PAN SE Summit 2018

 

Blog door: Florian Buijs, Security Consultant SecureLink

Palo Alto Networks SE Summit 2018Ook dit jaar is de Palo Alto Networks SE Summit weer in Las Vegas. Met daarbij een ongelofelijke hoeveelheid announcements plus hands-on labs. In eerste instantie bedoelt voor de System Engineers van Palo Alto Networks zelf, maar sinds enige tijd ook voor SE’s van de grote partners wereldwijd die daarvoor een uitnodiging op naam krijgen. Hier worden alle technische ins en outs besproken van de hele productlijn en zijn dé developers aanwezig.

De eerste dag begint eigenlijk pas aan het einde van de middag, maar niet als je, net zoals SecureLink, ook ATC (Authorized Training Center) en ASC (Authorized Service Center) bent. Wij zijn namelijk uitgenodigd om met het management van zowel ATC als ASC een round table discussie te hebben. Daarom schuif ik om 11:45 al aan voor de ATC-meeting en meteen daarna verder met de ASC meeting. Uit de meeting met het ATC wordt in ieder geval duidelijk dat er aardig wat vernieuwing aan komt voor de trainingen (uitbreiding op het bestaande programma) en daarnaast de nieuwe PAN-OS versie ‘Budapest’ also known as 8.1.

Ook de ASC-meeting is heel zinvol. Er worden nieuwe support tools gepresenteerd die het voor ons als ASC makkelijker maken om een ‘root cause’ analyse te doen aan de hand van door de klant aangeleverde technische supportfiles. Dit gaat onze gezamenlijke reactiesnelheid richting de klant een stuk verbeteren!

In de middag krijgen wij de eerste General Session te horen. Voornamelijk over hoe goed Palo Alto Networks het doet op dit moment, met alle uitbreidingen op het portfolio die recent zijn aangekondigd (Magnifier, cloud security enz.). Interessant, maar met een flink marketing- en salestintje. Uit de statistieken van de bezoekers van dit jaar blijkt dat er weer meer partners aanwezig zijn op het event, van over de hele wereld zoals een landkaart laat zien.

Omdat wij als SecureLink Nederland, buitengewoon presteren behoren wij tot het zogenaamde CyberForce en worden wij extra in het zonnetje gezet.

De tweede dag begint vroeg: om 08:00 uur start de eerste sessie. Één die heel spannend is, er komen namelijk nieuwe producten aan! Helaas mogen wij nog geen details delen, maar het past perfect in de ‘gaten’ van het huidige portfolio. Zodra dit wel mag, horen jullie het meteen van ons.

Daarna volgen twee technische sessie. De eerste over Traps en de vernieuwingen die binnenkort komen en de aankondiging van vorige maand: Magnifier. En Magnifier kan wel eens ‘the next big thing’ worden. Het helpt organisaties namelijk om alle data van hun Palo Alto Networks NGFW’s te laten aggregeren en te analyseren. Het doel? Geheel automatisch afwijkingen (‘anomalies’) ontdekken in alle logging die de NGFW’s genereren, ongeacht of ze in de verkeersstroom staan of alleen meeluisteren (TAP). Door middel van een real-life case wordt gedemonstreerd hoe 2470 incidenten per dag (meer dan 15.000 gedurende één week van deze analyse) worden teruggebracht tot ZES, ja u leest het goed ‘6’ ‘actionable events’! Dit is iets waarvan een securityafdeling blij wordt. Nu kunnen zij zich focussen op dat wat echt belangrijk is, in plaats van het doorspitten van die duizenden hits in de logs die mogelijk iets betekenen.

Hands-on-labs

In de middag krijgen wij ‘hands-on-labs’. Te beginnen met Root Cause Analysis waarbij wij een brute force attack (via SSH) opsporen en vervolgens zien dat de besmette DMZ machine probeert de malware te verspreiden. In combinatie met AutoFocus is precies te achterhalen wat de attack is, wanneer deze voor het eerst gedetecteerd is en nog belangrijker: dat onze NGFW hem allang kende en dus ook geblokkeerd heeft (met dank aan WildFire updates van 5 min). Hierna volgen nog twee labs: Aperture en Automation. Ook van die ‘hot topics’. In het Aperture Lab duiken wij dieper in de wereld van AWS (Amazon Web Services). En dat is maar goed ook, want werken in de cloud wordt ook wel bestempeld als ‘There Is No Cloud It’s Just Someone Else’s Computer’. Hoewel dat niet helemaal waar is, zit er wel een kern van waarheid in. AWS heeft een beperkte firewall (meer een packet filter) en al helemaal geen content scanning. Hier komt Aperture goed van pas, want daarmee kunnen wij precies zien wat er gebeurt in onze AWS omgeving en zelfs een AWS S3 Bucket scannen op malware. Het laatste lab van de dag gaat over Automation op basis van Ansible. We gaan onze Palo Alto VM in AWS programmeren via Ansible in plaats van met een muis in de GUI rond te klikken. Ideaal in een DevOps omgeving waar iedereen nu mee bezig is. Voor mij is het de eerste keer hands-on met Ansible, maar dankzij de uitgebreide lab guide is het goed te doen en ben ik helemaal enthousiast. Ook dit voelt weer als ‘the next big thing’ voor automation in een beveiligde (‘Zero Trust’) omgeving.

Ook vandaag begint de dag weer vroeg, om 08:00 start de eerste sessie. Deze gaat over het Application Framework. Dat is de achterliggende techniek die onder andere AutoFocus en Aperture mogelijk maakt en sinds kort ook de nieuwe tool Magnifier. Dit alles is gebaseerd op big data en de analyse daarvan. Daarom is dit alles alleen als cloud dienst beschikbaar. Want hoe kom je aan big data? Door zoveel mogelijk klanten hun data (geanonimiseerd) te laten uploaden zodat daar de analyse op kan plaatsvinden, door middel van zelflerende software (machine learning!).

Secure enterprise

De volgende sessie gaat over hoe een klant het Palo Alto Networks portfolio kan inzetten om hun ‘enterprise secure’ te maken. De combinatie van de NGFW’s, Traps en Aperture maakt dit mogelijk, zowel on-premise alsook in de cloud. De nieuwste variant van Aperture kan niet alleen ongewenst SaaS gebruik detecteren, maar ook blokkeren (afhankelijk van de SaaS aanbieder). De kracht zit hem in de combinatie van deze drie tools.

Hands-on-labs

Na al dat luisteren mogen wij zelf weer aan de slag met een Hands-On-Lab, en wel met de beta van de nieuwe Traps software. Wij mogen meehelpen de bugs eruit te strijken, maar dan op grote schaal (100+ man/vrouw tegelijkertijd). Het is een coole exercitie, want we gaan alle stappen doorlopen die nodig zijn voor een succesvolle uitrol. De enige bug die ik vind is een cosmetische, in sommige velden mag ik geen ‘-‘ en ‘_’ invullen… lekker belangrijk. Veel mag ik er nog niet over kwijt, maar reken er maar op dat deze release meer mensen gaat overtuigen dat hun traditionele AV de deur uit kan.

Omdat we een lange lunchpauze hebben (1,5 uur) besluit ik even het zwembad in te duiken, de hele dag op een stoel zitten is niet zo mijn ding. Daarna kom ik nog net op tijd binnen om de lunch mee te maken, meteen daarna gaan we het volgende Hands-On-Lab in: Credential Best Practice.

Hiervoor gaan wij gebruiken van de 2FA van DUO, niet te verwarren met onze DUO (van de studiefinanciering). We bouwen eerst een koppeling met de DUO-server en installeren de bijbehorende app op onze smartphone. Dan bouwen we een Authenticatie Policy zodat er, zodra we een website willen raadplegen vanaf onze test client, door de Palo Alto Networks NGFW worden onderschept (Captive Portal). Hier krijgen wij ineens een inlogscherm gepresenteerd en moeten we onze AD credentials opgeven en daarna de DUO push accepteren op de smartphone. Pas als dat alles oké is, kunnen we door naar de website.

De tweede opdracht van dit lab is het controleren op credential theft zoals die gebeurt tijdens phishing campagnes. Hiervoor hebben wij een hele verzameling aan VM’s tot onze beschikking, onder andere de tool Gophish. Dat is een Open-Source Phishing Framework. Eenvoudig en grafisch zeer mooi, met zelfs een API. Het is bizar dat dit soort tools bestaan, want voor kwaadwillende zonder al te veel kennis van zaken is dit perfect.

Gelukkig hebben we een Palo Alto Networks NGFW die wij gekoppeld hebben aan een ReadOnly Domain Controller. Hiermee kunnen wij via een zogenaamd Bloom filter een hash compare doen. Eenvoudig gezegd: wij kunnen zien of credentials matchen met datgene wat bij deze user in het AD hoort. Zo ja, dan kunnen we dit blokkeren. Ook dat testen we, door via Gophish en een tijdelijk Google-account een mail te laten versturen. En jawel hoor, dit wordt geblokkeerd met een block page van de NGFW! Phishing aanval afgeslagen dus.

Afsluiting dag 3

De laatste sessies van de dag zijn weer gezamenlijk, en beginnen met oprichter Nir Zuk, die zoals gewoonlijk weer een t-shirt en oude spijkerbroek aanheeft. Hij legt uit waarom er zoveel data nodig is, en dus alle nieuwe zaken zoals Magnifier alleen als cloud dienst draaien. Om machine learning uit te kunnen voeren is gewoon héél veel data nodig, alleen dan kan dit werken.

Vervolgens krijgen wij een uitleg over hoe cyberattacks precies worden uitgevoerd door een expert van Unit42. Van een specifieke groep attackers (Oilrig) heeft Unit42 zelfs een Playbook gemaakt. Er wordt ook zeer duidelijk uitgelegd dat er aardig wat tools door de attackers worden gebruikt die gebaseerd zijn op DNS tunneling, zowel voor data exfiltratie alsook voor het ophalen van payload. Gelukkig zijn de Threat updates van Palo Alto Networks daarop ingesteld en kan de firewall dit detecteren en blokkeren (c2 via DNS).

Als laatste krijgen wij nog wat statistieken te zien over de hoeveelheden threats die zijn gedetecteerd door Wildfire: 150.000-300.000 malicious files per dag! De bulk daarvan (98%-99%) is van het type PE, DLL en APK (PE staat bovenaan, APK staat bijna op nummer 2). Hieruit worden threat updates gedestilleerd die resulteren in dagelijkse updates met 25.000-30.000 signatures per dag. Een beetje vreemd, want dat is een factor 10-12 minder dan het aantal files per dag. Palo Alto Networks gebruikt geen eenvoudige hashes of filenames, maar hun eigen structuur (signatures), die zo goed werkt dat één signature tot wel 1.2 miljoen varianten kan vangen.

Na een gezellige avond met een beetje meppen tegen een klein balletje aan (volgens mij noemen ze het golf), start het programma ’s ochtends weer om 08:00 voor de laatste dag van de SE Summit 2018.

Deze eerste sessie gaat over nieuws die ik helaas nog niet mag delen (onder embargo), en over de volgende release van PAN-OS versie 8.1 die momenteel in beta draait, maar wel bijna af is. In die beta is al wel goed te zien dan er weer een flink aantal vernieuwingen in zitten. Veel daarvan is gerelateerd aan cloud/SaaS, maar er zitten ook een paar andere juweeltjes in waardoor beter zichtbaar wordt of security policies wel gebruikt worden. Het goede nieuws is dat wij zeer binnenkort de sluier mogen oplichten!

Dat de cloud steeds belangrijker wordt blijkt wel uit de volgende sessie, daarin wordt namelijk in detail uitgelegd wat de veranderende eisen zijn om er goed mee om te gaan. Bijvoorbeeld dat interne gebruikers wel Office365 mogen gebruiken, maar niet hun privé account. Er is ook een landingspagina gemaakt voor alle cloud initiatieven van Palo Alto Networks, waar Amazon AWS, Azure en ook Ansible & Terraform voorbeelden te vinden zijn. De verbeteringen zitten ook aan de private cloud zijde. Cisco ACI en OpenStack/Contrail support is helemaal up-to-date, en ook VMware NSX ondersteuning heeft weer een aantal verbeteringen (icm. NSX 6.3).

Hands-on-labs

Na al deze theorie krijgen we het laatste Hands On Lab voorgeschoteld: het Public Cloud Lab. Hier worden we aan de hand genomen in (naar keuze) Amazon AWS of Azure. Samen met mijn Deense collega kiezen wij voor Azure en gaan wij aan de slag om met behulp van vooraf geprepareerde templates een complete straat uit te rollen, internet access via routers, dan twee Palo Alto Networks VM’s parallel, dan de load balancer van Azure en vervolgens webservers.

Het doel hiervan is te laten zien dat de ‘standaard’ redundancy van Palo Alto Networks (HA paar in active/passive of active/active) niet werkt in de public cloud. Redundancy wordt geregeld door de tussenliggende Azure Load Balancer, die in de gaten houdt welke paden (lees PA-VM’s) er zijn, de sessies vastpinned op één van de PA-VM’s in de pool, en als er één PA-VM uitvalt er geen verkeer meer heen stuurt. In de cloud wordt dit horizontal-redundancy genoemd. Er zit maar een addertje onder het gras bij deze manier van redundancy: er is geen sessie synchronisatie zoals bij een HA paar. Ander fabrikanten bieden wel clustering aan, maar vergeten erbij te zeggen dat hoewel de sessie tabel wel wordt gesynced, het echt minuten kan duren voordat er weer verkeer wordt doorgelaten. Dat is wat mij betreft een slechtere oplossing dan de horizontal redundancy zoals de PA-VM’s op deze manier bieden. Omdat scaling in de cloud óók horizontaal werkt is dit een prima oplossing voor twee uitdagingen: groei en beschikbaarheid.

We hebben het lab in ongeveer 45 minuten doorgewerkt en bekijken de schade financieel gezien. Dat valt reuze mee! Onze 12 VM’s in Azure hebben ons nog geen 1 US$ gekost. Een prima manier om eens goed te testen met security in de public cloud.

Dit lab was het laatste onderdeel van de Palo Alto Networks SE Summit van 2018 voor iedereen. De meeste deelnemers gaan vanavond nog naar huis, maar ik niet, eerst nog even een rondje fietsen in de zon en dan morgenvroeg terug naar Nederland!

2018-03-01T09:15:56+00:0014 februari 2018|
SecureLink Netherlands