Mer smell for pengene

By april 26, 2017 Uncategorized

Denne artikkelen er en oppfølger til «Kan valg av biler hjelpe deg å velge IT-sikkerhetsløsning». Målet med artikkelen er å utdype en del av de integrasjonene og synergiene jeg vektla i min argumentasjon for hvorfor bedrifter er tjent med å velge en IT-sikkerhetsplattform fremfor frittstående produkter. Da jeg skrev forrige artikkel hadde jeg Palo Alto Networks sine fremragende og tett integrerte produkter i bakhodet. Men det er jo ingen IT-sikkerhetsselskaper som tilbyr alt (i alle fall ikke med en tilfredsstillende kvalitet på de enkelte bestanddeler). Derfor har jeg i denne artikkelen tenkt å fokusere ikke bare på Palo Alto sine egne løsninger, men også noen av deres mest sentrale teknologipartnere; Hewlett Packard Enterprise, VMware og ProofPoint.

Palo Alto Networks er et forholdsvis ungt selskap da de slapp sin «Next Generation Firewall» for ca 10 år siden. I løpet av disse årene har selskapet hatt en eventyrlig vekst både målt i omsetning, utbredelse og hvordan ledende analytikere har anerkjent deres teknologiske fremstøt. Viktigst av disse er Gartner Group som så de samme svakheten som Palo Alto pekte på ved tradisjonelle silobaserte sikkerhetsløsninger, og spesielt port/protokollbaserte brannmurer som ikke tilbyr en tilfredsstillende grad av sikkerhet i det som ble omtalt som «web 2.0» for fryktelig lenge siden. Gartner Group kom opp med noen krav som skulle være på plass for at et produkt falt inn i kategorien «Next Gen FW»;

  • Høy ytelse
  • Opptre som en plattform for inspeksjon av nettverkstrafikk og håndhevelse av policies
  • Standard FW funksjonalitet som pakkefilter, NAT, Stateful packet inspection, VPN…
  • Integrert IPS
  • Applikasjonsidentifisering og policies for ulike applikasjoner
  • Extrafirewall funksjonalitet som henter in-put fra andre kilder for bedre beslutninger om blokkering

Som man ser skulle en NGFW være noe mer enn kun en firewall med en del teknologi man tidligere fant i andre «bokser» eller egne softwareløsninger. Dette hadde man jo allerede fått igjennom såkalte UTM løsninger (Unified Threat Management). Tanken bak NGFW var at summen av alle bestanddelene skulle bli større enn de enkelte komponentene kombinert, og det hele skulle være bygget på en teknologi som gav innsikt i applikasjonsflyten i et nettverk. Siden Palo Alto i motsetning til sine konkurrenter IKKE hadde en gammel brannmurteknologi i bunnen som man skulle bygge videre på, men hadde lansert en brannmur spesifikt designet som en applikasjonsbrannmur, viste den seg raskt å være best i klassen. I alle fall hvis man legger Gartner Group sine krav til grunn. En unik evne til å kjøre brannmurene med all sikkerhetsfunksjonalitet påskrudd uten at boksen knelte takket være Single Pass Parallell Processing (SP3) viste seg fort å være en differensiator. Videre er det en stor forskjell mellom UTM løsningene og Palo Alto Networks sin teknologi som går på sistnevntes evne til å la de ulike sikkerhetsmekanismene snakke sammen. Dette kalles «feedback loops» på stammespråket, og betyr i klartekst at de ulike mekanismene deler informasjon om hva de finner. Dette gjøres automatisert, og ut av boksen, og kan for eksempel sørge for at dersom en funksjon kalt APP-ID (applikasjonsgjenkjenning) oppdager web-browsing på en ikke standard port vil behørig mekanismer som antivirus og URL-filtering tre i kraft med en gang. Man må altså ikke på forhånd vite at trafikken i nettverket ser sånn og slik ut (som man jo må innrømme kan være utfordrende), og skru til sikkerheten etter det. Nei, Palo Alto gjør dette for deg og bedre enn du kan gjøre selv.

Et annet eksempel på hvordan tanken om integrert og automatisert sikkerhet kan leveres er Palo Alto sin avanserte beskyttelse av endepunktene i nettverket. Skulle en trussel bli oppdaget på f.eks. en virtuell Palo Alto firewall i bedriftens MS Azure miljø, eller på en branch office firewall på andre siden av jordkloden, vil informasjon om dette spre seg som ild i tørt gress (derav produktnavnet Wildfire) til bedriftens endepunkter hvor enn de måtte befinne seg. Dette skjer uavhengig av om maskinen er knyttet opp med Palo Alto sin VPN løsning Global Protect, som er en del av basis brannmurfunksjonalitet. Og skulle den nevnte trusselen først oppdages på en laptop på en flyplass et sted i verden vil trusselinformasjonen og beskyttelsen mot trusselen spre seg motsatt vei, til bedriftens ulike brannmurinstanser. Siden Palo Alto sin tjeneste for analyse av malware og exploits (Wildfire) er i skyen vil en pc som ikke er koblet opp på VPN gå rett dit og få avgjort om en ny og ukjent fil er skadelig eller ei.

Produktet fra Palo Alto for beskyttelse av endepunktene heter Traps, og fortjener sin egen artikkel på et senere tidspunkt, men det er virkelig «neste generasjon» også her. Men uansett hvor fremtidsrettet og intelligent det er skrudd sammen så vil en slik løsning ha potensialet for å feile. Så ærlig må vi i sikkerhetsbransjen være. Da er det godt å vite at som kunde av Palo Alto vil et angrep som er i ferd med å skje kunne stanses på nettverksnivået, fordi Palo Alto gir en fremragende grad av synlighet. Ta en infeksjon av et krypteringsvirus som eksempel: Ett av de siste stadiene før en vellykket kryptering kan finne sted er utveksling av krypteringsnøkler med angriperens server. Ser URL filteret i firewallen forsøk på å sette opp kommunikasjon med en IP adresse eller et domene som er forbundet med malware, phising eller lignende vil trafikken ikke bli tillatt og du har spart deg for timer med gjenoppretting av filer fra Back-up, eller enda verre tap av data.

Så langt har jeg bare snakket om fordelene ved et tett integrert og automatisert sikkerhetskonsept der de ulike komponentene beriker hverandre med relevant informasjon i sanntid. Men som sagt er det ikke slik at noe selskap har alle nødvendige sikkerhetsløsninger i sin egen portefølje, ei heller Palo Alto Networks. Så la oss da se på deres økosystem av teknologipartnere.

Palo Alto Networks har definert 7 stk strategiske teknologipartnere. 2 stk som leverer «compute power» gjennom sine mye brukte skytjenester (Amazon og Microsoft), 1 nettverksleverandør (Hewlett Packard Enterprise/Aruba), 1 leverandør av virtualiseringsteknologi og mobilsikkerhet (VMware inkludert Airwatch), 1 Endpoint Detection and Respons (Tanium), 1 Security Information and Event Management (Splunk), og til slutt en leverandør av sikkerhet i mail og sosiale medier (ProofPoint). Jeg ser det som en styrke at Palo Alto har et såpass lite antall utvalgte strategiske partnere, og ikke minst er det godt å se at samtlige av disse er markedsledere på sine respektive områder, på lik linje med Palo Alto selv. La oss ta en nærmere titt på noen av disse partnerne som for Core Services er veldig sentrale.

Den eneste av teknologipartnerne som leverer beskyttelsesmekanismer er ProofPoint. ProofPoint er markedslederen globalt sett på området «Secure Mail Gateway», men de har også spennende løsninger for å forhindre misbruk av sosiale medie-kontoer for spredning av malware og ikke minst forhindre misbruk av bedrifters domenenavn i phishing-kampanjer med mail. ProofPoint er #1 i Gartner-kvadranten, og har ligget i lederposisjon i 7 år på rad nå. Det er ingen hemmelighet at Palo Alto Networks gjerne skulle hatt denne teknologien i eget selskap, og IT-pressen i USA skriver stadig artikler om et oppkjøp. «Time will show» som de sier i Flåklypa…, men det som er helt klart er at spesielt ProofPoint sin mail gateway passer som hånd i hanske med Palo Alto Networks sitt konsept. Integrasjonen fungerer slik at dersom en mail inneholder en URL eller et vedlegg som kan være skadelig så sendes denne automatisk til ProofPoint sin skybaserte malwareanalyse avdeling som i ytterste konsekvens detonerer filen for å granske eventuelt skadelig innhold. Når filen blir «domfelt» går ryktet til filen umiddelbart til Palo Alto sin malwareanalyse i sky; WildFire. Og som man ser av grafikken under går trussel-informasjonen motsatt vei også (fra Palo Alto til ProofPoint). Og dette er altså en integrasjon kundene får nyttiggjøre seg av kun ved å taste inn noen lisenskoder i de respektive grensesnitt.

På nettverkssiden har Palo Alto Networks og Aruba, nå en del av Hewlett Packard Enterprise, hatt et sterkt forhold i mange år. En av grunnpilarene i Palo Alto sin NGFW er i tillegg til å gi fullt innsyn i applikasjonstrafikken med APP-ID, å gi en intuitiv fremstilling av hvem brukerne er og de assosierte sikkerhetshendelsene til disse. I «gamle dager» kunne det kanskje være greit nok å få identifisert kun en IP-adresse til en sikkerhetshendelse, men i disse dager da samme bruker kan ha mange tilknyttede enheter vil man linke firewallen sammen med brukerinformasjon fra ulike kilder. Active Directory er en viktig kilde, men også informasjon fra nettverket er relevant. Aruba sine controllere håndterer aksess til nettverket, det være seg trådløst eller kablet, og har informasjon om både bedriftens egne ansatte men også gjeste-brukere. I Aruba sin controller ligger det støtte for å utveksle denne informasjonen med kun en firewallprodusent; Palo Alto Networks. Informasjon fra Aruba sine controllere kan gi den enkelte bruker en rollebasert tilgang til nettverket og ut på internett gjennom en Palo Alto NGFW. Videre vil denne integrasjonen gjøre det enklere for administrator å håndtere en situasjon der det viser seg at en bestemt brukers enheter er kompromittert.

Palo Alto er i tillegg til å ha integrasjon med selve Aruba Controlleren åpen for Aruba Clearpass som er programvare Aruba har for en rekke sikkerhetsrelaterte funksjoner. Clearpass er et omfattende verktøy der hovedfokus er avansert gjestehåndtering, onboarding av mobile enheter (herunder utrulling av sertifikater) og helsesjekk av enheter som kobler seg opp (Network Admission Control NAC). Det er utvilsomt et godt poeng å inspisere devicer og påtvinge disse en fornuftig grad av sikkerhet (f.eks. antivirus, patch nivå, OS versjon, mm) før de får aksess. Men det er interessant å se at både Palo Alto og Aruba de siste månedene har kjøpt opp hvert sitt selskap som ivaretar sikkerheten i forhold til autentiserte brukere. Jeg tenker da på teknologi i nisjen User and Entity Behavioral Analytics (UEBA). UEBA løsninger ivaretar sikkerheten også etter at bruker og enhet er godkjent av NAC løsningen fra Aruba Clearpass. En UEBA løsning ser på anomali, altså aktivitet utenom det vanlige, som kan identifisere f.eks. en virusinfisert maskin i nettverket eller en ansatt som roter rundt i data han ikke skal ha tilgang til. Vi snakker altså om trusselen på innsiden. Med den utviklingen vi ser på trussel-siden vil slik teknologi bli helt nødvendig fremover, også drevet av krav for å være i henhold til regler stilt fra EU/EØS i GDPR.

En megatrend som Core Services jobber mye med er virtualisering. Vi jobber med VMware for å virtualisere alt fra Compute (ESXi), til lagring (vSAN) og nettverk/sikkerhet (NSX) og helt opp til automatisering av arbeidsprosesser (vRealize Automation). Virtualisering kan også være en enabler for sikker bruk av mobile enheter med Horizon Apps. VMware er integrert med Palo Alto på flere måter men gjennom deres portefølje for sikker bruk av mobile enheter, applikasjoner og data, AirWatch, kan man rulle ut Palo Alto sin Global Protect app. Global Protect er en VPN-løsning som vil rute all trafikk fra enhetene gjennom brannmuren for på den måten å inspisere trafikken og sørge for at den er trygg og god. I tillegg er Airwatch veldig sterke på å dele inn mobile enheter i to logiske segmenter; en for privat og en egen kryptert container for alle jobbrelaterte ressurser med tilhørende høy sikkerhet. Hvis man benytter VMware NSX kan man sette opp en egen VPN pr tjeneste som går inne i datasenteret om man vil.

En annen integrasjon mellom VMware og Palo Alto er at man kan kjøre sistnevntes virtuelle brannmurer sammen med servere i ESX eller NSX. Tanken her er at man får Palo Alto sin applikasjonsbaserte sikkerhet så nært til selve tjenesten som mulig. Palo Alto støtter VMware sin mikrosegmenteringsstrategi fullt ut. Og med tanke på effektivisering er det slik at provisjonering av Palo Alto sine firewalls blir automatisert i VMware vCenter. Dukker det opp en ny virtuell server, vil den gjennom bruk av dynamiske adresseobjekter i Palo Alto, automatisk få rett beskyttelse. Dette bidrar til å gi høy sikkerhet med minimalt av innsats fra drifts-og sikkerhetsavdelingen.

Avslutningsvis vil jeg ta to ord om hvorfor jeg bruker så mye tid på å snakke om integrert og automatisert IT-sikkerhet. I forrige artikkel slo jeg fast at overdrevent komplekse IT-systemer blir vanskeligere å beskytte. Så fra et management og kostnadsperspektiv, men også et sikkerhetsperspektiv, bør vi alle sammen etterstrebe integrerte løsninger fremfor den arkaiske tilnærmingen med silobaserte punktprodukter. Og for å forstå hvordan jeg tenker sikkerhet kan man se for seg en gammeldags borg som er under angrep fra en fremmed makt. Den fremmede makten er hackerne med alle sine exploit kits, malware og skitne triks. Deres mål er å komme innenfor murene og inn i kjelleren der alle verdisakene ligger. Fienden vil aldri fokusere angrepet på festningen på kun ett sted. Det vil pågå simultant på flere steder, noe som fører til at forsvarsstyrkene må fordeles tynt utover. Det som da er den verdifulle parallellen er at dersom det kommer en angrepsbølge som soldatene sliter med å slå tilbake på den ene veggen må de kommunisere dette når det skjer, slik at man får omplassert styrker og tatt i bruk sterkere lut. Kanskje en gryte med kokende olje er på sin plass… Det nytter altså ikke med en reaktiv forsvarsmodell der man gjør opp status når slaget er tapt og konkluderer med at «det var på sørveggen fienden flommet over som maur fordi vi ikke hadde nok soldater og manglet en gryte med kokende olje». Sikkerhetsløsningen Core Services mener er den beste deler slik informasjon (Indicators of Compromise, IOC) i sanntid, og tar i bruk adekvate sikkerhetsmekanismer avhengig av den konkrete risikoen på en automatisert måte, for å gi høyeste grad av beskyttelse.

 

Ta kontakt dersom du vil høre mer.

Stian Heyerdahl-Larsen
shl@coreservices.no
41670850

Navn *

Mailadresse *

Organisasjon *

Telefonnummer

Emne

Hvordan fant du oss?

Hva kan vi hjelpe deg med?