Cortex XDR od Palo Alto Networks – dowiedz się więcej!

ASCOMP 13 stycznia 2022

Wstęp

Cyberwojna to rodzaj wojny bez końca, nowe zabezpieczenia nie działają już na schematach, stałych wektorach czy aktualizowanych bez końca bazach sygnatur. Atak, aby był skuteczny musi wykorzystać ścieżkę spersonalizowaną pod użytkownika oraz organizację, często w różny sposób wzbudzając jego zaufanie. Z pomocą przychodzi nam system, który będzie monitorował ruchy użytkownika w sposób dla niego transparentny, a jednocześnie uwzględniał szerokie widzenie całego naszego środowiska – CORTEX XDR od firmy Palo Alto Networks.

 

Coraz większa chmura…

 

Rozwiązania chmurowe bardzo rozwinęły się w ostatnim czasie, pandemia sprawiła że stały się one jeszcze bardziej pożądane, kontrolę zasobów przez specjalistów ułatwiły rozwiązania chmurowe. Dużo łatwiej zarządzać bezpieczeństwem, gdy programy na urządzeniach końcowych dostarczają informację do centralnego punktu niezależnie od sieci w której się znajdują. Łatwiej wykonać skanowanie oraz zaktualizować nowe zasady, gdy urządzenie może skomunikować się z serwerem w dowolnej porze. Praca zdalna, częstsze i bardziej rozległe wykorzystanie urządzeń mobilnych, stawia wyzwanie dostarczenia bezpieczeństwa na takie urządzenie bez względu na miejsce i sieć.

Cortex XDR działa w oparciu o chmurę Cortex Data Lake dostarczaną przez firmę PaloAlto Networks. Centralna konsola umożliwia zarządzanie środowiskiem oraz reagowanie w dowolnym momencie oraz z dowolnego miejsca. Cortex Data Lake to coś więcej niż konsola, chmura może analizować nie tylko dane z naszych końcówek, ale także urządzeń brzegowych. Większe spektrum widzenia dla tego rozwiązania pozwala na lepsze zrozumienie próby ataku oraz szybszą reakcję.

 

 

Po prostu ochrona…

Ochrona przed znanym zagrożeniem już nie wystarcza, Cortex XDR wykorzystuje kilka mechanizmów, aby ochronić użytkownika przed uruchomieniem się na jego urządzeniu złośliwego kodu. Opatentowana przez PaloAlto analityka behawioralna, daje możliwość zablokowania zagrożenia już na wczesnym etapie jego wdrożenia.

Ataki często sprofilowane są pod konkretnego użytkownika i jego zachowanie, tak samo działa również Cortex XDR wykorzystuje uczenie maszynowe do profilowania zachowania użytkownika
i wczesnego wykrycia anomalii. Cortex XDR nadzoruje każdy uruchamiany proces, wykonywany kod czy połączenie sieciowe, dzięki czemu atak może być zablokowany na różnym etapie jego wykonywania.

 

 

Żeby chronić trzeba mieć kontrolę…

Nie ma możliwości ochrony, jeśli nie mamy nad tym kontroli. Cortex XDR nie tylko nadzoruje ale daje możliwość konfiguracji i kontroli naszych urządzeń. Wbudowany w oprogramowanie Firewall umożliwia blokadę konkretnych połączeń, zbudowanie polityki na stacji końcowej oraz całkowite odizolowanie stacji w razie potrzeby. Kontrola urządzenia pozwala na sterowanie możliwością używania zewnętrznych mediów takich jak zewnętrzne dyski oraz pamięci, CD-ROM. Mamy możliwość skonfigurowania takich mediów tak, aby całkowicie je zablokować, dać możliwość tylko odczytu czy pozwolić na używanie w pełni tylko takich, które są przez nas autoryzowane. Sterować również możemy szyfrowaniem dysku, dzięki czemu zarządzać możemy mechanizmami BitLocker lub FileVault z jednego miejsca. Oprócz decyzji o samym szyfrowaniu, zależnie od mechanizmu wybrać możemy rodzaj szyfrowania jak i algorytm.

Kontrolować możemy możliwość wykonywania plików wykonywalnych, zarówno rodzaj pliku jak i miejsce z którego taki plik ma prawo się uruchomić co umożliwia  wskazanie bezpiecznego obszaru uruchamiania plików i zablokowanie dużego obszaru dla zagrożeń. Agent, który kontroluje tak duży obszar naszego zasobu musi również chronić sam siebie, liczne mechanizmy sprawiają że agent chroni się zarówno przez zagrożeniami, które będą chciały go wyłączyć lub usunąć, jak również przed nieautoryzowaną próbą wyłączenia przed samego użytkownika.

 

 

Żeby chronić trzeba wiedzieć…

Poprawna ochrona wymaga wiedzy na temat własnego środowiska, jak i zagrożeń, które mogą nas dotyczyć. Z pomocą przychodzą funkcje Host Inventory oraz Vulnerability Assessment.

Host Inventory pozwala na inwentaryzacje informacji ze stacji. W zależności od systemu mogą to być użytkownicy, grupy, podstawowe informacje systemowe, zainstalowane aplikacje czy informacje uzyskane dla konkretnego systemu takie jak demony czy zamontowane urządzenia dla Linux, MacOS  lub programy „autorun ” dla systemu Windows.

Taka podstawowa wiedza na temat urządzeń daje możliwość analizy, poprzez zgromadzenie w jednym miejscu podstawowych informacji.

Vulnerability Assessment to moduł, który pozwala na kontrole i obserwacje posiadanych w środowisku podatności, wiedza na temat podatności umożliwia nam pozbycia się luk, które również mogą być wykorzystane w środowisku, a także zbudowanie takich reguł, które będą wirtualnymi poprawkami zabezpieczającymi nasze podatności.

 

Automatyczna analityka oraz reakcja…

Cortex XDR zbierając wiedzę z różnych źródeł pozwala na wykonywanie automatycznej analityki incydentów w naszym środowisku. Reakcja na incydenty może być dzięki temu szybka i dziejąca się na wielu platformach, podsumowany incydent dostarcza nam informacje na temat urządzeń, użytkowników, plików oraz ich oceny pod względem bezpieczeństwa, procesów, połączeń. Konsola pozwala na zarządzanie incydentami, przypisanie go od odpowiedniej osoby, która otrzyma szereg informacji pozwalających na reakcję i rozwiązanie problemu, jak również wdrożenie zabezpieczeń które dodatkowo uszczelnia nasze środowisko.

 

Konsola pozwala nam również na różne akcje reakcji na zagrożenia, pliki możemy wrzucać do kwarantanny, dodawać do list plików blokowanych czy zezwolonych, odizolowanie hosta, uruchomienie skanu, pobranie jakiegoś pliku ze stacji. Konsola pozwala nam również na różne akcje reakcji na zagrożenia, odizolowanie hosta, uruchomienie skanu, pobranie jakiegoś pliku ze stacji. Pliki możemy wrzucać do kwarantanny, dodawać do list plików blokowanych czy zezwolonych. Ciekawą i wręcz nieograniczoną funkcją jest możliwość  uruchomienia skryptu na urządzeniu końcowym. Dostępna biblioteka umożliwia na szybkie wykonanie wielu podstawowych czynności takie jak edycja rejestru czy wykonanie komendy w powłoce „shell”. Skrypty można również tworzyć i dodawać samemu dzięki temu to narzędzie staje się wręcz nieograniczone.

Agent umożliwia nam również, połączenie się ze stacją w ramach zdalnego dostępu. To dodatkowa funkcja, która pozwala na operację, którą musimy wykonać ręcznie na stacji.

Analitykę ułatwiają również liczne dashboardy oraz możliwości raportowania. Tworzyć możemy raporty, które ułatwiają pracę zarówno administratorom jak i analitykom. Możemy je dostosować do naszego środowiska oraz spersonalizować do wykonywanej pracy.

Zachęcamy do wykonania testów rozwiązania w swoim środowisku. Chmurowe rozwiązanie umożliwia szybkie testy oraz wdrożenie, jest łatwiejsze w utrzymaniu oraz ułatwia decyzję czy jest to rozwiązanie dostoswane do Państwa

Michał Ciok – Ascomp

 

 

 

 

Jeśli zainteresował Państwa artykuł zapraszamy również do rejestracji na webinarium poświęcone właśnie rozwiązaniu Cortex XDR. Podczas bezpłatnego webinarium będą mieli Państwo okazję na to, aby zobaczyć na żywo jak sprawdza się dane rozwiązanie podczas panelu live demo.

ZAREJESTRUJ SIĘ NA WEBINARIUM!