¿Cuál es el proceso de generación de AV firmas?

La creación de firmas y la protección contra amenazas en tiempo real cambian constantemente debido a la evolución continua del panorama de amenazas; Para combatir esto, Palo Alto Networks ha creado un enfoque doble para AV la cobertura utilizando firmas estándar y ML-AV (Machine Learning Antivirus).

Los clientes a menudo preguntan si hay cobertura para archivos particulares.El primer paso es una búsqueda en Threat Vault (https://threatvault.paloaltonetworks.com/).  Threat Vault es un portal orientado al cliente que muestra toda la cobertura que tiene Palo Alto Networks.Esta herramienta es inmensamente útil para los clientes como primer paso, ya que puede evitar la necesidad de abrir un caso con Soporte para solicitar información que esté disponible.Esto acelera el tiempo de investigación de los usuarios.Los clientes pueden buscar una gran cantidad de indicadores como CVE, direcciones, hashes, firmaID, dominios, IP URL e IP.

Algo a tener en cuenta con respecto a los hashes de archivos es que Palo Alto Networks usa el SHA256, por lo que puede haber ocasiones en las que el MD5 de un archivo no aparezca, pero es SHA256 sí.Esto está bien ya que el SHA256 es lo que se usa.Los hashes en Threat Vault son el hash del archivo o archivos utilizados para crear o actualizar la firma. No es una lista de los hashes de todos los archivos que se pueden detectar con esta firma.Palo Alto Networks emplea un método de detección de coincidencia de patrones para que una sola firma pueda usarse en múltiples archivos, esto eleva el problema de tener que crear una firma completamente nueva para una variante si el patrón malicioso todavía está presente.

Proceso de creación de firma desde Wildfire:

0. El cliente NGFW (Next-Generation Firewall) ve un archivo desconocido

1. El archivo desencadena el NGFW reenvío

2. El NGFW envía el archivo a (WFWildfire) Analyzer Cloud

3. El análisis estático se ejecuta en el archivo y potencialmente el análisis dinámico.Debido a que el análisis dinámico consume muchos recursos, el análisis dinámico solo se ejecuta si WF ve algo que requiere un análisis más profundo.Si el archivo recibe un veredicto de malware, pasa al paso 4.

4. La WF nube del analizador envía un mensaje al AV sistema para siggen (generación de firmas).

5. El AV sistema procesa el mensaje, genera una firma y, a continuación, la almacena en la base de AV datos.

Entrega de firma:

1. . Siguiente paquete de 5 minutos WF : > firma debe recogerse y entregarse a los clientes

2. Siguiente paquete diario AV

3. La firma también se transmite a la nube RTSig (firma en tiempo real) y está disponible para consulta / transmisión.

NOTE:

Cuando un archivo está marcado como malicioso y no se ha creado una firma para él, puede haber un problema con la escritura en el archivo después de que la nube del WF analizador envíe el mensaje al AV sistema para el XML siggen.Cuando esto sucede, se debe abrir un caso de soporte para que los ingenieros de contenido puedan enviar manualmente el archivo a través del proceso siggen.

——

ML-AV (Antivirus de aprendizaje automático)

ML-AV no utiliza firmas. Busca similitudes en el comportamiento basado en modelos de entrenamiento.Permite que el plano de datos se aplique ML a los NGFW archivos. Cada modelo en línea ML detecta dinámicamente archivos maliciosos de un tipo específico mediante la evaluación de los detalles del archivo, incluidos los campos y patrones del decodificador, para formular una clasificación de alta probabilidad de un archivo.Para mantenerse al día con los últimos cambios en el panorama de amenazas, los modelos en línea ML se agregan o actualizan a través de versiones de contenido.

A mitad de la transferencia, se llevará a cabo una caché en el cuadro AV y una búsqueda en la nube RTSig para buscar coincidencias de patrones de modelos entrenados.Si se encuentra uno, el tráfico se bloqueará.

ML-AV no es un reemplazo para Wildfire las firmas, sino que es un aumento de las mismas.