4 december 2019 | Nieuws
Een terugblik op Palo Alto Ignite 2019
Zowel Insign.it als Sec4.it zijn dit jaar in Barcelona op het Palo Alto Networks Ignite 2019 EMEA congres geweest. Drie inspirerende dagen met de laatste ontwikkelingen op het gebied van security. Niet alleen presentaties van verschillende fabrikanten waaronder Palo Alto Networks zelf uiteraard, maar ook workshops en hands-on labs.
In deze terugblik een samenvatting over wat Palo Alto Networks in hun geïntegreerd security platform hebben ontwikkeld met analytics, AI, machine learning, automation en orchestration op het gebied van Endpoint, het netwerk en de cloud.
Cortex XDR 2.0
Palo Alto Networks is toonaangevend op security gebied en is al lang niet meer alleen op firewall gebied actief. Vanuit een platform gedachte hebben ze in de loop der jaren security oplossingen binnen het netwerk, de cloud en endpoint ontwikkeld.
En ze hebben niet stilgezeten het laatste jaar! Door inzage te krijgen in de datastromen zowel on-premise als in de cloud is er een SIEM-achtige propositie ontstaan: Cortex XDR. Ik zeg bewust SIEM-achtig omdat dit in het begin vooral gericht was op data van het endpoint, zoals computers en servers en de firewall. Inmiddels is Cortex XDR 2.0 gereleased en worden daar externe log bronnen van concurrerende vendoren als Cisco en Check Point aan toegevoegd en ook Cloud systemen. Hiermee is een nieuwe vorm van Enterprise-Scale Detection and Response, EDR gecreëerd: XDR genaamd.
Het mooie van Cortex XDR is dat u twee mooie security oplossingen in één krijgt. Namelijk een zeer geavanceerd behavior analytics systeem dat geavanceerde aanvallen op uw systemen detecteerd met de inzet van cloud based AI. Met daarnaast Traps als next generation antivirus om uw systemen te beschermen. Met de logging van Traps kan Cortex XDR bepalen of er afwijkend gedrag te zien is op uw endpoints. Cortex XDR correleert deze informatie aan datastromen van het endpoint, de firewall en mogelijk andere bronnen zoals server logging en bepaald zo of u onder vuur ligt van bijvoorbeeld een hacker. Cortex XDR geeft u dan de mogelijkheid om in te grijpen en een systeem bijvoorbeeld te isoleren.
Prisma
Nieuwe ontwikkelingen op cloud gebied zijn er ook. Prisma kent nu twee vormen. Prisma Cloud en Prisma Access. Met Prisma Cloud is het voormalige Aperture verder uitgebreid met onder andere Redlock en Twistlock waardoor analyses op bijvoorbeeld Office 365 data, Salesforce of Google mogelijk zijn. U krijgt weer inzage in uw data en meer grip op de toegang tot deze data. Met de Twistlock overname is Prisma Cloud een speler van formaat geworden op het gebied van container security, zoals Kubernetes. En dit gaat veel verder dan de standaard tools zoal AWS die biedt op het gebied van compliancy checks. Zeker de moeite waard om gratis te proberen als u veel met containers in de cloud werkt.
Met Prisma Access begeeft Palo Alto Networks zich op het software defined WAN: SD-WAN gebied. Een nieuwe invalshoek om individuele gebruikers, branch locaties of hele datacenters te ontsluiten op een veilige manier. En als vervanging van de traditionele en vaak dure MPLS verbindingen om verschillende locaties met elkaar te verbinden. Dit biedt nieuwe mogelijkheden om bijvoorbeeld de hoge latency tussen verbindingen in Europe an Azië aanzienlijk te verkleinen. Een mooie manier om vanuit een centrale plaats al uw connectiviteit aan te sturen met alle vertrouwde diensten zoals URL-filtering, Threat Prevention en Data Loss Prevention in één console. Data Loss Prevention? Ja, die is ook uitgebreid met een machine learning algoritme en remediation workflows.
Met Prisma Access verschijnt ook een term die afgelopen jaar door Gartner opgepikt is: SASE: Secure Access Service Edge. Hiermee wordt bedoeld dat zowel netwerk als security services vanuit een gemeenschappelijke cloud architectuur geleverd worden zoals de afbeelding aan de zijkant ook laat zien.
Automation
Werkt u al met tools als Ansible en Terraform? Hiermee is het voor Palo Alto Networks mogelijk om een firewall in code te definiëren. Tijdens het event heb ik, Leon, een workshop gevolgd om via zowel Terraform als Ansible een VM-100 firewall uit te rollen op het Google Cloud platform. Dit gaat echter ook op Azure of AWS. Een leuke ervaring die laat zien dat we door middel van code een firewall kunnen definiëren die precies de ‘state’ heeft zoals in de code is vastgelegd. Daarmee is de code tevens de backup van de firewall en kan op eenvoudige wijze een nieuwe firewall uitgerold worden, of een configuratie aangepast. Erg handig, zeker bij virtuele firewalls.
SOAR en IoT
Als laatste wil ik nog twee andere dingen aanstippen: SOAR en IoT. SOAR staat voor Security Orchestration Automation and Response. Door de acquisitie van Demisto kunnen workflows / playbooks gemaakt worden die bepalen welke acties er door verschillende systemen uitgevoerd moeten worden in specifieke situaties zoals een security incident. Hiermee automatiseert u de reactie op een incident en bent u in staat snel in te grijpen. Wetende dat ik Demisto wat te kort doe stip ik toch IoT nog even aan. Internet of Things devices zoals de slimme meters, deur openers, lampen etc nemen hand over hand toe. Meestal niet met security in het achterhoofd ontworpen is het een regelrechte nachtmerrie voor Security Officers en IT-managers. Ook op dit gebied zal Palo Alto Networks verder uitbreiden, maar is het nu ook al actief met de acquisitie van Zingbox.
Security platform
Samengevat zet Palo Alto Networks sterk in om een geïntegreerd security platform te ontwikkelen waarbij analytics, AI, machine learning, automation en orchestration centraal staan voor zowel het Endpoint, het netwerk als de cloud. Om in hun woorden te spreken: 'Secure the enterprise, secure the cloud and secure the future'.
Terug naar nieuws