Palo Alto Networks opent de deur voor monitoring van thuisnetwerken

Abonneer je gratis op Techzine!

Palo Alto Networks lanceert ASM for Remote Workers, een gebruiksklare API-integratie van Cortex XDR en Cortex Xpanse. De introductie maakt het mogelijk om de thuisnetwerken van medewerkers op basis van endpoints te monitoren.

ASM (Attack Surface Management) for Remote Workers is geen losstaande tool, maar een overbrugging tussen twee van Palo Alto Networks bestaande security-oplossingen: Cortex XDR en Cortex Xpanse.

Om de meldenswaardigheid van ASM for Remote Workers te begrijpen, is een begrip van de bouwstenen van belang. We vangen aan met een blik op Cortex XDR en Cortex Xpanse, beginnend met het laatstgenoemde.

Xpanse voor outside-in

Cortex Xpanse maakt het mogelijk om alle internet facing assets in de omgeving van een organisatie te monitoren. Dit vertaalt naar een feitelijk overzicht van welke gegevens, applicaties en apparaten wel of niet van buiten de bedrijfsomgeving inzichtelijk of benaderbaar zijn.

De oplossing gebruikt dit overzicht om te scannen op veiligheidsdreigingen. Remote Access Service, onbeveiligde diensten voor het delen van bestanden, verouderde systemen en kwetsbare IT admin system portals zijn risicogebieden waarin Cortex Xpanse regelmatig dreigingen vindt en verhelpt.

XDR voor inside-out

De naam geeft het weg: Cortex XDR, kort voor extended detection and response, is Palo Alto Networks’ antwoord op de vraag naar endpoint security. Volgens de organisatie stopt XDR geavanceerde fileless malware-aanvallen met een uitgebreide endpoint security stack. Via machine learning profileert de oplossing het gedrag van actuele aanvallers en aanvalssoorten om potentiële risico’s aan te wijzen en volledig inzichtelijk te maken voor de securityverantwoordelijken van een organisatie.

Verschillende oplossingen, samenhangend nut

XDR analyseert gegevens en endpoints vanuit de binnenkant van de omgeving. De oplossing presteert optimaal wanneer het met de allergevoeligste apparaat- en netwerkgegevens wordt gevoerd. Zolang XDR foutloos is geconfigureerd om relevante informatie in ogenschouw te nemen en het zicht op endpoints behoudt, is de oplossing in staat om gedetailleerdere informatie waar te nemen dan het eerdergenoemde Xpanse. ‘Zolang’ is het toverwoord. Enerzijds laat de foutloosheid en volledigheid van security-configuraties regelmatig te wensen over. Anderzijds zijn endpoints steeds vaker geneigd om zich tussen verschillende netwerken te bewegen.

Stel dat een organisatie uitsluitend op XDR leunt voor de beveiliging van endpoints. Vanaf het moment dat de gemonitorde endpoint zich buiten de bedrijfsomgeving bevindt, bijvoorbeeld omdat een medewerker in een café of vanuit huis werkt, verliest de waakhond het apparaat uit het oog. XDR kan plotseling veel minder zeggen over de veiligheid waarin het apparaat in het inmiddels onbekende netwerk functioneert.

Tip: Hoe beveilig je de thuiswerkplek?

ASM for Remote Workers

De introductie van ASM for Remote Workers verhelpt het probleem. Het begrip staat voor een klaargemaakte API-integratie van Xpanse en XDR. Met gebruik van de integratie wordt het mogelijk om Xpanse los te laten op de externe omgevingen waarin met XDR-gemonitorde endpoints zich bevinden.

De integratie wordt gedeeltelijk ondersteund door een nieuwe functie in de release van Cortex XDR v3.0. XDR is sinds de release in staat om gegevens over endpoints buiten een bedrijfsomgeving met Xpanse te delen. Twee voorwaarden moeten daarvoor worden geschept: de endpoint moet in de afgelopen 48 uur minstens een keer door XDR in de bedrijfsomgeving aangetroffen zijn, en het IP adres moet openbaar zijn.

In de praktijk

Palo Alto Networks meldt dat het nu beschikbare ASM for Remote Workers reeds door een grote, Amerikaanse financiële dienstverlener is ingezet om de thuisnetwerken van hybride medewerkers te monitoren.

Hoewel de duur van de monitoringperiode niet wordt meegegeven, stelt Palo Alto Networks dat ASM for Remote Workers slaagde in het vinden van 56 open RDP (Remote Desktop Protocol) servers, 171 onversleutelde Telnet servers en meer dan 1.000 onversleutelde loginpagina’s.

Aantallen zijn, rekening houdend met de ontbrekende duur en precieze organisatiegrootte, niet zo relevant. Gevonden kwetsbaarheden bieden daarentegen een referentie van de risicosoorten die ASM for Remote Workers in thuisnetwerken openbaart.

Tip: Ransomware – hoe gevaarlijk is het en wat kan je ertegen doen?