Was ist der Prozess der AV Signaturgenerierung?

Die Erstellung von Signaturen und der Schutz vor Bedrohungen in Echtzeit ändern sich aufgrund der kontinuierlichen Weiterentwicklung der Bedrohungslandschaft ständig. Um dem entgegenzuwirken, hat Palo Alto Networks einen zweifachen Ansatz für AV die Abdeckung mit Standardsignaturen und ML-AV (Machine Learning Antivirus) entwickelt.

Kunden erkundigen sich oft, ob es eine Abdeckung für bestimmte Dateien gibt.Der erste Schritt ist eine Suche nach Threat Vault (https://threatvault.paloaltonetworks.com/).  Threat Vault ist ein kundenorientiertes Portal, das die gesamte Abdeckung von Palo Alto Networks anzeigt.Dieses Tool ist für Kunden in einem ersten Schritt äußerst nützlich, da es die Notwendigkeit vermeiden kann, einen Fall beim Support zu eröffnen, um nach Informationen zu fragen, die leicht verfügbar sind.Dies beschleunigt die Recherchezeit der Benutzer.Kunden können nach einer Vielzahl von Indikatoren wie CVEs, Adressen, Hashes, SignaturenID, Domains, IP URLs und IPs suchen.

Etwas, das Sie in Bezug auf Datei-Hashes beachten sollten, ist, dass Palo Alto Networks den SHA256 verwendet, so dass es Zeiten geben kann, in denen der MD5 einer Datei nicht angezeigt wird, aber SHA256 tut es.Dies ist in Ordnung, da der SHA256 verwendet wird.Die Hashes in Threat Vault sind der Hash der Datei oder Dateien, die zum Erstellen oder Aktualisieren der Signatur verwendet werden. Es handelt sich nicht um eine Liste der Hashes aller Dateien, die mit dieser Signatur erkannt werden können.Palo Alto Networks verwendet eine Methode zur Erkennung von Musterübereinstimmungen, sodass eine einzelne Signatur für mehrere Dateien verwendet werden kann, was das Problem erhöht, eine völlig neue Signatur für eine Variante erstellen zu müssen, wenn das bösartige Muster noch vorhanden ist.

Prozess zur Signaturerstellung von Wildfire:

0. Der Kunde NGFW (Next-Generation Firewall) sieht eine unbekannte Datei

1. Die Datei löst die Weiterleitung aus NGFW

2. Der sendet NGFW die Datei an die WFWildfire() Analyzer Cloud

3. Die statische Analyse wird für die Datei und möglicherweise die dynamische Analyse ausgeführt.Da die dynamische Analyse so ressourcenintensiv ist, wird die dynamische Analyse nur ausgeführt, wenn WF etwas gefunden wird, das eine eingehendere Analyse erfordert.Wenn die Datei ein Malware-Urteil erhält, geht sie zu Schritt 4 über.

4. Die WF Analyzer-Cloud sendet eine Nachricht an das AV System für Siggen (Signaturgenerierung).

5. Das AV System verarbeitet die Nachricht, generiert eine Signatur und speichert sie dann in der AV Datenbank.

Unterschrifts-Lieferung:

1. . Nächste 5-Minuten-Paket WF -> Unterschrift sollte abgeholt und an die Kunden geliefert werden

2. Nächstes Tagespaket AV

3. Die Signatur wird auch in die RTSig-Cloud (Real-Time Signature) gestreamt und steht für Abfragen/Streams zur Verfügung.

NOTE:

Wenn eine Datei als bösartig markiert wird und keine Signatur für sie erstellt wurde, kann es zu Problemen beim Schreiben in die Datei kommen, nachdem die Analyzer-Cloud die XML WF Nachricht für das Siggen an das AV System gesendet hat.In diesem Fall sollte ein Support-Fall geöffnet werden, damit die Content Engineers die Datei manuell durch den Siggen-Prozess schieben können.

——

ML-AV (Antivirus für maschinelles Lernen)

ML-AV verwendet keine Signaturen. Es sucht nach Ähnlichkeiten im Verhalten auf der Grundlage von Trainingsmodellen.Es ermöglicht die Anwendung ML der NGFW Datenebene auf Dateien. Jedes Inlinemodell ML erkennt dynamisch bösartige Dateien eines bestimmten Typs, indem es Dateidetails, einschließlich Decoderfelder und -muster, auswertet, um eine Klassifizierung einer Datei mit hoher Wahrscheinlichkeit zu formulieren.Um mit den neuesten Änderungen in der Bedrohungslandschaft Schritt zu halten, werden Inline-Modelle ML über Inhaltsfreigaben hinzugefügt oder aktualisiert.

Während der Übertragung findet ein On-Box-Cache AV und eine RTSig-Cloud-Suche statt, um nach Musterübereinstimmungen trainierter Modelle zu suchen.Wenn einer gefunden wird, wird der Datenverkehr blockiert.

ML-AV ist kein Ersatz für Wildfire Signaturen, sondern eine Erweiterung derselben.