Palo Alto Cortex XDR: IT Security met mensenkennis

IT Security staat onder druk. Palo Alto Cortex XDR heeft een effectief wapen tegen bedreigingen, dankzij AI (Artificial Intelligence) op endpoint niveau. Senior Security Officer Frank Kemeling zet Palo Alto Cortex XDR in voor klanten van Aumatics en legt uit hoe het detectiesysteem het verschil maakt.

Frank Kemeling

Frank Kemeling

Senior Security Officer bij Aumatics

Of ga direct in gesprek via het chatvenster.

Stel: ransomware probeert binnen te dringen. Vandaag of morgen gaat dat gebeuren. Als de IT Security op orde is, gaan de alarmbellen af en wordt de aanval afgeslagen. Mooi, het werkt.

Goed nieuws, zou je zeggen.

Maar dan nu de feiten over IT Security in 2022. Het aantal aanvallen is vorig jaar gestegen met 40%. Tel dit op bij het toegenomen aantal meldingen over verplichte updates en patches. En als systemen elkaar overlappen in detectie krijg je twee of meer meldingen over dezelfde actie of gebeurtenis. Op de IT-afdeling blijven de alarmbellen zo afgaan.

Is de werkdruk hoog op de IT-afdeling? Is door de jaren een keten van tools en leveranciers opgebouwd en is de samenhang verdwenen? Is er onderbezetting door IT vacatures? Wie zegt dat er wat wordt gedaan met een bedreiging? En wanneer? En is dat dan op tijd?

De IT-afdeling is dus geholpen met eenvoud, overzicht en intelligente detectie en snelle actie.

Palo Alto Cortex XDR: detectie op basis van AI

Dat vereist een andere aanpak. Palo Alto Cortex XDR is een detectie- en responsesysteem dat acteert op basis van AI (Artificial Intelligence) op endpoint niveau.

In deze blog leggen we uit wat de voordelen zijn van de relatief nieuwe strategie van Palo Alto Cortex XDR. Het systeem kan het aantal meldingen verminderen met 98%. In bijna de helft van de gevallen is menselijk handelen hierdoor niet meer nodig. Om die reden heeft Aumatics Cortex XDR het platform onlangs aangebracht bij klanten.

Tijd om de IT Security te stroomlijnen? Dan is dit misschien ook het beste instrument voor IT Security bij jouw organisatie.  

Endpoint Security?

Endpoints: simpel gezegd: devices/apparatuur, zoals laptops en mobiele telefoons. Deze devices staan helemaal onderaan of op het verste punt van een netwerk. Endpoint security past beveiliging toe op deze fysieke apparaten en vormt zo een beproefde en veelgebruikte beveiligingsmethode.

Hoe het nu gaat. En soms niet werkt.

Endpoint virusscanners blijven actueel doordat ze doorlopend updates krijgen. Tenminste, als ze ook doorlopend worden bijgewerkt. Die afhankelijkheid maakt de scanners kwetsbaar. Palo Alto Cortex XDR pakt het anders aan. Met succes.

Dat werkt zo: traditionele virusscanners moeten doorlopend bijgewerkt worden om de huidige stroom van bedreigingen de baas te zijn. Virussen en andere malware voldoen aan bepaalde kenmerken. Ze laten hun vingerafdruk achter en worden op die manier herkend. Een signature. Hiervoor moet de virusscanner in contact staan met een server die de signature database bijwerkt. Die database zorgt voor de match tussen het verkeer op een endpoint en bedreigingen.

Dat gaat bijna altijd goed.

In de afgelopen tijd zien we een grote toename in het aantal online bedreigingen. We werken steeds meer online. Die trend blijft de komende jaren overeind. Voor kwaadwillenden is er dus online steeds meer te halen. Geld, zoals cryptocurrency, maar denk ook aan vertrouwelijke bedrijfsinfo en privacygevoelige data.

Het aantal aanvallen met ransomware, virussen en malware is in 2021 gestegen met zo’n 40%. Ontwikkelaars van IT Security software en hardware zijn dan ook in een nek-aan-nek race verwikkeld om aanvallen af te slaan.

De methode waarin virussen of ransomware wordt gedetecteerd werkte goed. Maar omdat het aantal zo is toegenomen, dringen steeds meer bedreigingen toch binnen. Bijvoorbeeld omdat de update van virusdefinities te laat komt. Virussen kunnen zelfs speciaal voor één target gemaakt worden.

De andere aanpak van Palo Alto Cortex XDR

Palo Alto Cortex XDR is om een aantal redenen sneller en doeltreffender.

Het detectie- en responsesysteem acteert namelijk niet op basis van de signatures. Het analyseert het gedrag en patronen van bedreigingen.

Meer en eerdere detectie

Palo Alto Cortex XDR zou een bedreiging of aanval al eerder hebben opgemerkt door de manier waarop het je netwerk benadert. Door de techniek die het gebruikt bijvoorbeeld. Of door de route die wordt afgelegd, voordat het op het device komt. Of door de activiteiten die worden uitgevoerd om zover te komen.

Ieder jaar komen er gemiddeld 1000 nieuwe signatures uit van online bedreigingen. Maar uiteindelijk maken deze aanvallen gebruik van niet meer dan 30 beproefde technieken. Al jaren. Deze strategieën veranderen in de basis niet. Zo om de tien jaar komt er een nieuwe bij. Een stuk overzichtelijker, en dus beter beheersbaar.  

Baseer je je verdediging dus op het detecteren en bestrijden van deze technieken, dan ben je dus altijd actueel. En dus ben je vaker de bedreiging voor.

De werkwijze op basis van Artificial Intelligence van Palo Alto heeft nog een ander voordeel. Je ziet deze aanvallen namelijk ook eerder aankomen. Stel, een nieuwe bedreiging is losgelaten op het wereldwijde web. Het zal even duren voordat iedere ontwikkelaar van IT Security op de hoogte is.

Tot die tijd heeft het vrij baan om binnen te dringen. Of: het treft hiervoor de voorbereidingen. Dat noemen we een Zero Day Exploit. Het is nieuw, maar de remedie laat nog op zich wachten.

Palo Alto Cortex XDR zal deze voorbereidingen kunnen identificeren, doordat het matcht met een van de 30 technieken. Ook al is de bedreiging dezelfde dag nog uitgebracht, het zal zo de bedreiging zonder voorkennis in de meeste gevallen herkennen.

Leermomentjes

Wil je problemen in de toekomst voorkomen, dan moet je leren van de gemaakte fouten. Die worden dan ook duidelijker dan ooit in beeld gebracht. Zo is de IT-afdeling snel op de hoogte waar de bedreiging binnen kwam, welk pad het aflegde en wat de remedie was.

Zijn de gevolgen groot en is diepgravend onderzoek nodig naar de herkomst? Bijvoorbeeld voor de verzekering of voor opsporingsdiensten? De add-on Cortex Forensics verzamelt de data om de dader te kunnen achterhalen en de buitgemaakte bestanden te kunnen achterhalen. Ook als deze tool achteraf wordt geïnstalleerd, met terugwerkende kracht.  

Die analyse kan worden gemaakt, doordat Palo Alto Cortex XDR al bij implementatie een helder beeld maakt van het complete netwerklandschap. Dat gebeurt met Host Insights. Host Insights brengt je netwerk in kaart, de gebruikte apparatuur, de ingezette cloudoplossing, gecombineerd met een overzicht van identiteitsdata.

Ook al werk je thuis op de laptop van de zaak en was je nog niet eerder in beeld: ook dan wordt je opgenomen als onderdeel van het netwerk. Dat geldt ook voor devices en bijvoorbeeld firewalls en zelfs voor usb-sticks. En verschijnen deze op de radar, dan kan daar meteen beleid op worden toegepast.

Het stelt daarbij bijvoorbeeld de volgende vragen:

  • Welke devices zijn onderdeel van het netwerk?
  • Zijn er devices die niet zijn voorzien van de laatste beveiligingsupdates?
  • Staan alle instellingen van applicaties zodanig ingesteld dat ze geen risico vormen?
  • Worden er nu al bedreigingen vastgesteld die direct moeten worden bestreden?

Na installatie begint het netwerk met een schone lei en een duidelijk, uitgewerkt en fijnmazig IT Security policy. De opbrengst: maximaal inzicht en zonodig dus sneller een reactie.

Voorkom ‘Alert fatigue’ bij je IT-afdeling

Is actie benodigd of al uitgevoerd? Dan wordt dit weergegven in het gecombineerde overzicht in Cortex XDR Console. De melding, de remedie, de essentials en als je er niet om vraagt: dan ook niet meer dan dat. Bij de ontwikkeling van het systeem is extra aandacht besteed aan het voorkomen van onnodige meldingen en het samenvatten van gebeurtenissen. Die meldingen zullen ook afnemen in aantal om de simpele reden dat het platform er zelf voor zorgt dat er niets te melden valt.

Een aanval moet immers gewoon bestreden worden, en wel meteen. Wat valt er te melden? Aanpakken die boel! Dat zal Cortex XDR dan ook doen. Is de bedreiging onschadelijk gemaakt? Dan wordt dat gemeld. Pro-actief, zonder dat het hoeft te wachten tot er iemand meekijkt van IT.  

De IT-afdeling wordt niet meer vermoeid met onzinnige meldingen. Hierdoor bespaart het Cortex XDR op personeel. In aantal uren, maar ook in niveau. Cortex XDR toont meldingen zo dat iedere IT-medewerker met een beetje niveau de melding juist interpreteert.

Cortex XDR is daarmee niet alleen een tool. Het is een platform voor de detectie en neutralisatie van alle bedreigingen op je end-points. Een platform dat alle andere overbodig maakt. En het bedrijfsnetwerk maximaal inzichtelijk maakt voor de IT-afdeling.  

Palo Alto Cortex XDR Endpoint Protection

Kenmerken en eigenschappen
  • Bescherming tegen bedreigingen op basis van gedragsanalyse
  • Device control met USB device management
  • Netwerkanalyse op basis van Artificial Intelligence  
  • Host firewall
  • Doorlopend grondige netwerkinspectie tegen indringing
  • Disk-encryptie met BitLocker and FileVault
  • WildFire integratie voor cloud-based malware analyse
  • Kernel-bescherming
  • Ransomware bescherming module  
  • Preventie tegen diefstal persoonsgegevens  
  • Exploit bescherming op basis van technieken
  • Child process protection