche) per motivi personali o politici o per estorcere il pagamento dall’obiettivo in cambio di fermare l’attacco DDOS. I danni di un attacco DDoS sono in genere in tempo e denaro perso dai tempi di inattività risultanti e perduti.

Esempi di attacchi DDoS sono abbondanti. Nel gennaio 2012, Hacktivist CyberGroup Anonymous ha condotto un attacco più importanti sostenitori della Stop Online Piracy Act (SOPA). In Dissent of SOPA, Anonimi hanno eseguito attacchi DDoS che disabilitano i siti Web del Dipartimento di Giustizia degli Stati Uniti, il Federal Bureau of Investigations (FBI), la Casa Bianca, la Motion Picture Association of America (MPAA), la registrazione Industry Association of America (RIAA), Universal Music Group e Broadcast Music, Inc (BMI). Per facilitare l’attacco, Anonimo ha creato la sua botnet utilizzando un modello non convenzionale che ha permesso agli utenti che desiderano supportare l’organizzazione di offrire ai propri computer come bot per gli attacchi. Gli utenti che volevano fare volontariato potrebbero unirsi alla botnet anonima facendo clic su Link che l’organizzazione ha pubblicato in varie località online, come Twitter.

L’attacco DDOS è anche sfruttato come un’arma della guerra informatica. Ad esempio, nel 2008 durante la guerra di Ossezia del Sud, i siti Web del governo georgiano sono stati paralizzati da quelle che dovrebbero essere bande criminali russe sotto l’egida dei servizi di sicurezza russi. L’attacco è stato effettuato appena prima della Russia’S Attacchi iniziali al suolo georgiano.

Esistono numerose tecniche di mitigazione DDoS che le organizzazioni possono implementare per ridurre al minimo la possibilità di un attacco. L’infrastruttura di sicurezza della rete dovrebbe includere strumenti di rilevamento DDoS in grado di identificare e bloccare sia gli exploit che gli strumenti che gli aggressori usano per lanciare un attacco. Inoltre, gli amministratori di rete possono creare profili per osservare e controllare inondazioni specifiche del traffico (i.e. Inondazioni di syn, UDP e ICMP). Attraverso la ricerca di tutto il traffico in aggregato, le soglie possono essere impostate per monitorare e tagliare i comportamenti che indicano un possibile attacco DDoS.

Arbor Ddos vs Palo Alto Networks Confronto di incendi

Abbiamo eseguito un confronto tra Arbor DDOS e Palo Alto Networks Wildfire basato su recensioni di utenti Peerspot reali.

Scopri cosa dicono i tuoi colleghi su CloudFlare, Imperva, Netscout e altri nella protezione Distributed Denial of Service (DDoS).

Per saperne di più, leggi il nostro rapporto di protezione DETUSATE DETTAGLIATO DETTANGERE (DDOS) (aggiornato: aprile 2023).

701.600 professionisti hanno utilizzato la nostra ricerca dal 2012.

Recensione in primo piano

Yassine-ibnoucheikh

Manager tecnico regionale presso HTBS

Ahmadzakwan

Consulente principale di Securelytics

Citazioni da membri

Abbiamo chiesto ai professionisti degli affari di rivedere le soluzioni che usano.
Ecco alcuni estratti di ciò che hanno detto:

“La stabilità va bene e non abbiamo riscontrato problemi con la soluzione.”” Arbor DDOS offre funzionalità di sicurezza che rilevano automaticamente e prevengono gli attacchi DDoS.”” Il formato del dispositivo apolido significa che la scatola è molto forte per prevenire gli attacchi DDoS.”” Arbor DDOS è facile da usare, fornisce un efficace blocco degli attacchi DDoS e può essere utilizzato per DNS, Web e server principali. Inoltre, questa soluzione è molto più facile da operare rispetto ad altre soluzioni, come Fortinet DDoS.”” La segnalazione è abbastanza buona. Ci sono diverse pagine di reporting sugli attacchi DDoS e puoi trovare tutti i dettagli di cui hai bisogno.”” La migliore caratteristica di Arbor Ddos è che possiamo inserire i certificati, e esaminerà il livello sette e il traffico crittografato e farà la segnalazione richiesta.”” La caratteristica più preziosa è la mitigazione, che può far bulerare l’IP.”” Le aziende che vivono dalla loro presenza su Internet otterranno un ritorno molto elevato sugli investimenti da Arbor.”

“La stabilità non è mai una preoccupazione.”” Adoro l’idea di Palo Alto Networks Wildfire. È più orientato a prevenire il malware. Se il laptop o il telefono di qualcuno è infetto da malware, lo strumento impedisce di caricare preziosi dati aziendali al di fuori della rete aziendale. Questo è ciò che amo di Palo Alto Networks Wildfire. Ferma il malware nelle sue tracce.”” Fornisce una valutazione più accurata di un virus in termini di veramente un virus, malware o un falso positivo. Abbiamo del software legacy che potrebbe apparire come qualcosa che è malware. L’incendio passa e lo ispeziona, e poi torna indietro e ci fa sapere se è un falso positivo. Di solito, quando scopre che non è un virus, ci fa sapere che è benigno e può escluderlo da quella scansione, il che significa che non devo nemmeno più preoccuparmi di quello che spunta più.”” Le caratteristiche più preziose di Palo Alto Networks Wildfire sono il buon URL e l’analisi dei file che utilizza l’intelligenza artificiale. Ha interfacce diverse, come REST, SMTP Protocol e HTTPS. Gli incidenti di sicurezza e la gestione degli eventi sono molto buoni. Inoltre, ci sono molti tipi di file che sono supportati e non vi è alcun limite al numero di file che può gestire contemporaneamente. Si integra bene con Siem Solutions.”” Le caratteristiche più preziose della soluzione sono le opzioni relative alla facilità d’uso, al prezzo, alla buona sicurezza e al cloud.”” La crittografia dell’applicazione di Wildfire è utile.”” La soluzione ha molte funzionalità.”” Abbiamo scoperto che il fuoco di Palo Alto Networks è scalabile. Attualmente abbiamo seimila utenti per il prodotto.”

“Dovrebbe esserci un modo automatico per configurarlo per monitorare il traffico e decidere quale è un attacco e quale non lo è. In Arbor, è necessario modificare e impostare tutti i parametri manualmente, mentre nella protezione DDOS del punto di controllo, è possibile selezionare i parametri più bassi e, nel corso delle settimane, il protettore DDOS di controllo imparerà il traffico e puoi quindi stringere alcuni dei parametri per decidere quale traffico è regolare e quale è malizioso.”” Il supporto regionale qui in africano potrebbe migliorare, come il marketing e gli account manager.”” Un miglioramento sarebbe quello di fornire informazioni su come i prezzi vengono eseguiti a livelli di cliente diversi.”” Il supporto IT della soluzione necessita di miglioramenti.”” Un problema che deve essere affrontato le informazioni sulle preoccupazioni che ho ricevuto di attacchi al radar e al pergola, presumibilmente, non intraprendendo alcuna azione.”” La soluzione potrebbe essere più granulare per includere i registri al secondo e il monitoraggio migliorato della pipeline per le licenze del router.”” Dovrebbero migliorare la sezione di reporting e renderla un po ‘più dettagliata. Vorrei avere rapporti molto migliori e più dettagliati.”” La decryption SSL di Arbor è confusa e ha bisogno di installazione di carte esterne nei dispositivi. Questa non è la soluzione migliore dal punto di vista architettonico per proteggere HTTPS e ogni altro protocollo che è crittografato.”

“In termini di ciò che mi piacerebbe vedere nella prossima versione di Palo Alto Networks Wildfire, ogni versione si basa su malware che è stato identificato. Il problema chiave è in media sei mesi dal momento in cui il malware viene scritto al momento in cui viene scoperto e viene creata una firma per questo. L’unico consiglio che posso dare è per loro abbreviare quel lasso di tempo. Non so come lo farebbero, ma se lo abbreviano, ad esempio, lo tagliano a metà, si rendono più famosi.”” In futuro, Palo Alto potrebbe ridurre il tempo necessario per elaborare il file.”” Le funzionalità di visibilità della sicurezza informatica e forense per ricevere ulteriori informazioni sugli incidenti potrebbero migliorare nel fuoco di Palo Alto Networks.”” La configurazione dovrebbe essere resa un po ‘più semplice. Capisco perché è così com’è, ma dovrebbe esserci un modo per rendere più facile dal lato dell’utente.”” L’automazione e la reattività necessitano di miglioramenti.”” Le caratteristiche ad alta disponibilità mancano.”” La funzionalità del prodotto globale ha bisogno di miglioramenti, VPN e abbiamo bisogno di alcune funzionalità migliorate.”” L’unico problema con questa soluzione è il costo. È costoso.”

Prezzi e consigli sui costi

Utilizzare il nostro motore di raccomandazione gratuito per apprendere quali soluzioni di protezione Distributed Denial of Service (DDoS) sono le migliori per le tue esigenze.

701.600 professionisti hanno utilizzato la nostra ricerca dal 2012.

Domande della comunità

Risposta superiore: direi se ciò’S un ISP che costruirà un centro di lavaggio, Netscout/Arbor è una buona soluzione. In tutte le altre soluzioni, Imperva è un’ottima scelta.

Risposta più alta: Arbor sarebbe la migliore offerta, a parte Arbor, Palo Alto e Fortinet hanno buone soluzioni. Poiché questo è un ISP, preferirei Arbor.

Risposta top: Arbor DDOS offre funzionalità di sicurezza che rilevano automaticamente e impediscono gli attacchi DDoS.

Risposta superiore: il firewall NGFW Cisco Firepower è un pezzo di software antivirale molto potente e molto complesso. Quando si considera questo fatto, è tanto più impressionante che l’installazione sia abbastanza … di più »

Risposta top: FortiGate ha molto da fare e lo considero il firewall migliore e più facile da usare là fuori. Quello che mi piace di più è che ha una dashboard web attraente con molto facile … di più »

Risposta top: Quando cerchiamo di cambiare il nostro firewall ASA, abbiamo esaminato Palo Alto’S Wildfire. Funziona soprattutto nella prevenzione di malware avanzato e exploit zero-day con intelligenza in tempo reale. La funzione sandbox … di più »

Su 43 nella protezione DENIALE DENALALE DE DENABILED (DDOS)

Confronti

Parole medie per recensione

Su 30 in ATP (protezione avanzata delle minacce)

Confronti

Parole medie per recensione

Confronti

Rispetto al 15% delle volte.

Rispetto all’11% delle volte.

Rispetto al 7% delle volte.

Rispetto al 7% delle volte.

Rispetto al 6% delle volte.

Confrontato il 23% delle volte.

Rispetto al 13% delle volte.

Rispetto al 10% delle volte.

Rispetto all’8% delle volte.

Confrontato il 2% delle volte.

Conosciuto anche come

Arbor Networks SP, Arbor Networks TMS, Arbor Cloud per ENT

Saperne di più

Arbor Networks, la divisione di sicurezza di Netscout, è spinta a proteggere l’infrastruttura e l’ecosistema di Internet. È il principio su cui siamo stati fondati nel 2000; e rimane il filo conduttore che attraversa tutto ciò che facciamo oggi. Pergolato’L’approccio S è radicato nello studio del traffico di rete. Pergolato’Suite di visibilità, protezione DDOS e soluzioni avanzate di minacce forniscono ai clienti una micro visione della loro rete migliorata da una visione macro del traffico globale Internet e dalle minacce emergenti attraverso le nostre infrastrutture ATLAS. Proveniente da oltre 300 clienti del fornitore di servizi, Atlas fornisce intelligence in base a approfondimenti su circa 1/3 del traffico Internet globale. Supportato da Arbor’S Security Engineering & Response Team (ASERT), flussi di lavoro intelligenti e contesto di utente ricco, Arbor’Le informazioni sulla rete aiutano i clienti a vedere, comprendere e risolvere le sfide di sicurezza più complesse e consequenziali che devono affrontare le loro organizzazioni.

Con Arbor DDO è possibile identificare e fermare automaticamente tutti i tipi di attacchi DDo.

Arbor DDOS è una combinazione intelligentemente automatizzata di protezione degli attacchi DDO in cloud e locale che è continuamente sostenuta dall’intelligenza e dalle competenze delle minacce globali.

Caratteristiche e vantaggi per Arbor DDOS:

• Protezione globale dei DDoS: Arbor DDoS è una soluzione all-in-one che offre protezione DDOS globale di portatore-agnostico che è sostenuta dall’intelligence di sicurezza di livello mondiale e dai prodotti di protezione DDOS leader del settore.
• Centri di lavaggio in tutto il mondo: Arbor DDOS offre una protezione completa dai più grandi attacchi DDoS.
• Solo cloud e/o protezione ibrida: La soluzione fornisce la flessibilità di progettare una protezione completa di DDoS che si adatta al tuo ambiente specifico. Può essere distribuito come un solo cloud e/o una combinazione intelligente di protezione DDOS in cloud e locale.
• Intelligenza globale delle minacce: La protezione DDOS Arbor è continuamente armata dell’ultima intelligenza delle minacce globali di Netscout’squadra di risposta.
• Rilevamento e mitigazione degli attacchi DDO automatizzati: Gli attacchi DDoS possono essere rilevati e instradati automaticamente ai centri di lavaggio globale di Arbor Cloud per la mitigazione.
• Servizi gestiti: Per gestire e ottimizzare la tua protezione DDOS on-premise, puoi fare affidamento sull’esperienza leader del settore delle reti Arbor.
• Approccio a più livelli: Come parte di un approccio a strati alla protezione DDOS, Arbor Cloud fornisce una protezione in nuvola da attacchi DDoS avanzati e ad alto volume, il tutto senza interrompere l’accesso alle applicazioni o ai servizi. Arbor Cloud’S il servizio di lavaggio del traffico automatizzato o su richiesta difende contro gli attacchi volumetrici DDoS troppo grandi per essere mitigati nei locali.

Recensioni da utenti reali:

Di seguito sono riportati alcuni dei tanti motivi per cui gli utenti di Peerspot danno ad Arbor DDO una valutazione di 8 su 10:

“Lo utilizziamo non solo per il rilevamento e la protezione dei DDO, ma lo utilizziamo anche per l’analisi del traffico e la pianificazione delle capacità. Siamo stati anche in grado di estenderlo ad altre misure di sicurezza all’interno della nostra azienda, la difesa in prima linea, non solo per i DDo. È anche usato per attacchi in uscita, che ci ha aiutato a mitigare quelli e ridurre i nostri costi di larghezza di banda.” – Roman L, SR. Ingegnere di sicurezza presso Rackspace

“Abbiamo assunto l’abbonamento a Arbor Cloud, il che è davvero utile perché ti assicuri qualcosa al di là della tua attuale capacità di mitigazione. Questa è davvero un’ottima caratteristica di Arbor disponibile.” – Assistente direttore generale presso un fornitore di servizi di comunicazione

“Sta mitigando pienamente gli attacchi. Abbiamo avuto a che fare con altri in cui non lo abbiamo visto necessariamente. Il rilevamento è molto buono. È anche molto semplice da usare. Arbor è un singolo riquadro di vetro, mentre con altre soluzioni potresti avere un riquadro di vetro di rilevamento e quindi devi andare su un’interfaccia separata per affrontare la mitigazione. Quel singolo riquadro di vetro lo rende molto più semplice.” – Erik n., Product Manager, MSX Security Services presso TPX Communications

Palo Alto Networks Wildfire è una soluzione di protezione avanzata (ATP) molto efficace (ATP) che le organizzazioni in un’ampia varietà di campi si fidano per aiutarli a proteggere dalle minacce digitali. È progettato per consentire alle aziende di affrontare anche le minacce più evasive e risolverle. Combina molte tecniche per massimizzare il livello di protezione delle minacce disponibili per gli utenti.

Benefici per incendi Palo Alto Networks

Alcuni dei modi in cui le organizzazioni possono trarre vantaggio scegliendo di distribuire incendi includono:

Prevenzione proattiva delle minacce in tempo reale. Le organizzazioni che utilizzano incendi possono adottare un approccio proattivo alla sicurezza della loro rete. Incendio’Il software di scansione di sicurezza è supportata da una potente automazione che gli consente di funzionare 180 volte più velocemente rispetto ad altre soluzioni simili. Sfrutta inoltre l’apprendimento automatico per individuare e affrontare due volte più malware mensile rispetto ai suoi concorrenti. Gli utenti possono risolvere i problemi man mano che si presentano, il che impedisce loro di soffrire di gravi danni.

Un approccio olistico alla sicurezza. Individuari sfruttano molte delle caratteristiche di sicurezza e delle caratteristiche che possono essere trovate in alcune delle soluzioni di sicurezza più efficaci in un modo che fornisce agli utenti una potente coperta protettiva. Combina cose come l’apprendimento automatico, l’analisi dinamica e statica e un ambiente di analisi su misura e consente agli utenti di coprire molte diverse potenziali strade di attacco. In questo modo, le organizzazioni possono facilmente rilevare e impedire alle minacce più sofisticate di danneggiarle.

Ridurre i costi aerei. L’uso degli incendi riduce le spese che un’azienda sostiene. La sua architettura si basa nel cloud e, di conseguenza, gli utenti non devono acquistare hardware per eseguirlo. Inoltre, quegli utenti non devono pagare niente di più di una quota di abbonamento al prodotto. Possono ridimensionarlo come desiderano e non sostengono costi aggiuntivi.

Funzionalità di incendi di Palo Alto Networks

Alcune delle tante funzionalità offerte di incendi includono:

Integrazioni di terze parti. Wildfire offre agli utenti l’accesso a integrazioni che possono consentire loro di combinare incendi’S SUITE SUITE con strumenti esterni. Se un’organizzazione pensa che manchi qualcosa, può facilmente usare l’incendio’S Integrazioni di terze parti per rafforzare le loro capacità. Queste integrazioni possono connettersi a molti diversi tipi di strumenti, come le informazioni sulla sicurezza o i sistemi di gestione degli eventi.

Filtro URL. Le organizzazioni possono utilizzare una funzione di filtraggio URL per salvaguardare se stessi contro minacce note. Quando questa funzione è attiva, scansionerà il traffico proveniente da URL specifici che sono noti per essere dannosi. Questo li mantiene un passo avanti rispetto a quelle minacce che conoscono.

Analisi profonde. Wildfire ha la possibilità di fornire agli utenti un’analisi dettagliata di qualsiasi minaccia che trova in tutti i loro ambienti di rete. Offre agli utenti informazioni su tutto, dalla loro natura alle azioni che hanno eseguito.

Recensioni da utenti reali

L’incendio è una soluzione che si distingue rispetto ai suoi principali concorrenti. Due importanti vantaggi che offre sono le alte velocità in cui può analizzare il traffico di rete per le minacce e l’accuratezza con cui può scegliere minacce autentiche da falsi positivi.

Ahmad z., Il principale consulente di Securelytics, scrive, “L’analisi è molto veloce. L’intermittente è un millisecondo e ha un tempo di risposta rapido.”

Christopher b., Dice l’amministratore di Senior Systems presso un’agenzia governativa, “Dà una valutazione più accurata di un virus in termini di veramente un virus, malware o un falso positivo. Abbiamo del software legacy che potrebbe apparire come qualcosa che è malware. L’incendio passa e lo ispeziona, e poi torna indietro e ci fa sapere se è un falso positivo. Di solito, quando scopre che non è un virus, ci fa sapere che è benigno e può escluderlo da quella scansione, il che significa che non devo nemmeno più preoccuparmi di quello che spunta più.”

Difendere da DOS e attacchi DDoS volumetrici

Sintomo
Gli attacchi di inondazione di rete possono sopraffare la CPU o i componenti di memoria, guidando il firewall o i server dietro di esso.

Ambiente
Pan-os> = 7.1

Causa
Flood di rete

Risoluzione
Il primo passo per capire come difendersi da un attacco DOS è identificare quali caratteristiche ha.

Per numero di fonti di attacco:

• Attacchi DDOS: l’attacco è multi-diurce (distribuito).
• Attacchi DOS: l’attacco è a forma di singola.

Da come il traffico viene elaborato dal firewall:

• Percorso lento: i pacchetti di attacco provocano la creazione di nuove sessioni. Ciò significa che i pacchetti seguono il percorso lento, in cui ogni pacchetto deve eseguire la ricerca e l’installazione della sessione.
• Percorso veloce: i pacchetti di attacco creano solo una sessione e i pacchetti successivi continuano ad abbinare quella singola sessione. Ciò significa che il pacchetto segue il percorso veloce, in cui non è richiesta la valutazione delle corrispondenze della politica.

Da ciò che è sotto attacco:

• Host Bound: l’obiettivo dell’attacco è un indirizzo IP di proprietà del firewall
• Server dietro il firewall: l’obiettivo dell’attacco è un indirizzo IP di proprietà di un dispositivo dietro il firewall.

Quali protezioni dovrebbero essere utilizzate

Attacchi DDoS volumetrici

Il firewall di Palo Alto Networks non è posizionato per difendersi dagli attacchi volumetrici DDoS, tuttavia la protezione delle zone può aiutare a salvaguardare le risorse del firewall.

Le politiche DOS tracciano la velocità di connessione al secondo per la sorgente-IP e negli attacchi distribuiti, le fonti sono molte, in cui ogni sorgente-IP non può generare un volume sufficiente per attivare regole basate sulla connessione per secondo.

Con la protezione della zona, l’intera velocità di connessione al secondo in arrivo alle interfacce nella zona può essere aggregata indipendentemente dall’invio del traffico di Source-IP e la zona Internet può essere sacrificata per continuare a consentire il traffico tra altre zone del firewall. La protezione delle zone chiuderà il protocollo in fase di sfruttamento per l’attacco, il che significa che la rete della rete DDOS da parte dell’attaccante avrà successo nel far cadere la connettività Internet.

Dato che la protezione della zona aprirà il protocollo utilizzato dai pacchetti, ciò significa che se l’attacco è basato su ICMP, la protezione della zona potrebbe aiutare ad alleviare gli attacchi DDoS ICMP, continuando a consentire TCP, UDP e altri traffico da Internet.

Il motivo per cui la protezione delle zone non dovrebbe essere utilizzata per difendere i server dietro il firewall è che avrebbe semplicemente abbassato la soglia di successo dell’attacco-causerà la negazione del servizio a una velocità di connessione inferiore rispetto a quella che il server delle applicazioni potrebbe essere in grado di sbiancare.

Per difendersi correttamente dagli attacchi DDoS volumetrici, dovrebbe essere utilizzato un apparecchio DDoS specializzato. In alternativa, la maggior parte degli ISP offrirà una protezione DDoS opzionale. Verificare con il tuo ISP se questo è un servizio che offrono.

Durante un attacco attivo, la velocità di connessione per secondo può essere stimata interrogando un singolo secondo dei registri del traffico e contando il numero di voci. Questa tecnica può anche essere utilizzata per determinare se l’attacco è multi o singolo.

Path lento DOS attacchi contro il firewall

Per difendere le risorse del firewall da un attacco DOS percorso lento, utilizzare la protezione della zona – protezione delle inondazioni.

Il firewall di Palo Alto Networks può tenere traccia delle velocità di connessione per secondo per eseguire scarti attraverso i cookie casuali e precoci (rosso) o syn (se l’attacco è un diluvio syn).

Syn Cookies è una tecnica che aiuterà a valutare se il pacchetto Syn ricevuto è legittimo o parte di un’alluvione di rete. Il firewall scarterà il pacchetto syn, codificherà nel numero di sequenza iniziale in un syn-adck realizzato e ricostruirà la mano a tre vie solo se viene ricevuto un ACK valido dalla sorgente.

Protezione delle zone-Flood Tracks di rete Connection per secondo la velocità in arrivo in una zona. Aggrega tutta la velocità di connessione al secondo (per ciascun protocollo) che arriva su tutte le interfacce legate alla zona protetta. La protezione della zona non si applica ai pacchetti che corrispondono a una sessione attiva. Lo scopo di questa protezione è di difendere le risorse del firewall. L’idea è di “sacrificare” una zona in modo che altre zone nel firewall possano continuare a scambiare il traffico, anche se se l’attacco DDoS provenga da Internet, il servizio Internet può essere preso offline per la durata dell’attacco (se stai cercando di difendere dai DDO in modo che il tuo servizio Internet non sia influenzato. È importante notare che uno dei potenziali vantaggi della protezione delle zone per la mitigazione dei DDo. (In altre parole, la protezione delle zone può essere utile nella mitigazione dei DDoS per ICMP, ICMPV6 e altro traffico IP, poiché nella maggior parte dei casi, non protocolli essenziali per il servizio Internet).

Ogni volta che viene attivata una protezione della rete di protezione della zona, la fonte dell’attacco non viene scritta sui registri (non esiste una singola fonte). L’attribuzione negli attacchi DOS non è generalmente utile, poiché gli aggressori in genere si metteranno a falsificare l’indirizzo di origine.

Le voci del registro delle minacce di protezione della zona indicheranno “dalla zona” e “alla zona” e saranno entrambe la stessa zona (indica la zona di ingresso del diluvio). Il nome “regola” sarà vuoto.

Nota: non utilizzare mai i valori di soglia predefiniti per avviso, attiva e massimo in quanto ciò può portare a un’interruzione autoinflitta (le impostazioni imposti troppo basse comporteranno un traffico legittimo). Trovare valori appropriati non è un compito banale né un’azione set-and-forget e richiederà prove ed errori impostando i valori di attivazione e massimo in un’impostazione più alta e sfruttando il tasso di avviso per valutare i picchi di traffico massimi legittimi. Potrebbero esserci eventi di rete speciali o stagionali come le vendite delle vacanze, i backup di rete o le cose simili a quello che spingeranno il traffico legittimo più in alto, quindi questi valori dovrebbero tenere conto della crescita del traffico di rete futura e dei picchi legittimi.

Percorso lento DOS attacchi contro le risorse dietro il firewall

Per difendere le risorse dietro il firewall da un attacco DOS lento, utilizzare le politiche DOS – Protezione delle inondazioni.

Politica DOS: aggregato
Tieni traccia del tasso di connessione per secondo corrispondente a una politica DOS. Aggrega tutte le tariffe per la connessione per secondo corrispondenza che corrispondono alla politica DOS. Lo scopo di questa protezione è offrire una difesa più globale per i servizi ospitati * dietro * il firewall.

Ogni volta che viene attivata una politica DOS: la protezione aggregata, la fonte dell’attacco non viene scritta nei registri (non esiste una singola fonte).

Le politiche DOS aggregate Le voci del registro delle minacce non indicano “dalla zona” e “alla zona” e indicheranno invece la regola “regola” della politica DOS “.

Politica DOS: classificato – Traccia per fonte

Tieni traccia del tasso di connessione per secondo corrispondente a una politica DOS. Aggrega tutte le tariffe per la connessione per secondo corrispondente per il traffico per origine IP a qualsiasi IP di destinazione. Lo scopo di questa protezione è offrire una difesa più granulare.

Ogni volta che viene attivata una politica DOS: la protezione classificata, la fonte dell’attacco viene scritta nei registri. Tieni presente che l’attribuzione non è possibile poiché la fonte è in genere falsificata, tuttavia è possibile sfruttare l’IP di origine per PBF il traffico per scartarlo o spostarlo in una politica DOS più aggressiva.

Politica DOS: classificato-Traccia per fonte e destinazione.

Tieni traccia del tasso di connessione per secondo corrispondente a una politica DOS. Aggrega tutte le tariffe per la connessione al secondo corrispondente per il traffico per origine IP a IP di destinazione specifiche. Lo scopo di questa protezione è offrire la difesa più granulare.

Ogni volta che viene attivata una politica DOS: la protezione classificata, la fonte dell’attacco viene scritta nei registri. Tieni presente che l’attribuzione non è possibile poiché la fonte è in genere falsificata, tuttavia è possibile sfruttare l’IP di origine per PBF il traffico per scartare, di spostarlo in una politica DOS più aggressiva.

Durante un attacco DOS attivo, è possibile configurare una politica classificata DOS per rilevare l’IP della fonte offensiva e spostare manualmente gli aggressori in una politica più restrittiva. In un attacco DDoS, questo in genere non è efficace perché la fonte dell’attacco può provenire da centinaia di fonti, tutte inviando piccole velocità di connessione per secondo, non attraversando le soglie definite.

Attacchi DOS per percorso veloce

Per difendere le risorse del firewall da un attacco DOS percorso veloce, utilizzare la protezione del buffer di pacchetti.

Negli attacchi di percorso rapido la velocità di connessione per secondo è vicina a 0, poiché i pacchetti successivi corrispondono a una connessione attiva e non distribuisce nuove sessioni., Pertanto, non si applicano le protezioni basate sulla soglia di connessione al secondo.

Se si tratta di un singolo attacco di percorso veloce di provenienza, vedrai invece una singola sessione con un numero considerevole di byte. Tieni presente che le voci del registro del traffico vengono scritte quando la sessione termina, quindi se l’attacco è attivo potrebbe non essere visualizzato nei registri del traffico fino alla fine della sessione. Puoi cancellare tutte le sessioni (con il cliente’autorizzazione S) per costringerlo a terminare e scrivere le voci del registro. Alcune sessioni di lunga durata possono anche darti la falsa impressione che ci siano molti byte transitati attraverso una sessione cancellata e si può dedurre come essere correlato all’attacco, quindi presta attenzione al timestamp della data start nella sessione (forse aggiungi la data di inizio come filtro di query aggiuntivo).

Se esiste un cuscinetto di pacchetti, è possibile implementare PBP per difendere il firewall se l’attacco sta sfruttando una o pochissime sessioni consentite per l’attacco

Alcuni tipi di traffico possono esaurire i descrittori di pacchetti prima dei buffer di pacchetti e, in tal caso, se il firewall esegue Pan-OS> = 10.0 È possibile spostare la modalità di PBP per sfruttare la latenza dei pacchetti anziché l’utilizzo del buffer dei pacchetti, che può comportare una mitigazione più efficace.