Visepresident Lee Klarich i brannmurspesialisten Palo Alto Networks var nylig i Oslo, der digi.no fikk anledning til en prat, både om selskapets siste rapport om applikasjoner og trusler – se artikkelen – SQL er farligere enn Facebook – og mer generelt om brannmurer og sikkerhet i en tid da ansatte i stadig større grad står fritt til å velge hvorvidt en gitt oppgave skal løses på pc, brett eller mobil.
I sine to siste rapporter om brannmurer for bedrifter – Magic Quadrant for Enterprise Network Firewalls – fra henholdsvis desember 2011 og februar 2013, anfører analyseselskapet to forholdsvis suverene ledere, Check Point og Palo Alto Networks. I den ferskeste betraktes Fortinet, Cisco og Juniper som «utfordrere», mens McAfee, Dell, Sophos, Huawei og HP har status som «nisjeaktører».
Gartner roser Palo Alto for både avansert teknologi og høy kundetilfredshet. Brannmuren har integrert snokvern (IPS, «intrusion prevention system») og applikasjonsgjenkjenning («App-ID»).
– Vi har alltid lagt to prinsipper til grunn for vår tilnærming til IT-sikkerhet, forklarer Klarich. – Det ene er at sikkerhet først og fremst dreier seg om å verne applikasjoner. Det andre er at man ikke skal stole på en bruker bare fordi vedkommende befinner seg innenfor brannmuren.
Det første prinsippet gjelder også eksterne applikasjoner.
– Sikkerhetsbevisste organisasjoner har tidligere reagert overfor applikasjoner som Twitter, Facebook, Gmail og Dropbox ved å blokkere tilgang til dem. Vår tilnærming er å gjøre det trygt å bruke dem. Trygg tilgjengeliggjøring innebærer mer enn bare å hindre en applikasjon fra å formidle skadevare. Vi kan også håndheve tilgangsregler og eventuelt sperre for deler av funksjonene i en applikasjon.
Palo Alto arbeider i dag med å utvide denne evnen til nettskyen og til applikasjoner som kjører brett og mobiltelefoner.
– Det er i dag to ulike tilnærminger til sikring av mobiltelefoner og brett. Vi mener det er mest hensiktsmessig å videreføre fokuset på selve applikasjonene, og sikre dem uavhengig av om de brukes privat eller profesjonelt. En annen tilnærming går ut på å skille mellom det private og det profesjonelle. Her kjøres bedriftens tillatte applikasjoner i en egen kontainer, uten mulighet for kontakt med applikasjoner til privat bruk.
For et par år siden lanserte Palo Alto en løsning kalt «GlobalProtect». Hensikten er å sørge for at bedriften kan håndheve sin sikkerhetspolitikk også når bærbare pc-er brukes i eksterne nettverk. Løsningen består av en lokalt installert agent som finner den nærmeste av bedriftens gangbroer («gateway»), etablerer en VPN-forbindelse og legitimerer brukeren overfor bedriftsnettet, uten å kreve pålogging utover det som trengs for å sette i gang pc-en.
– Poenget her er å tilby nettverksbasert sikkerhetshåndheving. Vi arbeider nå med å utvide GlobalProtect til mobil og brett, slik at vi kan behandle dem på samme måte som bærbare pc-er. Dette er i tråd med den aktuelle trenden der skillet mellom pc og brett, og mellom brett og mobil, hviskes ut. Fordelen framfor å segmentere mellom privat og jobb er at man får en helhetlig løsning, og unngår å oppleve mangel på tilgang til hensiktsmessige applikasjoner.
Mens Klarich advarer mot å dele brukernes brett og mobiltelefoner mellom jobb og privat, anbefaler han segmentering for å øke sikkerheten i selve nettverket.
– Jeg kan gi to eksempler på hensiktsmessig segmentering. Det ene er segmentering per bruker. Det er ikke nødvendig å gi alle brukere tilgang til alt. Regelen må være å gi tilgang til data, dokumenter og applikasjoner ut fra det man trenger for å gjøre jobben sin. Det andre er segmentering i nettverket, enten fysisk eller virtuelt. Det er ikke nødvendig å sause sammen all trafikk. Det gjør det bare enklere for angripere.
Regelen om ikke å stole på en bruker bare fordi vedkommende er innenfor nettverket, gjenspeiler hvordan de mest ødeleggende angrepene skjer i dag.
– Før var det typisk å rette angrep direkte mot datasenteret. Nå går kriminelle veien om brukere. Folk lures til å klikke på ting, og får installert skadevare som så gir uvedkommende adgang innenfra. Derfor må håndheving av tilgang til applikasjoner suppleres med overvåking av den lokale trafikken.
Den virkelige faren med Facebook er ikke muligheten for uvedkommende til å lure inn skadevare. Den er at utenforstående gis anledning til å samle personlige profiler av ansatte, og finne ut hvem som er mest tilbøyelig til å lures til å klikke på et tilpasset svindelopplegg.
– Analysene vare viser at truslene med størst skadepotensial tenderer til å gjemme seg i visse typer nettverkstrafikk. De er vanskelige å oppdage gjennom tradisjonelle metoder. Vi arbeider stadig for å bedre våre muligheter til å avdekke skadelig trafikk. Vi har samtidig utviklet teknologi for å kjøre mistenkelig kode i virtuelle sandkasser i nettskyen. Hver dag oppdager 500 nye stykker nulldags skadevare. Vi tilbyr analyse og vern innen én time.
Selv med det beste vernet, vil noen angrep lykkes. Klarich forteller at Palo Alto har inngått et partnerskap med Mandiant, som nylig gjorde seg internasjonalt bemerket gjennom sin analyse av militær hacking i Kina.
– I partnerskapet fokuserer Mandiant på det som må gjøres etter et angrep, som å finne fram til hva slags informasjon som ble kopiert, hvordan angrepet skjedde, og så videre.
