Kun jij bij een datalek de CEO binnen 30 minuten volledig informeren?

29 januari 2019|

Aan beveiligingslekken valt helaas niet altijd te ontkomen. Hoe hard je ook inzet op preventie, de risico’s zijn nooit 100% uit te sluiten. Ook het reageren op incidenten vormt een flinke uitdaging. Wie beschikt over alle logs, en wie kan een root cause analyse uitvoeren bij verschillende outsourcingpartijen? Misschien moet je niet langer op zoek gaan naar een antivirusoplossing of een next-generation endpoint-product, maar puur naar het gewenste resultaat. Een mogelijke maatstaf zou kunnen zijn: kan jouw afdeling de CEO binnen 30 minuten na detectie van een inbreuk vertellen hoe het gebeurde, om welke gegevens het ging, hoe het werd gestopt en of al het forensisch bewijs is veiliggesteld? 

Om organisaties in staat te stellen veilig nieuwe diensten en apps uit te rollen, heeft Palo Alto Networks het Next-Generation Security Platform ontwikkeld dat preventie biedt middels automatisering, toegepast binnen het netwerk, de endpoints en de cloud. Next-generation firewalls en de GlobalProtect-cloudservice hebben betrekking op de netwerkbeveiliging, inclusief externe gebruikers en locaties, terwijl de publieke cloud wordt beschermd door gevirtualiseerde next-generation firewalls en de Aperture SaaS-beveiligingsservice. 

Oneindig veel kwetsbaarheden

Met de endpointsecurity-oplossing Traps heeft Palo Alto Networks de endpointprotection-industrie voorgoed veranderd door de gangbare antivirusprogramma’s te vervangen door een unieke benadering die malware en exploits moet voorkomen. Hoewel er oneindig veel kwetsbaarheden en talloze malwarevarianten zijn, worden aanvallers gedwongen om een veel kleiner aantal technieken te gebruiken om van die kwetsbaarheden te profiteren. De aanpak van Palo Alto Networks met Traps was simpel: deze technieken leren begrijpen en vervolgens een aantal obstakels opwerpen om te voorkomen dat een aanvaller succesvol kan zijn.

Malware en vulnerability-exploits

Palo Alto Networks heeft Traps volledig geïntegreerd in het Next Generation Security Platform. Een van de unieke eigenschappen van Traps is het inspelen op meerdere cybersecurityrisico’s. Risico’s voor endpoints komen voornamelijk van kwaadaardige executables (malware) en zogenaamde vulnerability-exploits. Deze worden afzonderlijk of in verschillende combinaties gebruikt, maar verschillen fundamenteel van aard.

Malware is een kwaadaardige, vaak op zichzelf staande executable, die is ontworpen om schadelijke activiteiten op een systeem uit te voeren. Exploits zijn schadelijke gegevensbestanden of content (zoals een Microsoft Word-document) die gebruikmaken van softwarefouten of bugs in legitieme toepassingen om aanvallers te voorzien van de mogelijkheid om vanaf afstand code uit te voeren.

Bekende en onbekende dreigingen

Om te voorkomen dat aanvallers endpoints en servers in gevaar brengen, is een geavanceerd endpointsecurity-product nodig dat zowel bekende als onbekende varianten van malware en exploits voorkomt, en preventie biedt ongeacht of een machine nu online of offline is, on-premise of off-premise, en al dan niet verbonden met het netwerk van de organisatie.

Geen waterdichte garantie

Traps wisselt voortdurend threat intelligence-informatie uit met WildFire®, een service die dreigingen analyseert en waarbij meer dan 23.000 bedrijven, overheidsinstellingen en dienstverleners bijdragen aan de collectieve immuniteit van alle andere gebruikers. Traps gebruikt deze intelligentie om zichzelf automatisch opnieuw te programmeren om zo malware op het endpoint, in het netwerk of in een SaaS-toepassing te voorkomen. Dit elimineert veel mogelijkheden voor een aanvaller om een systeem te infecteren.

Het biedt echter geen waterdichte garantie dat organisaties immuun zijn voor alle aanvallen. Onbekende kwetsbaarheden en zwakheden in bijvoorbeeld het beveiligingsbeleid van een organisatie zijn een harde realiteit waarmee IT-afdelingen moeten leven.

Dataverzameling en visualisatie

Palo Alto Networks was zich bewust van deze uitdaging en met de recente overname van het Israëlische Secdo kan het nu geavanceerde EDR-mogelijkheden (Endpoint Detection and Response), waaronder unieke dataverzameling en visualisatie, toevoegen aan Traps en het Application Framework zodat zelfs de meest slimme aanvallen snel kunnen worden gedetecteerd en gestopt.

Uitbreiding naar XDR

De ambities van Palo Alto Networks gaan nog verder. Het bedrijf wil de Secdo EDR-functionaliteit gaan inzetten en toepassen op het hele platform – de endpoints, het netwerk en de cloud. Dit concept heet XDR en het voordeel is dat klanten overal, en dus niet alleen op de endpoints, de beste EDR-beveiligingsmogelijkheden kunnen krijgen.

Het resultaat

Door gegevens van het netwerk, de cloud en de endpoints te combineren met de threat intelligence van WildFire en andere bronnen (via de Logging Service), kunnen beveiligingsteams geavanceerde analytische en forensische tools gebruiken om de data uit verschillende databronnen te interpreteren, zodat ze een beter inzicht krijgen in wat er is gebeurd bij een datalek. En, nog belangrijker, zodat ze sneller en efficiënter kunnen reageren op succesvolle aanvallen en effectief met de directie kunnen communiceren over de impact en de te nemen maatregelen.