Palo Alto Networks is ooit begonnen met een van de eerste ‘next gen’ firewalls, maar timmert ondertussen al een tijdje aan de SASE-weg. Wat betekent dat voor België? We vroegen het aan de country manager.
Met een end-to-end SASE-systeem (Security Access Service Edge) sloeg Palo Alto Networks in 2019 resoluut de weg in richting grotere bedrijven en gespecialiseerde diensten. Dit jaar kwam daar nog een stevige focus bij op managed services, vooral gericht op enterprises.
Begin dit jaar was er die stap richting erg grote bedrijven. Wat is daar het plan?
RAF PEETERS (country director Belux Palo Alto Networks): We proberen voorop te lopen op de vraag die we van klanten gaan krijgen. En zij willen weten hoe ze een uniforme cybersecurity kunnen bouwen in een wereld waar zowel de applicaties als de gebruikers heel beweeglijk zijn. Hoe leg je daar een schil bovenop die zowel SaaS, private cloud als eigen ontwikkelde apps in het datacenter beschermt? Voor ons is werk geen locatie meer, maar een activiteit, en daar moet je een uniforme security over leggen.
Als industrie hebben we altijd een nieuwe oplossing gebouwd voor elk probleem dat er ontstond. Dat heeft het voor klanten niet simpel gemaakt. We zijn daar stuk mee verantwoordelijk voor, maar daar willen we mee stoppen. Daarom investeren we nu om een overkoepelend platform te kunnen bieden. Een van de grote problemen waar bedrijven mee te maken krijgen is een gebrek aan ‘human capital’: het vinden, opleiden en houden van mensen. Daarom moeten we onze oplossingen breder trekken. Onze inschatting is dat er volgend jaar zo’n 3.5 miljoen cyber security professionals te kort gaat zijn.
Vandaar meer oplossingen voor het automatiseren van SOC’s (Security Operations Centers, gecentraliseerd securitybeheer, nvdr.)?
PEETERS: Inderdaad. De machine moet zijn introductie kennen tot alles wat geautomatiseerd kan worden. Groot vraagstuk daarbij is hoe je zorgt dat agents niet een hele dag bezig zijn met duizenden alarmen te bekijken. Die moeten zich alleen bezighouden met risicovolle incidenten. Dus de uitdaging voor SOC’s is om te zorgen dat agents de incidenten voor zich krijgen die ze absoluut moeten bekijken. Om dat te doen moet je data uit verschillende bronnen vergaren en aan elkaar rijgen, en daar de inzichten uit presenteren aan de analist.
‘Als industrie hebben we altijd een nieuwe oplossing gebouwd voor elk probleem dat er ontstond. Dat heeft het voor klanten niet simpel gemaakt’
STEVEN DE PAUW(systems engineering manager Belux Palo Alto Networks): We willen de analisten vooral dingen laten doen waar human intelligence voor nodig is. Traditionele SOC’s krijgen vaak gelijkaardige taken: ze krijgen een waarschuwing van de endpoint security, waarna ze dan die pc moeten gaan opschonen of opnieuw installeren. Op den duur wordt dat saai, en die acties kunnen veel tijd in beslag nemen. Daar zit niet de waarde van die mensen. We kunnen verschillende platformen integreren om die repetitieve taken te automatiseren. Bij zo’n waarschuwing ga je dan bijvoorbeeld automatisch de geïnfecteerde gebruiker blokkeren in de active directory, op de firewall, misschien zelfs een boodschap sturen naar de manager zodat die op de hoogte is, noem maar op. Op die manier gaan de mensen in de SOC bezig zijn met de high risk alerts en zorg je ervoor dat er minder gemist wordt. Je kan daar nog veel verrijking aan toevoegen. Stel dat je een phishing incident ziet, dan kan je automatisch weergeven of je die malware ook in andere mailboxen tegenkomt. Zo geef je meer context waardoor de analist beter ziet wat er gebeurt. Dan gaat de responstijd veel kleiner zijn en zal er minder gemist worden.
Hoe ziet zo’n automatisering eruit?
DE PAUW. Dat is vooral combinatie van tools, zowel van onze tools als van andere bedrijven. Belangrijk hier is dat je goeie input nodig hebt. Dat is altijd met AI en machine learning, je moet beginnen met goede data. Onze software gaat veel verschillende data samenbrengen in een enkel incident. Denk dan bijvoorbeeld aan een bepaalde afwijking van het normale gedrag. Als er elke dag x aantal acties zijn op domeincontrollers, en we zien dat het er één keer veel meer zijn, dan geven we dat aan. Hoe meer we dat soort dingen zien, hoe beter de AI wordt in het herkennen van afwijkingen.
Ben je daarmee ook van de valse positieven af?
DE PAUW: Er zullen ook nog wel false positives zijn, maar het is een levend platform. Ook geautomatiseerde taken moeten nog worden aangepast om aan nieuwe aanvalsstrategieën het hoofd te bieden. Het is zeker geen oplossing die je installeert en dan vijf jaar met rust laat.
Palo Alto Networks maakt enterprise software. Wat betekent dat voor de Belgische organisatie? Wij zijn toch vooral een kmo-land.
PEETERS: We zijn een kmo-land maar we hebben aardig wat internationale klanten die hier hun hoofdkwartier hebben of decision power hebben. We zijn geen bedrijf met oplossingen voor de bakker of de beenhouwer. Zelfs niet voor de ondernemingen met twintig tot vijftig werknemers. We zetten echt in op segment mid size en large enterprise, in alle verticals. Maar ik denk dat de markt hier meer dan groot genoeg is voor de lokale vertegenwoordiging. We werken daarvoor samen met onze partners. Onze route-to-market is honderd procent indirect.
Je ziet ook bij jullie concurrenten dat er een focus komt op ofwel enterprise ofwel consumer security. Is er een specialisatiegolf in securityland?
DE PAUW: De thuisomgeving is heel nu anders dan een enterprise-omgeving. Je hebt daar geen admins, bijvoorbeeld. Ook de infrastructuur is beperkter, dus het is een heel andere uitdaging dan waar wij momenteel onze oplossingen voor maken. We hebben ook oplossingen voor endpoints, voor pc’s en servers, maar die gaan er wel van uit dat er af en toe iemand naar kijkt.
Wat zijn dan de grote dreigingen voor grotere bedrijven?
PEETERS: De ondernemingen waar wij tegen vechten zijn net dat: ondernemingen. Dat zijn SLA-based, business model driven bedrijven die diensten op de markt zetten om ransomware binnen te krijgen. Dat is niet meer de tiener met de hoodie. We zien die organisaties ook zelf automatisering gebruiken. Die zetten in op AI, op machine learning. Dat is ook de reden waarom we als verdedigende industrie gebruik moeten maken van die principes, om te zorgen dat we sneller dan een menselijke agent kunnen reageren. De laatste releases van onze firewall zijn daarom op AI-based. We vechten tegen een industrie. Dat verandert de dimensie wel.
Fout opgemerkt of meer nieuws? Meld het hier