denisismagilov - Fotolia

Palo Alto Networks étend les fonctionnalités de son module de protection préventive

L’équipementier vient de présenter la version 4.0 de Traps, son module de protection des postes de travail. Au programme, protection étendue de macOS et blocage des macros malicieuses.

Palo Alto Networks vient d’annoncer la version 4.0 de son module de protection des postes de travail, Traps. Celle-ci ouvre notamment à macOS des mécanismes de prévention des attaques introduits pour Windows avec la version 3.4 de l’été dernier.

Depuis celle-ci, Traps embarque des fonctions d’analyse statique du code dopées à l’apprentissage machine pour « fournir un verdict instantané sur tout exécutable inconnu avant qu’il ne soit autorisé à s’exécuter », expliquait alors Michael Moshiri, directeur marketing, dans un billet de blog. A cela s’ajoutent des mises à jour régulières produites par le service de renseignements Wildfire, après inspection et analyse d’exécutables malveillants. Mais Traps 3.4 intégrait en outre un mécanisme de protection contre les exécutables à priori non suspects, car signés numériquement par des éditeurs de confiance – en cas notamment de compromission.

Cette approche « multi-méthodes » de la prévention est donc étendue à macOS avec Traps 4.0, et Palo Alto Networks en profite pour revendiquer là encore la capacité à « remplacer les anti-virus traditionnels ».

Mais Traps va aujourd’hui plus loin, s’attaquant aux macros « malicieuses connues et inconnues » dans les fichiers Word et Excel, les bloquant « avant que les fichiers ne soient ouverts ». Pour cela, le module profite de la connaissance des macros malicieuses produite à partir des 15 000 clients revendiqués de son service WildFire, mais également de ses partenaires de renseignement sur les menaces, ou encore des travaux de son unité 42, dédiée au domaine. Pour les macro inconnues, Traps procède à une analyse locale en s’appuyant sur des modèles générés par des algorithmes d’apprentissage automatique entraînés sur les connaissances de WildFire. En outre, Traps peut transférer le fichier bureautique à ce service Cloud pour analyse – là, y compris dynamique.

La version 4.0 de Traps offre en outre désormais un contrôle plus granulaire sur l’exécution de processus, tout particulièrement lancés par des processus légitimes, pour « prévenir le lancement, par des menaces avancées et des rançongiciels des attaques évasives qui ne sont pas détectées par les solutions existantes de protection du poste de terminaison ». Et Palo Alto de donner en exemple la prévention du lancement de moteurs d’interprétation spécifiques par Internet Explorer.  L’équipementier revendique par ailleurs la capacité à bloquer certaines techniques d’exploitation sur noyau.

Très naturellement, Traps 4.0 s’intègre avec Panorama, la solution de gestion de la sécurité réseau de Palo Alto Networks, afin de permettre une supervision consolidée des événements réseau et points de terminaison. Enfin, l’équipementier ouvre, en bêta, Traps à Android. 

Pour approfondir sur Protection du terminal et EDR

Close