In den letzten Wochen hat Security-Anbieter Palo Alto Networks sein Portfolio gleich in mehrfacher Hinsicht erweitert: Neu sind nicht nur aktualisierte Next-Generation Firewalls (NGFWs), darunter ein Gerät für den Industrieeinsatz, und das NGFW-Betriebssystem PAN-OS in Version 8.1. Zudem hat der Hersteller die vor einem Jahr mit der Akquisition von LightCyber erworbene Machine-Learning-basierte Lösung für die Bedrohungsabwehr in sein Portfolio integriert und vermarktet sie nun unter dem Namen Magnifier. Zugleich gibt es neue Cloud-Security-Angebote und einen Log-Management-Service mit Rechenzentrum in Deutschland. Die Endpoint-Protection-Lösung Traps gibt es brandneu in Version 5.0.

Palo Alto Networks hat mit Version 5.0 von Traps einen Cloud-basierten Management-Service eingeführt, um die alltägliche Verwaltungsarbeit zu erleichtern. Das Cloud-Management gibt es von einem US- oder europäischen Datacenter aus.

Das User Interface von Traps habe man überarbeitet und benutzerfreundlicher gestaltet. Linux-Unterstützung ergänzt den bestehenden Support von Windows und macOS. Bei den regelmäßigen Scans entdeckte „ruhende“ Malware-Dateien lassen sich nun in Quarantäne nehmen – eine wichtige Funktion unter anderem zur Abwehr von Ransomware.

Neues Firewall-OS
PAN-OS 8.1 soll es IT-Organisationen erleichtern, ein Best-Practice-Niveau der IT-Sicherheit zu erreichen. Mit vereinfachten Workflows und Tools für die Überprüfung von Richtlinien will der Security-Spezialist Administratoren dabei unterstützen, Best Practices für Anwendungskontrollen durchzusetzen. Die hauseigene Geräteüberwachung namens „Panorama“ informiere den Administrator über auffälliges Geräteverhalten. Diese Funktionalität lässt sich laut Hersteller ohne großen Aufwand in automatisierte Workflows integrieren.

Mittels 20-fach erhöhten SSL-Durchsatzes gegenüber den Vorgängermodellen sorge die neue PA-3200-Reihe für leistungsstarke Entschlüsselung am Netzwerkrand. Der große Bruder PA-5280 wiederum biete verdoppelte SSL-Session-Kapazität. Palo Alto zielt damit auf die Absicherung von Rechenzentren ebenso wie von Mobilfunknetzen.

Mit dem neuen NGFW-Modell PA-220R will Palo Alto Networks ICS-/Scada-Umgebungen (ICS: Industrial Control System) vor Angriffen schützen. Das Gerät ist laut Thorsten Henning, Senior Systems Engineering Manager Central and Eastern Europe bei ‎Palo Alto Networks, „ruggedized“, also gehärtet gegen fertigungstypische Faktoren wie extreme Temperaturen sowie Feuchtigkeit, Staub, Vibrationen und elektromagnetischen Störungen. So soll es moderne NGFW-Funktionen wie integrierte Bedrohungsabwehr und Datenflusskontrolle auch für industrielle Netzwerke verfügbar machen. Die Preise beginnen laut US-Preisliste bei 2.900 Dollar.

ML-basierte Bedrohungsanalyse
Im Nachfeld der LightCyber-Übernahme, so Thorsten Henning im LANline-Interview, hat Palo Alto Networks seine NGFWs zu Netzwerksensoren ausgebaut: Sie sammeln umfangreiche Netzwerkdaten für die verhaltensbasierte Bedrohungsanalyse der vormaligen LightCyber-Lösung, die Palo Alto Networks nun unter dem Namen Magnifier vertreibt. Laut Henning ist es bei dem Security-Anbieter üblich, ein akquiriertes Produkt – wie auch in diesem Fall – zunächst für rund ein Jahr vom Markt zu nehmen, um es in Ruhe in das Portfolio zu integrieren und das Zusammenspiel mit den übrigen hauseigenen Lösungen sicherzustellen.

Auf der Basis der Sensorikdaten der NGFWs wie auch des ebenfalls hauseigenen Endpunkt-Analyse-Services Pathfinder erstellt Magnifier mittels ML-Algorithmen (Machine-Learning) Profile von Benutzern und Geräten. Die ML-gestützte Auswertung soll dafür sorgen, dass die resultierenden Alerts präziser und somit für das Security-Team nützlicher sind als generische Alarme herkömmlicher Netzwerk-Überwachungslösungen. Auch Insider-Bedrohungen oder von Angreifern gekaperte Nutzerprivilegien sollen sich damit besser erkennen lassen.

Der Ablauf gestaltet sich dabei laut Hersteller wie folgt: Magnifier untersucht automatisch auffällige Endpunkte, um festzustellen, welche Prozesse für das abweichende Verhalten verantwortlich sind. Anschließend analysiert der Dienst die Prozesse unter Zuhilfenahme der Threat Intelligence des Cloud-basierten Bedrohungsanalyse-Service WildFire, um festzustellen, ob diese Prozesse bösartig sind. Dies erlaube es dem Security-Team, Vorfälle sofort zu überprüfen und schnell zu reagieren.

Per Update ist WildFire laut Palo Alto Networks nun in der Lage, selbst Schadcode aufzuspüren, die sich einer Entdeckung durch Verschleierungstechniken zu entziehen versucht. Der Dienst erkenne Malware auf Linux-Servern inklusive IoT-Geräten (Internet of Things) ebenso wie in Dateiarchivformaten, darunter 7-Zip und RAR.

Cloud-Sicherheit
Zeitgleich hat Palo Alto Networks neue Cloud-Funktionen in seine Next-Generation-Sicherheitsplattform integriert, die Angriffe auf Hybrid- und Multi-Cloud-Umgebungen unterbinden soll. Neu ist der Support für die Google Cloud Platform. Panorama soll hier für die zentrale Bereitstellung und Verwaltung der (virtualisierten) NGFWs sorgen. Neben Panorama ist auch der Security-Service Aperture Cloud-übergreifend verfügbar. Damit unterstütze Palo Alto Networks nun alle führenden Cloud-Umgebungen, so Thorsten Henning. Die Endpoint-Protection-Lösung Traps wiederum soll Zero-Day-Angriffe auf Linux-Workloads in der Cloud verhindern, ergänzend zum bestehenden Schutz von Windows-Workloads.

Außerdem verkündete Palo Alto Networks kürzlich die Einführung eines ebenfalls Cloud-basierten Log-Management-Dienstes in Europa. Der Logging Service soll es Unternehmen ermöglichen, umfangreiche Mengen hauseigenen Daten aus der Sicherheitsplattform von Palo Alto Networks zu archivieren. Er biete eine zentralisierte, skalierbare Protokollierungsinfrastruktur, sodass Unternehmen Protokolldaten ohne lokale Rechen- und Speicherbeschränkungen wie auch ohne zusätzlichen Betriebsaufwand erfassen können. Dies erleichtere es, Compliance-Anforderungen wie die Datenschutzvorgaben der kommenden EU-DSGVO (Datenschutz-Grundverordnung) zu erfüllen.

Betonte das herstellerübergreifene Engagement des Herstellers: Thorsten Henning, Senior Systems Engineering Manager Central and Eastern Europe bei ‎Palo Alto Networks. Bild: Palo Alto Networks

Betonte das herstellerübergreifene Engagement des Herstellers: Thorsten Henning, Senior Systems Engineering Manager Central and Eastern Europe bei ‎Palo Alto Networks. Bild: Palo Alto Networks

Der Logging Service soll nicht nur das Log-Management vereinfachen und eine Datenbasis für die DSGVO-Umsetzung vorhalten, sondern im Ernstfall auch forensische Analysen ermöglichen. So greift laut Palo-Alto-Mann Henning auch Magnifier auf diesen Log-Datenpool in der Cloud zu. Traps 5.0 wiederum könne den Service zur Datenablage nutzen.

Die vom Logging-Dienst gesammelten Daten werden laut Henning in einem Rechenzentrum in Frankfurt am Main gespeichert. Damit entspreche man den deutschen und europäischen Datenschutzgesetzen.

Henning betonte im Gespräch mit LANline, Palo Alto Networks engagiere sich sehr in puncto herstellerübergreifender Kooperation zur Abwehr von Malware und Angriffen. Der Anbieter sei nicht nur eines der vier Gründungsmitglieder der Cyber Threat Alliance (CTA) gewesen (neben McAfee, Fortinet und Symantec): Das hauseigene Application Framework habe man bewusst für Drittanbieter geöffnet. Mittels Investoren unterstütze man zudem Startups dabei, ergänzende Applikationen für das Framework zu entwickeln.

Weitere Informationen finden sich unter www.paloaltonetworks.com.

Dr. Wilhelm Greiner ist freier Mitarbeiter der LANline.