Palo Alto Networks Advanced WildFire

Palo Alto Networks Advanced WildFire (AWF) to zaawansowane rozwiązanie do analizy i prewencji złośliwego oprogramowania, łączące techniki sandboxingu, uczenia maszynowego oraz globalnej analizy w czasie rzeczywistym chroniąc przez znanymi i nieznanymi zagrożeniami. Jego architektura opiera się na hybrydowym modelu łączącym Next Generation Firewall od Palo Alto Networks z rozbudowaną chmurową platformą analityczną. Rozwiązanie WildFire dostępne jest w formie Cloud-Delivered Security Services zintegrowanego i dostępnego w formie dodatkowej funkcji NGFW lub w formie fizycznego urządzenia dedykowanego do środowisk bez dostępu do sieci Internet.

Wildfire wykorzystuje wirtualne środowisko sandbox do dynamicznej i statycznej analizy plików oraz strumieni danych, emulując ponad 130 zachowań systemowych w celu wykrycia technik unikających wykrycia. Analiza obejmuje monitorowanie zmian w systemie hosta (np. modyfikacje rejestru, mechanizmy utrzymania), ruch sieciowy (łącznie z szyfrowanym SSL/TLS) oraz techniki antyanalizy typu detekcja debuggera.

W skład dynamicznej analizy wchodzi niestandardowy, wzmocniony hypervisor, który umożliwia ukrytą obserwację zachowania złośliwego kodu, sprawdzającego, czy działa w środowisku sandbox, by uniknąć wykrycia. Ponadto Advanced WildFire stosuje automatyczne rozpakowywanie (automated unpacking), pozwalając na pełne odsłonięcie zawartości spakowanych lub zaszyfrowanych plików, wprowadza także emulację zależności (dependency emulation), dzięki której środowisko analizy symuluje wszystkie potrzebne zasoby i biblioteki, umożliwiając pełne wykonanie i obserwację złośliwego kodu.
Kluczową innowacją AWF jest inteligentna analiza pamięci w czasie rzeczywistym wykonująca zrzuty pamięci w krytycznych momentach działania złośliwego oprogramowania, pozwalając na wykrycie ukrytych, zaawansowanych technik ataku.

WildFire wykorzystuje uczenie maszynowe i modele deep learning do analizy dużych, zarówno ustrukturyzowanych, jak i nieustrukturyzowanych zbiorów danych, umożliwiając wykrywanie nowych, wcześniej nieznanych wariantów malware, w tym generowanych przez AI. Silnik uczenia maszynowego zintegrowany z NGFW pozwala na blokowanie zagrożeń w trybie inline, bez konieczności przesyłania plików do środowiska sandbox. Modele ML są stale aktualizowane przez chmurę WildFire, co umożliwia wykrywanie ataków skryptowych (np. PowerShell) i zaawansowanych exploitów. System stosuje analizę rekursywną do rozpakowywania zagnieżdżonych archiwów i ekstrakcji embedded payload.

WildFire generuje sygnatury oparte na zawartości (content-based signatures), w odróżnieniu od tradycyjnych sygnatur opartych na hashach, umożliwiając wykrywanie milionów polimorficznych wariantów zagrożeń za pomocą jednej sygnatury.

Advanced WildFire działa na bazie chmurowej infrastruktury, która umożliwia analizę milionów unikalnych plików dziennie z różnych źródeł zapewniając globalną skalę i szybkość reakcji dostarczając sygnatury w ciągu kilku sekund od wykrycia nowego zagrożenia.