PALO ALTO NETWORKS: Ficha tcnica de WildFire

WildFire
WildFire identifica malware desconocido,
exploits de da cero y amenazas avanzadas
persistentes (APT) mediante el anlisis dinmico
en un entorno virtual escalable y basado en
la nube. WildFire genera automticamente la
proteccin casi en tiempo real para ayudar a
los equipos de seguridad a dar respuesta a los
retos que plantean los ataques cibernticos

Los ataques cibernticos avanzados emplean mtodos

persistentes y difciles de detectar para evadir las medidas
tradicionales de seguridad. La habilidad de los atacantes
exige que los equipos de seguridad actuales vuelvan
a plantearse las suposiciones elementales de que los
sistemas de prevencin de intrusiones, los antivirus y
las sandbox de propsito especfico tradicionales son
suficientes para vencer las APT.

avanzados. Est diseado en una plataforma

Plataforma de seguridad empresarial

de seguridad empresarial que clasifica de

WildFire se ha creado sobre la plataforma de seguridad lder del sector, con

una visibilidad completa de todo el trfico de red, lo que incluye los intentos
furtivos de evadir la deteccin, como los puertos no estndares o el cifrado SSL.
Las amenazas conocidas se bloquean de manera proactiva con la prevencin
de amenazas, que ofrece defensas de referencia contra exploits, malware, URL
malintencionadas y actividad de mando y control (C2) conocidos. WildFire
analiza los archivos desconocidos en un entorno virtual aislado ampliable
en el que se identifican las amenazas, y las protecciones se desarrollan y se le
entregan de manera automtica en forma de actualizacin. Como resultado,
se obtiene un enfoque exclusivo de bucle cerrado para controlar las amenazas
cibernticas, que comienza con controles de seguridad positivos para reducir
la superficie de ataque; inspecciona todo el trfico, los puertos y los protocolos
para bloquear todas las amenazas conocidas; detecta rpidamente las amenazas
desconocidas observando su comportamiento real en un entorno de ejecucin
virtual basado en la nube, y emplea automticamente nuevas protecciones en
primera lnea para garantizar que las amenazas que antes no se conocan ahora
son completamente conocidas y se bloquean en toda la cadena de ataque.

forma nativa todo el trfico, incluidas las

amenazas y las aplicaciones que las contienen,
independientemente del puerto o el cifrado SSL.
Identifica malware desconocido y exploits de da cero mediante
tcnicas avanzadas de anlisis esttico y dinmico.
Combina una visibilidad y un control completos de las amenazas,
y las aplicaciones conocidas con anlisis dinmicos basados en la
nube de amenazas desconocidas para garantizar un anlisis de
malware preciso, seguro y escalable.
Bloqueo en lnea de archivos malintencionados y exploits, as
como trfico de mando y control.

WildFire
WildFire es un avanzado entorno de anlisis de malware virtual, creado
especficamente para la emulacin de hardware con gran fidelidad, que analiza
las muestras sospechosas a medida que se ejecutan. El servicio basado en la
nube detecta y bloquea malware, exploits y actividad C2 saliente dirigidos
y desconocidos observando su comportamiento real en lugar de depender
de firmas preexistentes. Adems de convertir en conocidas las amenazas
desconocidas, WildFire genera protecciones que se comparten en todo el
mundo en unos 15 minutos. El servicio de seguridad se integra estrechamente
con los cortafuegos de nueva generacin de Palo Alto Networks, lo que le
otorga un control completo de su red mientras los delincuentes informticos
tratan de enviarle malware o comunicarse con sistemas infectados.
Deteccin de amenazas informticas basada en comportamiento
Para encontrar malware y exploits desconocidos, WildFire ejecuta
el contenido sospechoso en los sistemas operativos Windows XP,
Windows 7 y Android, con una visibilidad completa de los tipos de
archivo habituales, incluidos los siguientes: Archivos EXE, DLL, ZIP,
documentos PDF, documentos de Office, Java, APK de Android, applets
Adobe Flash y pginas web, incluido el contenido incrustado de alto
riesgo, como JavaScript, archivos Adobe Flash e imgenes.

PALO ALTO NETWORKS: Ficha tcnica de WildFire

WildFire identifica ms de 200 comportamientos potencialmente

maliciosos para detectar la verdadera naturaleza de los archivos
malintencionados segn sus acciones, entre otras, lassiguientes:
Cambios realizados en el host: observa todos los procesos en
busca de modificaciones en el host, por ejemplo, actividad
de registros y archivos, introduccin de cdigo, deteccin de
heap spray en la memoria (exploit), adicin de programas
de ejecucin automtica, exclusiones mutuas, servicios de
Windows y otras actividades sospechosas.
Trfico de red sospechoso: anlisis de toda la actividad de red
que ha producido el archivo sospechoso, como la creacin de
puertas traseras, la descarga del malware de la siguiente fase,
la visita a dominios de baja reputacin y el reconocimiento
deredes, entre muchas otras ms.
Deteccin de antianlisis: supervisa en busca de tcnicas que
utiliza el malware avanzado para evitar anlisis basados en VM,
como la deteccin de depuradores, la deteccin de hipervisores,
la introduccin de cdigo en procesos de confianza, la
deshabilitacin de funciones de seguridad basadas en host, etc.
WildFire, mediante la ampliacin de la plataforma de cortafuegos
de nueva generacin que clasifica de forma nativa todo el trfico
de cientos de aplicaciones, aplica de forma exclusiva este anlisis
de comportamiento independientemente de los puertos o el cifrado
e incluye una visibilidad completa del trfico web, los protocolos
decorreo electrnico (SMTP, IMAP o POP) y FTP.

Arquitectura de deteccin basada en la nube

Para admitir el anlisis de malware dinmico en la red a escala,
WildFire se ha diseado con una arquitectura basada en la nube
que puede aprovechar nuestro cortafuegos de nueva generacin de
Palo Alto Networks existente, sin hardware adicional. Cuando los
requisitos normativos o de privacidad no permitan el uso de una
infraestructura de nube pblica, se puede crear una solucin de
nube privada local usando el dispositivo WF-500. En ambos casos,
WildFire ofrece de igual modo una visibilidad mxima en su clase
y una implementacin sencilla y rentable.
Prevencin de amenazas con el uso compartido de la
inteligencia global
Cuando se detecta una amenaza desconocida, WildFire genera
protecciones automticamente para bloquearla en toda la cadena
de ataque ciberntica y comparte las actualizaciones con todos los
suscriptores del planeta en solo 15 minutos. Estas actualizaciones
tan rpidas permiten detener el malware de propagacin rpida,
as como identificar y bloquear la proliferacin de todas las futuras
variedades sin anlisis ni acciones adicionales. El uso compartido
de la inteligencia global de los clientes de Palo Alto Networks nos
ayuda a encontrarnos un poco ms cerca de detener a los atacantes
informticos.
Junto con la proteccin frente a los archivos malintencionados
y exploits, WildFire busca en profundidad en la comunicacin
saliente malintencionada, interrumpe la actividad de mando y

Exfiltracin de datos
confidenciales
Mando
y control
DATA

Se aade a la base de datos

de investigacin de firmas
de amenazas

Descarga
de malware
adicional

Nube de WildFire
Observa y detecta ms de 130 comportamientos
maliciosos para identificar malware y exploits
(disponibles como nube local o alojada)

BASE DE DATOS DE PATRONES

DESCODIFICADORES DE
TRANSFERENCIA DE ARCHIVOS

BSQUEDA DE PATRN
EN UNA NICA PASADA

INFORMAR Y APLICAR POLTICA

Cmo funciona WildFire: WildFire aporta una combinacin lgica de hardware de cortafuegos de nueva generacin y anlisis
ampliable de malware basado en la nube.

PGINA 2

PALO ALTO NETWORKS: Ficha tcnica de WildFire

control con firmas anti-C2 y firmas de devolucin de llamada basadas

en DNS. La informacin tambin se incorpora a PAN-DB, donde
las URL malintencionadas que se acaban de detectar se bloquean
automticamente. Esta correlacin de datos y protecciones en lnea
resulta clave para identificar y bloquear las intrusiones actuales, as
como los futuros ataques a una red.

Requisitos de WildFire:

Creacin de logs, informes e investigacin forense

Informacin de licencias:

Los usuarios de WildFire obtienen logs, anlisis y visibilidad de los

eventos de WildFire de forma integrada en la interfaz de gestin,
Panorama o el portal de WildFire, lo que permite a los equipos
investigar y relacionar con presteza los eventos observados en sus redes.
Esto posibilita al personal de seguridad localizar rpidamente los datos
necesarios para realizar investigaciones a tiempo y dar respuesta a los
incidentes. Los indicadores de riesgo basados en host y en red pueden
utilizarse mediante el anlisis de logs y de firmas personalizadas.
WildFire, con el fin de ayudar al personal de seguridad y TI en la
deteccin de hosts infectados, tambin proporciona lo siguiente:
Un anlisis detallado de todos los archivos malintencionados
enviados a WildFire en diversos entornos de sistema operativo,
incluida tanto la actividad basada en host como la basada en red.
Datos de sesin asociados con la entrega del archivo, como el
origen, el destino, la aplicacin, User-ID, URL, etc.
Acceso a una muestra del malware original para realizar ingeniera
inversa y capturas de paquete completas de sesiones de anlisis
dinmico.
Una API abierta para la integracin con las mejores herramientas
de gestin de la informacin y los eventos de seguridad, como
la aplicacin de Palo Alto Networks para Splunk y agentes de
endpoint lderes.
Este anlisis proporciona gran cantidad de indicadores de
compromiso (IOC) que se pueden aplicar en toda la cadena
deataque de las APT.
Mantenimiento de la privacidad de los archivos
WildFire aprovecha un entorno de nube pblica que gestiona
directamente Palo Alto Networks. Todos los archivos sospechosos se
transfieren de forma segura entre el cortafuegos y el centro de datos
de WildFire mediante conexiones cifradas, firmadas en ambos lados
por Palo Alto Networks. Todos los archivos que se determinen como
benignos se destruirn, mientras que los archivos de malware se
archivarn para anlisis posteriores.

PGINA 3

El uso de WildFire requiere PAN-OS 4.1+.

El anlisis de PDF, Java, Office y APK requiere PAN-OS 6.0+.
El anlisis de pginas web y Adobe Flash requiere PAN-OS 6.1+.
La funcionalidad bsica de WildFire se encuentra disponible
como caracterstica estndar en todas las plataformas con
PAN-OS 4.1 o posterior.
Anlisis de imgenes de Windows XP y Windows 7.
Tipos de archivos EXE y DLL, incluido el contenido de
archivos comprimidos (ZIP) y cifrados (SSL).
Envo automtico de los archivos sospechosos a WildFire.
Las protecciones automticas se entregan con
actualizaciones de contenido de prevencin de amenazas
regulares (se requiere una licencia de prevencin de
amenazas) cada 24-48 horas.
La suscripcin de WildFire aade proteccin casi en tiempo real
de amenazas avanzadas, incluidas estas funciones adicionales:
Actualizaciones automticas de la firma de WildFire cada 15
minutos con todo el malware nuevo detectado en cualquier
parte del mundo.
Mejor compatibilidad con tipos de archivos; incluye, entre
otros, los siguientes: Archivos PE (EXE, DLL, etc.), todos
los tipos de archivo de Microsoft Office, archivos Portable
Document Format (PDF), applets Java (JAR y CLASS),
paquetes de aplicaciones para Android (APK), applets
Adobe Flash (SWF y SWC) y pginas web.
Compatibilidad con WF-500.
API de WildFire para el envo programado de hasta 1000
muestras al da y hasta 10000 consultas de informes al da.

PALO ALTO NETWORKS: Ficha tcnica de WildFire

WF-500
WF-500 es un dispositivo de hardware opcional que ofrece compatibilidad con los clientes que eligen implementar WildFire como nube
privada para obtener privacidad de datos adicional. WF-500 tiene un tamao adecuado para admitir la mayor parte de las redes medianas o
de gran escala, y ofrece la opcin de implementar dispositivos adicionales a medida que aumente el volumen de trfico o en el caso de redes
que requieran distribucin geogrfica.

Especificaciones de WF-500
BTU/H MXIMO

PROCESADOR

Doble procesador Intel de 6 ncleos con Hyper-Threading

1740 BTU/h.
VOLTAJE DE ENTRADA (FRECUENCIA DE ENTRADA)

MEMORIA

100-240VCA (50-60Hz)

128 GB de RAM

CONSUMO MXIMO DE CORRIENTE

DISCO DE SISTEMA

11A a 100VCA

Unidad de estado slido (SSD) de 120 GB

SEGURIDAD

UL, CSA y CB

Especificaciones del hardware

INTERFERENCIA ELECTROMAGNTICA

E/S

Clase A de FCC, Clase A de CE, Clase A de VCCI

4x10/100/1000

ENTORNO

Puerto serie de consola DB9, USB

Temperatura de funcionamiento: De 5 a 35 C (de 32 a 95 F)

CAPACIDAD DE ALMACENAMIENTO

RAID1 de 2TB: 4 unidades de disco duro certificado RAID de 1TB

Temperatura de almacenamiento: De -40 a 65 C (de -4 a 158 F)

para 2 TB de almacenamiento RAID

ALIMENTACIN

Dos fuentes de alimentacin de 920W con configuracin redundante

de intercambio en caliente
CONSUMO MXIMO DE POTENCIA

510W
PREPARADO PARA MONTAJE EN BASTIDOR (DIMENSIONES)

2U, bastidor estndar de 19" (8,89 x 53,34 x 44,45 cm;

3,5 x 21 x 17,5 pulgadas)

Para obtener informacin adicional sobre las funciones de seguridad de WF-500 y capacidades asociadas,
visite www.paloaltonetworks.com/products

4401 Great America Parkway

Santa Clara, CA 95054
Centralita: +1.408.753.4000
Ventas:
+1.866.320.4788
Soporte: +1.866.898.9087
www.paloaltonetworks.com

Copyright 2014, Palo Alto Networks, Inc. Todos los derechos reservados. Palo
Alto Networks, el logotipo de Palo Alto Networks, PAN-OS, App-ID y Panorama
son marcas comerciales de Palo Alto Networks, Inc. Todas lasespecificaciones
estn sujetas a modificaciones sin previo aviso. Palo Alto Networks no asume
ninguna responsabilidad por imprecisiones en este documento ni por la obligacin
de actualizar la informacin de este documento. Palo Alto Networks se reserva el
derecho a cambiar, modificar, transferir o revisar de otro modo esta publicacin sin
previo aviso. PAN_DS_WF_101414