L'apprentissage machine dans les firewalls de Palo Alto ajoute une protection pour l'IoT et les conteneurs
Grâce à l'apprentissage machine intégré au système d'exploitation de pare-feu PAN-OS de Palo Alto Networks, les pare-feux sont mieux armés pour défendre les dispositifs et les conteneurs IoT, qu'ils soient sur site ou dans le cloud.
En intégrant de l'apprentissage machine à son logiciel de pare-feu de nouvelle génération (NGFW), Palo Alto Networks promet d'améliorer la protection du trafic qui circule entre les entreprises, les clouds hybrides, les dispositifs IoT et les travailleurs distants. Le machine learning intégré à la dernière version du système d'exploitation de pare-feu de Palo Alto - PAN 10.0 - doit empêcher les attaques sans signature en temps réel et à identifier rapidement les nouveaux dispositifs - en particulier les produits IoT - grâce à une identification basée sur le comportement.
En plus des protections classiques des pare-feux, comme le filtrage dynamique des paquets, les logiciels de pare-feu de nouvelle génération sont désormais dotés de capacités avancées d'évaluation de la sécurité basées sur l'application, l'utilisateur et le contenu. « Les modalités d'attaques de sécurité évoluent en permanence et à un rythme rapide et les approches traditionnelles de la sécurité basées sur les signatures ne sont pas adaptées pour suivre les millions de nouveaux dispositifs qui exécutent des systèmes d'exploitation divers et variés, et les piles logicielles circulant sur le réseau », a déclaré Anand Oswal, vice-président senior et directeur général de Palo Alto. « En croissance exponentielle, les dispositifs IoT ont exacerbé le problème, car, du fait de la multitude des agents, des correctifs et des systèmes d'exploitation, il est impossible de définir des politiques de sécurité pouvant prendre en compte tous ces différents facteurs ».
Un firewall plus réactif
Selon M. Oswal, le ML intégré dans le NGFW s'appuie sur des modèles d'apprentissage machine en ligne pour identifier les variantes d'attaques connues ainsi que de nombreuses cybermenaces inconnues, et offre une protection en temps réel contre les malwares pouvant atteindre les 95%. « En collectant des informations télémétriques sur le réseau et en les combinant avec les données existantes de Palo Alto, le pare-feu peut tirer des leçons des comportements qu'il observe, reconnaître des tendances et recommander des politiques de sécurité appropriées », a encore déclaré Anand Oswal. En outre, la nouvelle version PAN 10.0 du système d'exploitation du pare-feu de Palo Alto comporte plus de 70 nouvelles fonctionnalités, notamment des capacités plus larges de déploiement du décryptage, de prévention des attaques DNS et de prise en charge de la couche TLS (Transportation Layer Security) 1.3.
Selon les experts, le ML est essentiel pour garder un avantage sur les menaces. « L'usage du machine learning devient très important quand d'énormes quantités de données sont collectées sur le réseau », a déclaré Sreeni Kancharla, vice-présidente et responsable de la sécurité des systèmes d'information (RSSI) de Cadence Design Systems, un éditeur de logiciels de conception-automatisation et de services d'ingénierie, au moment du lancement de Palo Alto PAN 10. « Il est important de raccourcir le temps de réponse aux menaces sans pour autant complexifier davantage l'environnement de sécurité », a déclaré Mme Kancharla.
Support de la sécurité IoT
Pour ce qui est de l'IoT, PAN 10.0 est compatible avec le service par abonnement de Palo Alto ciblant les systèmes IoT. « Les dispositifs IoT présentent des défis uniques pour les équipes de sécurité. Ils sont connectés au réseau central de l'entreprise, mais ils ne sont généralement pas gérés », a déclaré M. Oswal. « Généralement aussi, ces appareils ne sont pas réglementés, ils comportent des vulnérabilités inconnues ou non corrigées, et souvent, leur durée de vie utile dépasse la durée de vie pendant laquelle ils bénéficient d'un support ».
Anand Oswal a rappelé que d'après un récent rapport sur la sécurité de l'IoT publié par l'Unit 42, le département de recherche sur les menaces de Palo Alto, 57% des dispositifs IoT étaient vulnérables à des attaques de moyenne ou de haute gravité, et que 98% de tout le trafic des dispositifs IoT n'était pas crypté. Le service IoT est basé sur la technologie de découverte, d'identité et de sécurité IoT dans le cloud que Palo Alto rachetée l'an dernier à Zingbox pour 75 millions de dollars. « Nous avons amélioré la technologie de Zingbox avec la technologie App-ID de Palo Alto Networks qui identifie les applications transitant par les pare-feux, ce qui permet de découvrir automatiquement de nouveaux dispositifs IoT, d'évaluer les risques et de convertir les enseignements en politiques de sécurité de l'IoT », a encore déclaré M. Oswal.
Protéger Kubernetes
Le système d'exploitation PAN 10.0 s'attache également à protéger une autre technologie d'entreprise très en vogue : les conteneurs Kubernetes. Une version conteneurisée de NGFW, appelée CN Series, protège les ressources basées sur les conteneurs. Selon Palo Alto, la solution combine des technologies de protection des conteneurs acquises avec le rachat de Twistlock, avec des capacités de microsegmentation d'Aporeto. Les CN Series offrent une visibilité de Layer 7 sur le trafic des conteneurs et une protection contre la vulnérabilité du trafic entrant, est-ouest et sortant. En outre, le filtrage des URL peut être utilisé pour empêcher les applications clouds natives de se connecter à des sites web ou à des référentiels de code potentiellement malveillants.
Les CN Series peuvent fournir une protection NGFW quel que soit l'endroit où les applications sont hébergées. Dans le cas d'un datacenter sur site, la solution peut protéger Kubernetes ou Red Hat OpenShift. « Dans le cas d'un cloud public, la protection peut s'appliquer à Kubernetes et Red Hat OpenShift, mais aussi à Google Kubernetes Engine (GKE), Azure Kubernetes Service (AKS) et Amazon's Elastic Kubernetes Service (EKS) », a précisé Palo Alto. La version 10.0 de PAN-OS devrait être disponible à la mi-juillet. Elle peut être livrée sous forme de logiciel, d'appliance ou de service cloud. PAN-OS est également inclus à Prisma, la solution de sécurité globale de Palo Alto basée sur le cloud. Celle-ci effectue du contrôle d'accès, de la protection avancée contre les menaces, de la surveillance du comportement des utilisateurs et offre d'autres services axés sur la protection des applications et des ressources d'entreprise.