Palo Alto Networks
Palo Alto Networks — американская транснациональная компания, специализирующаяся на разработке и поставке решений в области кибербезопасности. Штаб-квартира расположена в Санта-Кларе, Калифорния (США). Компания известна как один из пионеров и лидеров рынка сетевой безопасности, в первую очередь благодаря созданию технологии межсетевых экранов нового поколения (NGFW).
История
Компания была основана в 2005 году бывшим сотрудником Check Point Software Technologies Ниром Цуком (Nir Zuk). Первоначально компания сосредоточилась на разработке принципиально нового подхода к фильтрации сетевого трафика, который позволил бы идентифицировать приложения и пользователей, а не только порты и протоколы, как в традиционных файрволах.
Первый продукт — межсетевой экран PA-4000 — был выпущен в 2007 году. В 2012 году компания провела первичное публичное размещение акций (IPO) на Нью-Йоркской фондовой бирже (NYSE: PANW). С момента выхода на биржу компания активно росла как органически, так и за счёт серии приобретений. Среди значимых покупок — компании Cyvera (2014, технология защиты конечных точек), LightCyber (2017, поведенческий анализ), Evident.io (2018, безопасность облачных сред), Demisto (2019, платформа SOAR) и Cider Security (2022, безопасность цепочки поставок ПО).
Продукты и решения
Портфель компании охватывает несколько ключевых областей кибербезопасности, объединённых единой платформой управления и аналитики.
Межсетевые экраны нового поколения (NGFW)
Это основное направление деятельности. В отличие от классических файрволов, устройства Palo Alto Networks анализируют трафик на уровне приложений (App-ID), пользователей (User-ID) и контента (Content-ID). Это позволяет:
- Идентифицировать конкретное приложение (например, Skype, Zoom, BitTorrent) независимо от используемого порта.
- Применять политики безопасности на основе личности пользователя или группы.
- Блокировать вредоносные файлы, эксплойты и URL-адреса в реальном времени.
Линейка оборудования включает модели серий PA (от офисных PA-400 до высокопроизводительных PA-5400 для центров обработки данных) и виртуальные версии VM-Series для облачных сред.
Платформа защиты облачных сред (CNAPP)
Решения для обеспечения безопасности в публичных, частных и гибридных облаках (AWS, Azure, Google Cloud, Kubernetes). Включают:
- Prisma Cloud — единая платформа для управления безопасностью облачных приложений. Обеспечивает защиту на всех этапах жизненного цикла: от разработки (сканирование образов контейнеров, IaC) до эксплуатации (управление конфигурациями, обнаружение угроз).
- Cloud Security Posture Management (CSPM) — автоматическое выявление небезопасных конфигураций облачной инфраструктуры.
- Cloud Workload Protection Platform (CWPP) — защита виртуальных машин, контейнеров и бессерверных функций.
Платформа защиты конечных точек (EDR/XDR)
Решение Cortex XDR (Extended Detection and Response) собирает и коррелирует данные с сетевых устройств, конечных точек, облачных сред и сторонних систем. Используя машинное обучение и поведенческий анализ, платформа выявляет сложные атаки, которые могут быть пропущены традиционными антивирусами. Включает модули:
- Cortex XDR Agent — агент на конечных точках.
- Cortex XDR Network — анализ сетевого трафика.
- Cortex XDR Cloud — анализ облачных логов.
Платформа автоматизации и оркестрации (SOAR)
Cortex XSOAR (Security Orchestration, Automation and Response) — платформа для автоматизации процессов реагирования на инциденты. Позволяет интегрировать десятки и сотни различных инструментов безопасности, создавать плейбуки для автоматического выполнения рутинных операций (например, блокировка IP-адреса, сбор артефактов) и управлять жизненным циклом инцидентов.
Аналитика угроз
Unit 42 — подразделение компании, занимающееся исследованием угроз и киберпреступности. Unit 42 публикует отчёты о новых тактиках, техниках и процедурах (TTP) злоумышленников, а также предоставляет услуги реагирования на инциденты и консультации. Данные Unit 42 используются для обновления сигнатур и правил во всех продуктах компании.
Технология App-ID
Ключевая инновация Palo Alto Networks — технология App-ID. Она лежит в основе всех межсетевых экранов. App-ID определяет приложение, генерирующее трафик, используя комбинацию методов:
- Сигнатурный анализ — сравнение байтовых последовательностей с известными сигнатурами приложений.
- Анализ протоколов — декодирование протоколов (HTTP, SMTP, DNS) для выявления приложений, работающих поверх них.
- Эвристический анализ — обнаружение приложений, использующих нестандартные порты или протоколы.
- Декодирование SSL/TLS — расшифровка зашифрованного трафика для проверки содержимого.
После идентификации приложения к нему применяются политики безопасности, а также выполняется проверка на наличие угроз (Content-ID) и сопоставление с пользователем (User-ID).
Критика и ограничения
Несмотря на лидирующие позиции на рынке, продукты Palo Alto Networks подвергаются критике по нескольким направлениям:
- Стоимость. Решения компании традиционно считаются одними из самых дорогих в индустрии, что делает их недоступными для малого и среднего бизнеса.
- Сложность управления. Мощные функциональные возможности требуют высокой квалификации персонала для настройки и поддержки. Интерфейс управления (Panorama) критикуется за перегруженность.
- Зависимость от подписок. Многие функции безопасности (антивирус, фильтрация URL, предотвращение вторжений) требуют ежегодной оплаты лицензий, что увеличивает совокупную стоимость владения.
- Влияние на производительность. Включение всех функций безопасности (особенно расшифровка SSL) может приводить к снижению пропускной способности сети, особенно на старших моделях.
Положение на рынке
Palo Alto Networks входит в «Большую четвёрку» (Gartner Magic Quadrant) рынка сетевых межсетевых экранов наряду с Check Point, Fortinet и Cisco. Компания стабильно занимает лидирующие позиции в отчётах аналитических агентств по категориям NGFW, CNAPP и XDR. Выручка компании за 2023 финансовый год превысила 6,9 миллиарда долларов США. Основными конкурентами являются Fortinet, Cisco, Check Point, Zscaler (в облачной безопасности) и CrowdStrike (в защите конечных точек).
Использование в России
По состоянию на 2024 год, компания Palo Alto Networks официально приостановила деятельность на территории Российской Федерации в связи с санкционными ограничениями. Поставки оборудования и обновления подписок для российских заказчиков прекращены. Существующие установки продолжают эксплуатироваться без возможности получения официальной технической поддержки и обновлений баз угроз.
Источники
- Официальный сайт Palo Alto Networks (paloaltonetworks.com)
- Отчёты Gartner Magic Quadrant for Network Firewalls (2020-2023)
- Годовые отчёты компании (SEC Filing, 10-K)
- Исследования Unit 42 (unit42.paloaltonetworks.com)
- Материалы конференций RSA, Black Hat
BFOmetr — база данных и аналитика по компаниям России.
На главную BFOmetr →