Demisto is Palo Alto Networks’ automation- en orkestratie-troef

Abonneer je gratis op Techzine!

Palo Alto Networks heeft de afgelopen tijd flink wat miljoenenovernames afgerond, om een breed portfolio op te bouwen voor een variëteit aan netwerk- en security-taken. De grootste acquisitie (560 miljoen dollar), en daarmee ook één van de belangrijkste, is die van Demisto. Deze partij is gespecialiseerd in SOAR-platforms en kan security-professionals een stuk orkestratie en automatisering bieden. Om hier wat meer zicht op te krijgen gingen we in gesprek met één van de oprichters van Demisto, Dan Sarel.

Demisto bestond net geen vier jaar toen Palo Alto Networks de overname wereldkundig maakte. De oprichters van Demisto zagen aanvankelijk een gat op de markt door een aantal problemen vast te stellen waar security-professionals tegenaan lopen. Ze bouwden een SOAR (Security Orchestration, Automation and Response)-platform dat inspeelde op die problematiek, waarna de startup uitgroeiden tot een interessante target voor Palo Alto Networks.

Sarel zegt hierover dat momenteel nog lang niet elk probleem is opgelost. Hij ziet dat er bij security operation centres (SOC’s), het centrale punt dat de reactie op security-incidenten coördineert, zo’n drie grote problemen spelen. Zo zijn security-producten als firewalls en antiviruspakketten goed in hun werk, maar koppelen ze niet voldoende informatie terug aan SOC’s om er wat nuttigs mee te doen. De oplossingen spreken hun eigen ‘taal’, wat informatie-uitwisseling en daarmee één consistente verdedigingslinie lastig maakt. Ten tweede ziet Demisto dat het beheren en coördineren van security-incidenten bij SOC’s niet altijd goed en volgens moderne standaarden verloopt. Sommige SOC’s zouden er voor kiezen om Excel-sheets te gebruiken voor het beheer, Excel is daar in beginsel niet voor bedoeld. Daarnaast praten de security-professionals binnen het SOC niet veel met elkaar, volgens Sarel is dit een algemene menselijke eigenschap. De meeste werknemers doen gewoon hun eigen ding zonder heel veel te communiceren.

Keuze voor een SOAR-platform

Om deze centrale sturing te regelen, gebruiken SOC’s doorgaans SIEM-oplossingen. Deze zijn al wat langer op de markt en kunnen wat problematiek die Demisto signaleert adresseren. Denk hierbij aan het verzamelen van data uit onder meer firewalls en Unified Endpoint Management (UEM)-oplossingen om er analyses op uit te voeren en de verdedigingslinie samenhangend te maken. Idealiter gebruiken SOC’s echter zowel een SIEM- als een SOAR-product. Met een SOAR-platform is het bijvoorbeeld makkelijker om op security-incidenten te reageren.

Doordat de meeste SOAR-platformen wat nieuwer zijn, worden ze ook vanuit de cloud aangeboden. Demisto heeft er dan ook voor gekozen om een on premise-uitvoering en versie die draait in de AWS-cloud aan te bieden. De gehoste versie lijkt in de meeste gevallen de modernste uitvoering. SOC’s hebben dan geen zorgen over de juiste hoeveelheid compute resources en hoeven niet bezig te zijn met het onderhoud van on premise-apparatuur. Het is mogelijk om een cloud-regio te kiezen, zodat ze tegen minder latency aanlopen en eventueel kunnen voldoen aan lokale compliance-richtlijnen.

Orkestratie, automation, onderzoek en beheer

De primaire taak van het Demisto-platform is security orkestratie, oftewel het verzamelen van security-alerts uit zoveel mogelijk bronnen. Hiervoor heeft Demisto integraties gebouwd met verschillende producten, om ze met elkaar te verbinden. Volgens Sarel is het platform hier heel goed in vanwege de honderden integraties en het onafhankelijke karakter. Integraties met Palo Alto Networks-producten zijn mogelijk, maar bijvoorbeeld ook met meer dan 350 concurrenten van hen, zoals Check Point en Fortinet. Deze orkestratiestap gaat ook wat verder dan alleen security-producten koppelen aan Demisto. Zo zijn er ook integraties gebouwd om bepaalde beheer-taken te regelen voor bijvoorbeeld Salesforce, Slack en Jira. Alle relevante oplossingen worden dus met elkaar verbonden, zodat er voor de SOC-medewerker een overzicht ontstaat en hij eventueel op situaties in kan spelen.

Door de technologieën samen te brengen, kunnen ook bepaalde processen geautomatiseerd worden met workflows. Dit geldt met name voor de wat eenvoudigere security alerts die er vanuit de georkestreerde oplossingen binnen komen. Demisto biedt hiervoor een visuele playbook editor. Via een drag-and-drop interface kunnen security-professionals acties inregelen die plaats moeten vinden binnen de verschillende producten. Er worden zo vooraf instructies gegeven over hoe het SOAR-platform automatisch kan reageren op het incident. Bij zo’n geautomatiseerde reactie kan je denken aan een systeem dat malware bevat in quarantaine plaatsen. Als de playbooks er niet uitkomen, dan wordt het incident alsnog doorgezet naar de security-professional. Bij de meer complexere alerts zal dit zeker nog zo zijn, maar de playbooks hebben wel de intentie om veel zaken te automatiseren. Dit is alleen mogelijk door met zoveel mogelijk producten te integreren en veel acties voor de playbooks te bouwen, iets waar Demisto dus veel aandacht aan besteedt.

Als een security-alert alsnog doorgezet wordt naar de security-professional om het incident verder te onderzoeken, dan wil het SOAR-platform zoveel mogelijk de samenwerking tijdens het onderzoek bevorderen. Demisto gebruikt hiervoor de term ChatOps. Deze term wijst op het samenbrengen van security-professionals, security-tools, chatbots en de workflows in één chatvenster. De security-professionals kunnen zo met elkaar afstemmen wie wat doet en informatie over het incident inzien, terwijl er een chatbot ingeschakeld wordt om met nieuwe inzichten te komen.

Tot slot is er ook nog een rol weggelegd voor het beheren van incidenten. Het SOAR-platform zet hier bijvoorbeeld een doorzoekbare database voor in om de gebruiker gedetailleerde inzichten in incidenten te leveren. Ook laten tijdlijnen zien hoe bepaalde aanvallen verlopen en zijn er rapporten over de aanvallen op te vragen.

Moederbedrijf neemt dochter verder op

Recent koos men ervoor om het Demisto-platform te rebranden, waardoor het platform door het leven gaat als Cortex XSOAR. Deze stap komt van Palo Alto Networks af. Cortex is namelijk de merknaam van Palo Alto Networks waarmee het zich richt op het detecteren en onderzoeken van incidenten, alsmede automation en response. Naast SOAR-mogelijkheden valt hier ook een Detection and Response-platform voor threats op endpoints, in netwerken en in de cloud onder.

Hoewel Demisto nu dieper in het Palo Alto Networks-portfolio opgenomen wordt, hoeft het volgens Sarel niet te betekenen dat iedere klant ook daadwerkelijk meer andere Palo Alto Networks-producten gaat gebruiken. Verschillende Demisto-klanten gebruiken nu zelfs helemaal geen Palo Alto Networks-producten. Uiteindelijk is Demisto groot geworden door zijn onafhankelijk karakter, daar moet je niet zomaar verandering in brengen. Het streven blijft om zoveel mogelijk threat intelligence uit allerlei oplossingen samen te brengen.

Dat maakt de stap van Palo Alto Networks echter niet onbegrijpelijk. Bij het moederbedrijf gaat er momenteel veel aandacht uit naar het bouwen van een framework dat verschillende technologieën gebruikt. Zoveel mogelijk netwerk- en security-oplossingen moeten samenkomen, van firewalls tot SD-WAN, zodat er een einde komt aan het gebruiken van tientallen tot honderden producten van verschillende merken die niet goed samenwerken. Tot op zekere hoogte heeft Palo Alto Networks dan ook de ambitie om het centrale punt voor bedrijfsnetwerken te worden.

De match van Demisto met Palo Alto Networks is wat dat betreft logisch. Palo Alto Networks beschikte voor de overname nog niet over een goed SOAR-platform. Door de Demisto-oplossing nu om te dopen tot Cortex XSOAR, kunnen SOC’s nu ook bij de security-gigant terecht voor een stuk orkestratie en automation. Palo Alto Networks groeit zo nog meer uit tot een brede security-leverancier.

Tip: Palo Alto Networks wil het centrale punt voor bedrijfsnetwerken worden