Een beveiligingsplatform dat zich uitstrekt over het eigen datacenter, meerdere clouds én computerapparatuur. Dat is het platform dat Palo Alto Networks heeft ontwikkeld. “Je moet security holistisch aanpakken; vandaar dat we op alle niveaus actief zijn. En waar anderen meer expertise hebben, werken we nauw samen”, zegt Fred Streefland, Cyber Security Strategist bij Palo Alto Networks Nederland.
De aanpak die Palo Alto Networks – vooral bekend vanwege de eigengereide firewalls – heeft ontwikkeld, deed de onderneming begin februari uit de doeken tijdens haar Epic Cloud Event in Klarenbeek. Daags erna vertelt Streefland over de producten die het bedrijf daar presenteerde.
Voordat Streefland, een klein jaar geleden, aanmonsterde bij Palo Alto Networks werkte hij als security officer bij Leaseweb en Exact. “Ik heb als zovelen ook zitten puzzelen met al die verschillende puntoplossingen die niet of nauwelijks met elkaar praten. Als je niet een eenduidig beveiligingsplatform hebt, dan weet je eigenlijk zeker dat je steken laat vallen.”
Hij geeft aan dat 86 procent van de organisaties gebruik maakt van meerdere cloud providers en dat zij vaak ook nog zelf een datacenter of serverruimte hebben. “Het belangrijkste is dan de bescherming van die data. De gegevens liggen verspreid over meerdere infrastructuurplatformen, dus moet je de beveiliging ook op die niveaus toepassen. En dan vooral zorgen dat die oplossingen naadloos in elkaar grijpen.”
Aperture
De next generation firewalls van Palo Alto Networks bestrijken het complete gebied waar organisaties hun applicaties hebben draaien en waar zij hun data hebben opgeslagen. De cloud providers zorgen voor de infrastructuur, Palo Alto Networks met zijn (virtuele) firewalls voor een gezond netwerkverkeer. “Daar gebruiken we onder meer Aperture voor. Dit is een cloud access security broker. Hiermee krijg je inzicht in het gebruik van de applicaties, wie ze gebruikt en wat de inhoud is van de data. Je kunt nagaan of alles volgens de afgesproken richtlijnen gebeurt. Via API’s is het mogelijk om het hele landschap in één console inzichtelijk te maken.”
Aperture heeft de mogelijkheid malware te detecteren. Het is specifiek ontworpen om SaaS-applicaties te beveiligen. Het gebruik van software-as-a-service, zoals Salesforce.com of Dropbox, brengt extra risico’s met zich mee: datalekkages, ongewenste indringers, privacyschendingen. Niettemin zijn dergelijke applicaties erg in trek vanwege de flexibiliteit en het kostenvoordeel. Aperture houdt precies in de gaten of de gebruikers bevoegd zijn en zich aan de regels houden; over meerdere clouds heen. Aperture maakt onderscheid in de soort data: bijvoorbeeld financiële, intellectueel eigendom, gezondheidszorg en dus ook malware.
Voor dit laatste heeft Aperture een lijntje met WildFire van Palo Alto Networks.
WildFire
WildFire behoort ook tot het verdedigingsarsenaal. Het is een database met meer dan 3,6 miljard voorbeelden van malware en groeit met 200 miljoen malware ‘samples’ per maand. WildFire draait in een rekencentrum van Palo Alto Networks in Amsterdam. Het verzamelen van verdachte malware gebeurt overigens in centra verspreid over de verschillende continenten, omdat er regionale verschillen zijn. De centra zijn onderling verbonden en de gegevens worden tussen alle regionale WildFire centra gedeeld.
De kracht is dat WildFire vier verschillende technieken gebruikt in een soort ‘zandbak’ om malware op te sporen en te identificeren. Dynamische én statische analyse van code zorgt ervoor dat afwijkingen tijdig worden ontdekt. Dit is aangevuld met machine learning om zelfstandig malware op te sporen en ‘bare metal analysis’, waar verdachte code naar toe wordt gestuurd, die in staat is om zichzelf te verstoppen voor in virtuele ‘zandbakken’, maar in een bare metal omgeving dit niet meer kan en dus kan worden ontleed.
Traps
Een volgend wapen is Traps. Dit is een agent dat op computers, mobiele devices, servers, maar ook op ICS/SCADA-systemen is te plaatsen. “Het gebeurt in toenemende mate dat Traps toepassing vindt in industriële systemen en in de kritische infrastructuur zoals wegen, tunnels en havens. Ook in Nederland”, weet Streefland. Traps kijkt naar malware, maar ook naar welke exploits technieken worden gebruikt. Die combinatie maakt Traps uniek. Uiteraard staat Traps automatisch in verbinding met WildFire.
Magnifier is het nieuwste ‘stuk gereedschap’ dat gebruik maakt van een logging service, en in staat is om behavior analytics toe te passen op het netwerk van een organisatie. Het kan op een unieke manier heel snel afwijkend gedrag of een ongewenste code detecteren, identificeren en in samenwerking met de firewalls meteen actie ondernemen door bijvoorbeeld een gebruiker te blokkeren of bepaalde code onschadelijk te maken.
Appstore
Streefland vertelt dat fysieke firewalls of beveiligingsapplicances steeds meer plaats maken voor softwarematige toepassingen. “Je zult zien dat er de komende tijd meer beveiligingsoplossingen als dienst op de markt komen. Onze CEO Mark McLaughlin heeft al aangekondigd dat wij met onze aanpak de hele securitymarkt op zijn kop gaan zetten. Omdat we een holistische oplossing hebben, waar andere organisaties nog met puntoplossingen werken. Bovendien wil Palo Alto Networks de appstore voor security worden.”
De bedoeling is dat de security officer niet steeds nieuwe hardware hoeft te kopen om de data te beschermen, maar een abonnement neemt op de apps die hij/zij al dan niet tijdelijk nodig heeft.
Application Framework
Voor dit doel heeft Palo Alto Networks het Application Framework ontwikkeld. Dit is een paraplu die boven het beveiligingsplatform hangt en alle logging services afhandelt, zodat er één consistent cloudgebaseerd framework is voor alle beveiligingsapplicaties. Uiteraard vinden de diensten van de leverancier hier zelf een plekje, maar via API’s zijn ook applicaties van derden naadloos in te hangen.
“Wij hebben een uitgebalanceerd en uitgebreid portfolio van beveiligingsproducten voor organisaties die gebruik maken van cloudnetwerken en eigen datacenters, maar wij kunnen niet alles. Security wordt steeds complexer, omdat data her en der verspreid staan en de aanvallers steeds professioneler worden. Daarom werken wij nauw samen met andere leveranciers. Bijvoorbeeld binnen de Cyber Threat Alliance waar we onderling alle kennis en ervaring delen.”
Wie wil weten hoe de producten en diensten van Palo Alto Networks hun werk doen, kan trouwens aan de slag in de Cyber Range te Amsterdam. Dit is een demo-omgeving waar klanten, via de resellers, in teams van maximaal twaalf mensen in ‘spel-verband’ kunnen leren wat het betekent om een holistische beveiligingsstrategie in de praktijk toe te passen.
Door: Johan van Leeuwen