NGFW von Palo Alto Networks nutzt Machine Learning
Übernext-Generation Firewall
Es ist ein bisschen ungünstig, wenn der Name einer Produktgattung den Begriff „Next-Generation“ enthält, ein Hersteller dann aber die nächste – technisch deutlich erweiterte – Generation eben dieses Produkts verkünden will. Eben dieses Problem hat derzeit Palo Alto Networks: Die neue NGFW (Next-Generation Firewall) der Kalifornier bringt nämlich zur Angriffsabwehr Machine Learning (ML) direkt auf den Geräten zum Einsatz.
Palo Alto Networks’ „ML-Powered NGFW“ mit dem neuen Betriebssystem-Release PAN-OS 10.0 ist laut Martin Zeitler, Director Systems Engineering für Zentraleuropa bei dem Anbieter, sozusagen eine „Next-Next-Generation Firewall“: „Mit PAN-OS 10.0 können unsere Next-Generation Firewalls erstmals ML-basierte Entscheidungen direkt auf dem Gerät treffen“ – wenn auch unter tatkräftiger Beteiligung der Rechenkapazitäten der hauseigenen WildFire-Cloud. Dies erlaube das Blockieren unbekannter Malware auf den Firewalls.
Angriffe laufen, wie Palo Alto Networks warnt, immer schneller ab, sind immer variantenreicher und finden angesichts zunehmender Verbreitung des Internet of Things (IoT) eine Fülle neuer Angriffsflächen. Vor diesem Hintergrund setzt der Security-Spezialist, wie so viele seiner Marktbegleiter, auf künstliche Intelligenz in Form maschinellen Lernens, um selbst unbekannte Angriffsformen algorithmisch beschleunigt aufzuspüren.
An sich ist maschinelles Lernen für Palo Alto Networks nichts Neues: „Wir nutzen Machine Learning schon längst, zum Beispiel für unsere Endpoint Protection, und bringen ML nach und nach ins komplette Portfolio ein“, sagt Martin Zeitler. Klammer auf: Die NGFW-Größe Palo Alto Networks ist ein Opfer ihres eigenen Erfolgs und wird deshalb immer wieder als NGFW-Größe bezeichnet, bietet aber inzwischen in Sachen Security praktisch alles außer Tiernahrung. Dazu zählen neben den Lösungen für Unternehmenssicherheit aus der Strata-Familie die Cloud-Sicherheitsangebote der Prisma Cloud, die Cortex-Suite für die Automation von Security-Prozessen im SOC sowie neuerdings auch IoT-Sicherheitslösungen. Klammer zu.
Die ML-Unterstützung – eines von über 70 neuen Features von PAN-OS 10.0 – ermöglicht es den Firewalls laut Hersteller, 95 Prozent der unbekannten Commodity-Malware zu erkennen und Abwehrentscheidungen gleich auf dem Gerät zu treffen. Dennoch ist auch bei diesem Ansatz das Zusammenspiel mit der Cloud unerlässlich: „Machine Learning muss man permanent trainieren, das erfordert eine Feedback-Schleife“, erklärt Zeitler. „Bei Erkennung einer Auffälligkeit übertragen wir die Probe deshalb in die WildFire-Cloud zur Malware-Analyse.“
Unbekannte Binärdateien inspiziere man dort in einem Sandboxing-Prozess. Daraufhin lasse sich eine Signatur erstellen und auf alle Kundensysteme ausbringen – die Erkennung von Standard-Malware basiert also weiterhin auf Signaturen, obschon diese laut Zeitler komplexer sind als einfache MD5-Hashes. „Zugleich können wir so neue ML-Algorithmen trainieren, wichtig etwa beim Start einer neuen Malware-Kampagne“, erläutert der Experte. „Wir nutzen damit ein Ökosystem aus lokaler NGFW mit lokalem ML und WildFire-Cloud mit ML-Training.“ Die Anwendung der Signaturen finde, wie auch die ML-basierte Analyse, direkt auf der Firewall statt.
Als „Inline-Malware-Erkennung“ bezeichnen die Kalifornier diesen Ablauf, weil er sehr schnell erfolgen soll: „Der Umweg über die Cloud nahm früher einige Minuten in Anspruch“, so Zeitler gegenüber LANline. „Mit PAN-OS 10.0 haben wir das auf wenige Sekunden gesenkt, damit kommen wir in den Bereich der Echtzeit-Analyse.“ Ziel sei es hier vorrangig, die Zeit von der Erkennung bis zur Prävention zu verkürzen.
Neben der Analyse von Binärdateien lässt sich ML laut Zeitler in zahlreichen weiteren Bereichen anwenden, zum Beispiel für das URL-Filtering wie auch für die Erkennung von Phishing, C2-Kommunikation oder bösartigen Sites. So nutze Palo Alto Networks seinen Data Lake, der Billionen analysierter Codebeispiele umfasse, auch zur Klassifizierung von URLs, um das ML zu trainieren. Ähnliche gehe man bei Angriffen auf DNS vor: Hier suche man nach Lookalike-Domains und DGAs (Domain Generation Algorithms), um sie mittels ML auseinanderhalten und clustern zu können.
Zeitgleich soll PAN-OS 10.0 helfen, Sicherheitslücken zu schließen, die sich derzeit überall im IoT-Umfeld auftun. Neue Herausforderungen entstehen hier laut Zeitler durch die teils schleichende EInführung von IoT-Gerätschaft in den Unternehmen, zudem durch die Konvergenz von IT und OT, die immer mehr Sensorik mit sich bringt. Hier fehle der IT oft der Einblick in die Sicherheitslücken und damit in die Risikolage.
Das neue PAN-OS-Release beinhaltet deshalb eine IoT Subscription, basierend auf der Akquisition von ZingBox letztes Jahr. Hier diene die NGFW als Sensor, um den Typ eines Endpunkts festzustellen und eine Risikoeinschätzung vorzunehmen, also Anomalien, Lücken und deren Schwere zu verstehen. In der Folge liefere die NGFW einen Vorschlag für eine Geräterichtlinie, die sie automatisiert durchsetzen könne. Eine solche Richtlinie kann laut Zeitler bei einer Videokamera zum Beispiel umfassen, dass die Kamera Bilddaten, aber keine Metadaten in Cloud übertragen darf.
Des Weiteren neu ist bei Palo Alto Networks die CN-Series, eine containerisierte NGFW-Version für den Einsatz in Kubernetes-Umgebungen. Hierzu habe man PAN-OS mit voller Funktionalität containerisiert, also einschließlich der Funktionen für Layer-7-Netzwerksicherheit und Threat Protection, und zudem für Kubernetes-Integration gesorgt. Einzige Einschränkung der CN-Serie ist laut Zeitler, dass sie sich ausschließlich über das Management-Tool Panorama steuern lasse, also kein lokales User Interface biete.
PAN-OS 10.0 ist bereits verfügbar, das Update ist für Kunden mit Wartungsvertrag kostenlos. Die IoT-Sicherheitsfunktionalität erfordert aber ein Zusatz-Abonnement.
Weitere Informationen finden sich unter www.paloaltonetworks.com.
Lesen Sie mehr zum Thema
