Palo Alto introducing the worlds first ML-powered NGFW

Posted on Posted in BCONN Nieuws

Op 18 juni 2020 vond het virtual event “Palo Alto introducing the worlds first ML-powered NGFW” plaats. Palo Alto heeft hier hun nieuwste firewall geïntroduceerd (GA juli), want volgens Palo Alto is het tijd om de firewall wereld weer eens op te schudden.

Om duidelijk te maken wat de nieuwe firewall aan verbeteringen heeft kijken we eerst naar een stukje ontwikkeling in de historie van de Palo Alto firewalls.

Veel Next-Gen Firewalls (NGFW) werken met signatures. Op basis van deze signatures kunnen firewalls verdacht gedrag in het netwerk herkennen en tegenhouden. In het begin werden deze signatures elke 24 uur geüpdatet. Dit is al lang niet meer snel genoeg. Want met de ontwikkeling van de firewall ontwikkelt de hack- en attack business zich ook. Hackers zijn vaak al in staat om zero day exploits binnen enkele uren te gebruiken. Mede daardoor was de signature releasetijd door Palo Alto al terug gebracht tot 5 minuten. Dankzij Machine Learning (buiten de firewall) en sandboxing technologie is het mogelijk om zo snel te leren over verdacht verkeer.

Echter hackers gebruiken ook steeds meer geavanceerde technieken om nieuwe exploits te vinden en uit te buiten. Aanvallen lopen op van duizenden per dag naar inmiddels meer dan 100.000 per dag. Palo Alto verwacht dan ook dat de huidige manier van werken niet snel genoeg meer is om toekomstige aanvallen te kunnen weerstaan.

Tot nu toe werd de analyse van verdacht verkeer buiten de firewall gedaan. Met de nieuwe Next Gen firewall brengt Palo Alto deze techniek tot in de firewall waardoor de firewall verdacht verkeer in milliseconden kan detecteren. Wat de firewall leert als verdacht verkeer moet direct gebruikt kunnen worden om actief soortgelijk verkeer te weren. Signatures in millisecs dus.

Is dit nu nodig zo snel? Misschien nu nog niet. Maar denk je eens in hoe snel het IT landschap aan het veranderen is. Naast de traditionele Windows machines hebben veel bedrijven ook een aantal Linux machines en Mac’s in huis. Ook die zijn kwetsbaar al lag daar jarenlang een veel mindere focus op. Maar daarbij krijgen we met steeds meer apparaten te maken die gebruik (moeten) maken van het corporate netwerk. Dankzij IoT (wat een heel scala aan onbekende en vaak niet ge-update OS-en met zich mee brengt), BYOD komen er heel veel verschillende soorten apparaten bij op het netwerk. En wereldwijde gebeurtenissen die tot een heel andere manier van werken dwingen, zorgen ervoor dat bekende en managed apparatuur buiten het netwerk komt. Wat als jou bedrijfslaptop buiten het netwerk geïnfecteerd wordt en via VPN binnen gelaten wordt op je bedrijfsnetwerk? Dit soort zaken maakt beveiliging nog veel belangrijker. Natuurlijk wil je in milliseconden je beveiliging up-to-date hebben zodat je weerstand kunt bieden tegen de nieuwste bedreigingen uit elke hoek!

Overigens gaf Palo Alto ook aan dat zij (net als vele anderen) ook verwachten dat het thuiswerken op deze schaal niet gaat stoppen ook al is er straks een vaccin voor COVID-19. Deze manier van werken zal voor een groot deel blijvend zijn.
Lang niet elke bedrijf heeft zicht op het aantal devices dat op de een of andere manier met het netwerk verbonden is. Palo Alto heeft eens een scan gedaan bij een nieuwe klant en detecteerde 2x zoveel apparaten dan het bedrijf dacht in huis te hebben. Mede door het gebrek aan inzicht en controle over het netwerk, ontbreken van de juiste tools, gebrek aan het automatiseren van beveiligingsupdates en de schaalbaarheid van beveiligingssoftware kun je maar beter een goede Next Gen Firewall in huis hebben.

Als laatste gaf Nir Zuk (Founder & CTO van Palo Alto Networks) nog een leuke voorspelling hoe de concurrentie hierop zal reageren in 5 stappen (zoals ze altijd doen volgens Nir):

Stap 1: Ontkenning: Wie heeft dit nu nodig?
Stap 2: Ontkenning: Wij doen dit ook allang joh
Stap 3: Beloftes.. Wij doen het binnen een jaar ook
Stap 4: Bluf: Ons apparaat doet dit ook
Stap 5: Wishfull thinking: Het werkt nu wel (wat niet zo is)

Meer weten?
Neem contact op met de schrijver van dit artikel:

Korné Zwerver
Technisch Consultant Networking & Security
korne.zwerver@bconn.nl