Günümüzde gelişen teknoloji ile birlikte her geçen gün siber güvenliğin önemi gün ve gün artmaktadır.Görülen bilinmeyen tehditlere karşı bir müdahale gerektirir.Palo Alto Yeni Nesil Firewall(Next Generation Firewall) yapısıyla gelişen Wildfire özelliği ortaya çıkmaktadır.
Wildfire Sektörün bilinmeyen tehditleri algılama ve önleme odaklı en geniş ağını oluşturmaktadır.
Peki Nedir bu Wildfire?
Palo Alto Networks’deki tanımına göre bulut tabanlı tehdit analiz hizmeti, güvenlik açığı zafiyetleri ve kötü amaçlı yazılımlar için sektördeki en gelişmiş analiz ve önleme motorudur.
Wildfire aynı zamanda bilinmeyen tehditlere karşı merkezi önleme ve yönetme platformunu oluşturur. Bilinmeyen tehditlerin dünyanın herhangi bir yerindeki tespitinden sonra manuel olarak yanıt vermeye gerek olmadan kısa bir sürede otomatik olarak tespit edilmesini yönetir.
Peki NGFW bu işlemleri nasıl yapmaktadır?
Şimdi Fw’umuzda tanımlı App-ID ve Content-ID ye çarpmayan bilinmeyen trafik geldiğinde Palo Alto’da bu trafiği security profilinin içerisinde bulunan Wildfire profili sayesinde analize
gönderebiliyoruz.Analiz sonucu bize gelsin ve bunu yeni bir imza tabanında kullanabilelim
Wildfire’dan bize gelen analiz sonucunu wildfire anti-virüs imzası,URL’deki malware phishing kategorilerini ve Anti-Spywere içindeki DNS veri tabanını güncelle.Bu işlemi her 5 dk bir yapmaktadır.İmza formatına girdikten sonra 24 saatlik peryotlarla standart Anti-Virüs veritabanının içerisine girmektedir. Tüm PAN-OS kullanan Wildfire kullanan kutular bilinen ve bilinmeyen tehditleri URL’leri analiz edebilmek için gönderirler. Analiz sonucunda oluşan kararlar sonucu bilinmeyen tehditleri sonrasında bizim için tehdit oluşturmadan önleyen Wildfire; Palo Alto Networks Yeni Nesil Güvenlik(NGFW) platformunun öne çıkan özelliklerinden biridir.
Çalışma mekanizmasından bahsedecek olursak kısaca FW dosyayı gönderdiğinde önce güvenilir(trusted) imza tabanında mı diye buna bakar,eğer dosya güvenilir bir imzalayıcı tarafından imzalanmışsa başka bir şeye bakmadan trusted onayını verir.Eğer değil ise ilk kontrol hash kontrolüdür. Hash kontrolünde daha önceden bununla karşılaştım mı?sorgusu olacaktır.Dahaönceden karşılaşılmayan bir hash ise file size kontrolü yapılır.File size olarak upload edilip Wildfire’a gönderebilinecek bir dosya mı diye kontrol eder.
Wildfire’a gönderile dosya analiz edilir.Analiz sonucu dosyanın zararlı mı olduğu tespiti yapılır.Eğer dosya zararlı kararı çıkarsa farz edelim ki zararlı örneğin malware ya da phishing gibi bu durumda öncelikli olarak bunu gönderen FW’a bir hash yollar analiz sonucu dosyanın zararlı olduğunu bunun bir malware dosyası olduğunun bilgisini verir.
Zararlı dosyanın malware olarak imza tabanında bulundurur.Bu imzayı hem Wildfire imzası olarak hem de Anti-Virüs imzası olarak 24 saatlik peryotlarla Anti-Virüs kullanıcılarına gönderir.Palo Alto’da bu işlemi 5 dk lık aralıklarla güncellenir.
Hemen hemen her üründe olduğu gibi Palo Alto’nun ürünü ile alakalı da Lisans’a ihtiyaç vardır.Wildfire lisansımız yoksa limitli olarak belli dosya tiplerini analize gönderebilirsiniz.
Fakat 5 dk lık güncellemeler alınamaz sadece dosya gönderip hash bilgisi alınabilir.
Wildfire lisansımız var ise bütün dosya tiplerini analize gönderebiliriz. Örneğin (exe ,dll), Microsoft Office dosya türlerini,PDF dosyaları,flash, (JAR CLASS) gibi java uygulamalarını
Android APK’lerini ,MaC OS (mach-O,DMG PKG) uygulama paketleri ve e-mail içerisindeki
bağlantıların analizini destekler.
Konfigürasyonunda default değerler max değerler değildir.Default gelen değerleri yükseltilmelidir.Konfigürasyonu oldukça kolay ve palo alto kaynaklarında kolaylıkla erişebilirsiniz.
Device >>Setup>>WildFire
Wildfire için derinlemesine yazılacak çok şey var ama şimdilik kısaca özetlemek gerekirse dünyanın her yerinden 30.000’den fazla aboneden gelen gerçek zamanlı istihbarat ile bilinmeyen zararlı amaçlı uygulamalar ve güvenlik zafiyetleri için toplu koruma oluşturur.