Palo Alto Networks (NYSE: PANW), the global cybersecurity leader, announced today that members of its management team will be presenting at the following financial community events: Wells Fargo...

Securing your branch office is a crucial and necessary tactic to protecting your organization’s data and employees, as well as ensuring your organization does not suffer the consequences of a breach.

For technical details and to configure the integration between our two products, download this integration guide.

AutoFocus 2.0 Overview Demo

Palo Alto Networks (NYSE: PANW), the global cybersecurity leader, announced today it has been positioned as a leader in "The Forrester Wave™: Zero Trust eXtended Ecosystem Providers, Q4 2019," a...

Palo Alto Networks (NYSE: PANW), the global cybersecurity leader, announced today it has been positioned as a leader in "The Forrester Wave™: Zero Trust eXtended Ecosystem Providers, Q4 2019," a...

Accelerate your security operations’ maturity with our industry-leading MDR partners, powered by Cortex XDR™. Their expertise and resources relieve your day-to-day burden with 24/7 proactive alert management, threat hunting and incident response that spans network, endpoint and cloud. Our partners will get you up and running in weeks, not years, with SLAs that guarantee immediate reduction of MTTD and MTTR to under 60 minutes.

Firewall Feature Overview Datasheet

Learn how a Secure Access Service Edge (SASE) provides a comprehensive solution to help organizations to enable users to securely access the cloud and securing apps in the cloud in this short video.

The world you need to secure continues to expand as both users and applications shift to locations outside the traditional network perimeter. Security teams face challenges with maintaining visibility into network traffic and enforcing security policies to stop threats. Traditional technologies used to protect mobile endpoints, such as host endpoint antivirus software and remote access VPN, are not capable of stopping the advanced techniques employed by today’s more sophisticated attacker. GlobalProtect™ network security client for endpoints, from Palo Alto Networks®, enables organizations to protect the mobile workforce by extending the Next-Generation Security Platform to all users, regardless of location. It secures traffic by applying the platform’s capabilities to understand application use, associate the traffic with users and devices, and enforce security policies with next-generation technologies.

Quickly and securely roll out SD-WAN from your hub to branch offices. Read this data sheet to learn how.

Secure SD-WAN from Palo Alto Networks enables you to secure your branch connectivity and easily adopt an end-to-end Software Defined Wide Area Network (SD-WAN)

Organizations of all sizes are turning to Managed Security Service Providers (MSSPs) to secure their assets. This brief explores how MSSPs can reach new markets and power profitability by creating agile, differentiated security services from a single platform. Suitable for gateway, data center, and cloud environments, Palo Alto Networks Security Solutions enabls MSSPs to build tiers of security offerings, streamlining customer acquisition. By providing granular visibility into customer applications, users, and content, the platform helps create demand for next-generation security services and value-added consulting.

The use of SaaS (software as a service) applications is creating new risks and gaps in security visibility for malware propagation, data leakage and regulatory non-compliance. Prisma SaaS delivers complete visibility and granular enforcement across all user, folder and file activity within sanctioned SaaS applications, providing detailed analysis and analytics on usage without requiring any additional hardware, software or network changes.

Palo Alto Networks AutoFocus™ threat intelligence service re-imagines how security teams protect their organizations from unique, targeted attacks. The hosted security service provides the intelligence, analytics, and context required to understand which attacks require immediate response, as well as the ability to make indicators actionable and prevent future attacks. Read the data sheet to learn the key benefits of the AutoFocus service.

Key features, performance capacities and specifications for our PA-200.

Enabling users to access the cloud securely and securing applications in the cloud are the two main challenges organizations are facing today. Secure Access Service Edge (SASE) combines network and network security services into one cloud-delivered solution, providing organizations with simplified management, consistent visibility and better network protection across users, devices and applications, no matter their location. This ebook will take you through the 10 requirements to keep in mind as you look for a comprehensive SASE solution.

Read this 451 Research Brief to learn about the top four business benefits of integrated SD-WAN and security to simplify operations and extend uniform protection from the data center and cloud all the way to the branches.

Hunt down and stop stealthy attacks by unifying network, endpoint, and cloud data

Global expansion, mobile workforces and cloud computing are shifting the locations of your applications, data and users. These changes introduce new opportunities for business efficiencies, but they also create a set of unique cybersecurity challenges.

The Elements of SecOps book outlines the fundamental strategies, tools, and processes for building a modern security operations team that is effective, efficient, scalable, and able to meet the needs of the business.

As more enterprises embrace digital transformation and move applications to the cloud, IT teams are challenged to connect corporate and remote users to critical business resources quickly, reliably, and securely. SD-WAN promises to increase bandwidth and improve connectivity, but organizations must be careful not to compromise security for performance or simplicity. In this eBook, you'll learn which key SD-WAN features and capabilities to consider to keep users connected and data secure.

Theft and abuse of passwords is a common attack technique – mostly because passwords are the weakest link in security. Plus, stealing credentials is much faster, cheaper and easier than having to find and exploit a vulnerability in a system. In this on-demand webcast, our experts outline the common techniques attackers use, discuss best practices to prevent credential attacks, and showcase Palo Alto Networks features you can enable now to protect your organization. Learn what you can do to stop credential theft and abuse.

Introducing a better category of detection and response tools: XDR. XDR stitches together data from the endpoint, network, and cloud in a robust data lake. Applying advanced machine learning and analytics, it identifies threats and benign events with superior accuracy and gives analysts contextualized information, simplifying and accelerating investigations.

For technical details and to configure the integration between our two products, download this integration guide.

概要 ホストが感染した、または侵害されたとき、セキュリティ専門家は、ネットワークトラフィックのパケットキャプチャ（pcaps）にアクセスして、活動の内容を理解し、それがどのような種類の感染であるかを特定しなければなりません。 本チュートリアルでは、Trickbotを特定する方法についてのヒントを提供します。Trickbotは情報窃取を行うバンキングマルウェアで、2016年以降、感染被害が確認されています。Trickbotは悪意のあるスパム（マルスパム）を介して、またはEmotet、IcedID、Ursnifなどのマルウェアによって配信されます。 Trickbotには明確なトラフィックパターンがあります。本チュートリアルでは、2つの異なる経路で起こったTrickbot感染pcapsを確認していきます。1つめはマルスパム経由でのTrickbot感染、2つめはほかのマルウェア経由で配信されたTrickbot感染です。 注意: 本チュートリアルの解説は、この回で行ったカスタマイズ済みWireshark列表示を前提としています。またこの回で解説したWiresharkディスプレイフィルタもすでに実装されているものとしています。まだ完了していない場合はこれらの内容を完了してから読み進めてください。 マルスパム経由のTrickbot Trickbotは多くの場合マルスパム経由で配信されます。マルスパムには、請求書や文書を偽装したリンクが含まれていて、そのリンクから悪意のあるファイルをダウンロードさせようとします。ダウンロードされるファイルは、TrickbotのWindows実行可能ファイルの場合もあれば、Trickbot実行可能ファイルのためのダウンローダーである場合もあります。あるいは、電子メール内のリンクを使い、Trickbotの実行可能ファイルや、ダウンローダーを含むzipアーカイブを返してくる場合もあります。 図1は、2019年9月に発生した感染事例のフローチャートです。この事例では、メールにリンクが含まれていて、クリックするとzipアーカイブを返すようになっていました。このzipアーカイブには、Windowsショートカットファイルが含まれていて、そのショートカットファイルがTrickbot実行可能ファイルをダウンロードします。このTrickbot感染に関連するpcapは、こちらに保存してあります。 対応するpcapはこちらのページからをダウンロードしてください。このpcapは、パスワードで保護されたzipアーカイブファイル「2019-09-25-Trickbot-gtag-ono19-infection-traffic.pcap.zip」内に入っています。パスワードには「infected」と入力し、zipアーカイブからpcapを抽出したらWiresharkで開いてください。開いたら、前回までの講座で作成したディスプレイフィルタ、「basic」を適用して、Webベースの感染トラフィックを確認してください(図2参照)。 このトラフィックからは、最近のTrickbot感染でよく見られる次の活動が確認できます。 感染したWindowsホストがIPアドレスの確認をしている 447/tcp、449/tcp経由でHTTPS/SSL/TLSのトラフィックが発生している 8082/tcp経由でHTTPのトラフィックが発生している 「.png」で終わるHTTPリクエストがあり、Windows実行可能ファイルを返している このTrickbot感染に特有なのは、www.dchristjan[.]comに対するHTTPリクエストがzipアーカイブを返していること、そして144.91.69[.]195に対するHTTPリクエストがWindows実行可能ファイルを返していることでしょう。 ではここで、次の図3に示す手順でwww.dchristjan[.]comあてのリクエストを確認してみましょう。パケットを右クリックしてコンテキストメニューを開き、[Follow(追跡)]、[HTTP Stream(HTTPストリーム)]の順に選択してトラフィックを確認します。表示されたHTTPストリームから、zipアーカイブが返されている痕跡を確認できます(図4参照)。 図4からは、zipアーカイブに含まれるファイル名が「InvoiceAndStatement.lnk」であることも確認できます。 Wiresharkでは、トラフィックからzipアーカイブをエクスポートすることができます(図5、図6参照)。Wiresharkのメニューから、図5、図6に示した手順でエクスポートしてください。  [File(ファイル)]、[Export Objects(オブジェクトをエクスポート)]、[HTTP]を選択 HTTPオブジェクトのリストからContent Typeがapplication/zipの行を選んで[Save(保存)]をクリック お使いの環境がBSD系、Linux系、Mac OS X 環境であれば、続けてコマンドラインから、エクスポートしたファイルがzipアーカイブであることを簡単に確認し、ファイルのSHA256ハッシュ値を確認し、アーカイブ内容を展開することができます。この事例のアーカイブ内容はWindowsショートカットファイル(InvoiceAndStatement.lnk)なので、図7に示すようにSHA256ハッシュを確認して取得することもできます。 ファイルの種類を識別するコマンドは file [ファイル名] です。また、このファイルに対応するSHA256ハッシュ値は、shasum -a 256 [ファイル名] コマンドで得られます。 さて、144.91.69[.]195へのHTTPリクエストはWindows実行可能ファイルを返していました。これはTrickbotが初期に利用するWindows実行可能ファイルです。このHTTPリクエストのHTTPストリームを追跡すると、これが実行可能ファイルであることを示す痕跡を見つけることができます(図8、図9参照)。またpcapからは、この実行可能ファイルを抽出することができます(図10参照)。 初期感染トラフィックに見られるのは、443/tcp、447/tcp、449/tcp経由のHTTPS/SSL/TLSトラフィックと、感染WindowsホストからのIPアドレス確認です。この例での感染の場合、Trickbot実行可能ファイルのHTTPリクエストの直後に443/tcp経由で複数のIPアドレスに対してTCP接続が試行され、その後449/tcp経由で187.58.56[.]26へのTCP接続が成功している様子が確認できます。 以前の講座で作成したディスプレイフィルタ「basic+」を使うと、これらのTCP接続試行を確認できます(図11、図12参照)。 447/tcp、449/tcp経由で行われたさまざまなIPアドレスへのHTTPS/SSL/TLSトラフィックからは、まともなものではない証明書のデータが見つかります。 証明書の発行者を確認するには、Wireshark 2.xでは「ssl.handshake.type == 11」でフィルタリングします。Wireshark 3.xを使っている場合は、「tls.handshake.type == 11」でフィルタリングします。次に、フレームの詳細セクションに移動して情報を展開し、図13、図14に示した手順に従って証明書発行者データを見つけます。 図14からは、以下の証明書発行者データが、449/tcpを介した187.58.56[.]26へのHTTPS/SSL/TLSトラフィックで使用されていることがわかります。 id-at-countryName=AU id-at-stateOrProvinceName=Some-State id-at-organizationName=Internet Widgits Pty Ltd まともなHTTPS/SSL/TLSトラフィックであれば、州や県の名前が「Some-State」であったり、組織名が「Internet Widgits...

A tutorial offering tips on how to identify Trickbot, an information stealer and banking malware that has been infecting victims since 2016.

The Solution for Profitable Managed Security Services Organizations of all sizes are turning to managed security service providers (MSSPs) to secure their assets. As competition increases, MSSPs are seeking ways to create agile and differentiated services while keeping a lid on security costs and protecting customer networks. Considering the complexity of disparate security technologies and the growing threat landscape, this is no small feat.