Live Blog: Palo Alto Networks SE Summit 2019

 

Blog door: Florian Buijs, Security Consultant SecureLink

Van 11 t/m 14 februari is Security Consultant Florian Buijs aanwezig tijdens het Palo Alto Networks SE Summit in Las Vegas. Hét event voor zowel de Palo Alto SE’s alsook voor de Diamond Partner SE’s van over heel de wereld. Tijdens het event worden algemene sessies bijgewoond, maar ook kleine sessies met praktijkgerichte voorbeelden en cases met meer verdieping in verschillende technologien. Florian is zowel Security Consultant als Trainer bij SecureLink, met specialisaties in onder andere Palo Alto Networks. Met alle nieuwe ontwikkelingen die er aan zitten te komen, zit hij direct bij de bron om zo de opgedane kennis verder te verspreiden binnen SecureLink en onze klanten.

Per dag zal hij een blog schrijven om ons op de hoogte te houden van alle interessante ontwikkelingen.

Na een lange reis met overstap in Washington D.C., zijn we weer aangekomen in Las Vegas voor de Palo Alto Networks SE Summit van 2019. Hét event voor zowel de Palo Alto SE’s alsook voor de Diamond Partner SE’s van over de hele wereld.

We hebben één dag om bij te komen van de lange reis en het enorme tijdsverschil (9 uur vroeger ten opzichte van Nederland), en natuurlijk moet ik dan even een rondje fietsen. Normaal is het zonnig, droog en aardig warm in Las Vegas rond deze tijd van het jaar, maar dit keer is het net even anders. Net zoals in het noordwesten, rond Chicago, is het weer hier ook van slag. Het is niet alleen kouder, maar er zijn ook wolken. In eerste instantie alleen in de hoge bergen rondom Las Vegas, maar dat verandert in de loop van de dag helaas.

Boven op Mount Charleston, waar ook een skigebied vlakbij ligt, sneeuwt het als ik aankom op de fiets. Het lijkt wel Nederland hier. Terug beneden blijkt de harde wind ook wolken over Las Vegas gebracht te hebben, en tegelijkertijd ook koude lucht. En jawel, het begint eerst te regenen en daarna zelfs te sneeuwen!

Na een goede nachtrust kunnen we beginnen met dag 1 van de SE Summit. Normaliter begint het pas in de middag rond 13:00, maar omdat we als SecureLink zowel ASC (Authorized Service Center) alsook ATC (Authorized Training Center) zijn, starten we al om 09:00 met de eerste meeting.

ATC: Ontwikkelingen op gebied van training

Tijdens de ATC sessie horen we de nieuwste ontwikkelingen op het gebied van training, natuurlijk over PAN-OS 9.0 en welke invloed dat heeft op de trainingskalender, maar ook over bijvoorbeeld de mogelijkheid om niet alleen een keuze te hebben voor hardcopy of ebook versies van het trainingsmateriaal, met een kleine extra bijdrage kunnen studenten beide bestellen. Dus bijvoorbeeld hardcopy voor tijdens de training, en ebook versie als naslagwerk.

De nieuwe certificering (die in BETA was) wordt nu officieel beschikbaar onder de naam PCNSA, waarbij men geen maanden hands-on ervaring nodig heeft (en Panorama kennis). Het ideale examen om te doen nadat men succesvol de PAN-EDU-210 training heeft gevolgd.

Wat betreft de examens, ook daarbij goed nieuws: men hoeft niet meer persé naar een Examen center van PearsonVUE. Net zoals we tegenwoordig thuiswerken heel normaal vinden is de certificering ook vanaf thuis/kantoor mogelijk door middel van OP (Online Proctoring).

Meer weten over de PAN-EDU trainingen? SecureLink is een PAN Authorized Training Center. Bekijk hier de trainingskalender.

ASC: Vernieuwingen op gebied van support

De volgende sessie is voor de ASC’s en behandelt alle vernieuwing op het gebied van support, zowel de tools die worden gebruikt alsook de processen die eronder hangen. Want ook Palo Alto TAC is gebaseerd op People, Process & Technology. Dit is het moment om vragen/opmerkingen kenbaar te maken, want nu zijn de Palo Alto medewerkers die voor support verantwoordelijk zijn allemaal aanwezig in onze meetingruimte. Veel nadruk op de analyse tools, want die zorgen ervoor dat veel problemen sneller gevonden kunnen worden (vooral wanneer het om configuratie fouten gaat). Alles bij elkaar een goede sessie, maar er blijven altijd een paar beperkingen voor de partners. We zien nog steeds niet dezelfde informatie als de interne TAC engineers. Vervelend, maar wel logisch. Het blijven security producten en daardoor is niet alles wenselijk om naar buiten te brengen.

Meteen hierna de sessie voor partners met als highlight natuurlijk de CYBERFORCE, het erkenningsprogramma van de Partner SE’s vanuit Palo Alto. Hierdoor wordt het makkelijker om te herkennen of een Partner SE voldoende kennis aan boord heeft om een klant goed te helpen. Meerdere SecureLink engineers hebben de CYBERFORCE status, zelfs op het hoogste niveau! En af en toe glipt er ook een Pre Sales Consultant/Trainer doorheen (ikzelf ben CYBERFORCE HERO, de op één na hoogste status). Onze collega Daniel Vollmer van SecureLink Duitsland heeft zelfs de hoogste status, CYBERFORCE GUARDIAN, en dat zelfs al voor het 2e jaar! Mijn collega Linus Raes uit Belgie (ook CYBERFORCE HERO) krijgt net als Daniel een trofee overhandigt. Helaas was die van mij nog niet klaar, die wordt nog opgestuurd.

Algemene sessie Palo Alto Networks

En dan de laatste sessie van maandag (dag 1), de General Session. Deze keer passen we maar met moeite in de grote zaal, zelfs de twee balkons zitten helemaal vol. En ja, wij als CYBERFORCE leden zitten helemaal vooraan dus dat komt wel mooi uit. De nieuwe CEO van Palo Alto Networks, Nikesh Arora, geeft een inspirende speech over de toekomst van cybersecurity met een duidelijke shift naar de cloud toe. Ook nieuw is Amit Singh (President) die pas 4 maanden bij Palo Alto Networks in dienst is. Hij legt uit welke waarde SE’s hebben voor het bedrijf, en welke waarde Partner SE’s hebben voor hun bedrijf. De SE’s zijn degenen die klanten kunnen helpen met hun security vraagstukken omdat zij van de hoed en de rand weten.

Daarvoor is wel veel kennis nodig en ook daaraan wordt hard gewerkt, zowel voor eigen SE’s als de Partner SE’s (zoals wij dus). Mede daarvoor is een nieuw video platform geïmplementeerd, op basis van Panopto (naam is toevallig). Hierbij worden videotrainingen ineens indexeerbaar en daardoor ook doorzoekbaar op keywords (ja, er zit dus ergens voice recognition welke dat mogelijk maakt). Zelf even getest, en inderdaad, net alsof je in een PDF zoekt, maar dan op basis van video!

Om klanten beter van dienst te zijn heeft men Best Practice en Reference Design documenten gemaakt, zowel voor de traditionele NGFW’s, maar ook voor cloud integratie en veel meer. De meest voorkomende vragen (‘Hoe installeer ik een PaloAlto VM in Azure?’) worden uitgebreid behandeld zodat klanten niet blind hoeven te gokken in hun aanpak, het al helemaal uitgezocht is, en op die manier kunnen worden ingeregeld zodat het goed werkt en veilig is.

Aan het einde van de dag (18:00) gaan we naar het diner en aansluitend nog naar het exclusieve CYBERFORCE event (in een geheime nachtclub locatie in het Cosmopolitan Hotel).

Het blijft toch lastig, 9 uur tijdsverschil. Vanmorgen al om 05:00 klaarwakker. Ach, dan maar even wat fysieke inspanning voordat de eerste sessie om 08:00 begint. Helaas is mijn idee daarvan alle trappen in het hotel oplopen naar boven (ongeveer 50 verdiepingen). Iets wat in de ogen van Amerikanen totaal onwenselijk en onmogelijk is. Trappen zijn er alleen voor noodgevallen, de lift is om van de ene verdieping naar de andere te gaan. Dan maar naar de gym: beetje roeien, eliptical en stairmaster.

PAN-OS 9.0

Na het ontbijt mogen we om 07:45 de grote zaal in, Chelsea, voor de algemene sessie omtrent onder andere PAN-OS 9.0! Omdat de publieke aankondiging de deur uit is gegaan tegen de tijd dat ik dit schrijf, mag ik nu eindelijk de nieuwe features vertellen (die we binnenkort in een webinar uitgebreid zullen behandelen):

Security Policy Optimizer, HTTP/2 inspection, HA Support in Azure(!),  DNS Security, MultiCategory URL, FQDn refresh en nog veel meer! En om tegemoet te komen aan de trend van nog meer snelle mobiele users (5G) zijn er nu 100Gbit linecards voor de PA-7000 NGFW.

Ook de recente overname van Redlock werpt al zijn vruchten af, er wordt druk gewerkt aan de integratie met de andere producten. Het officiële statement van onder andere Amazon AWS is “AWS is responsible for the security OF the Cloud, Customers have their choice of security configurations IN the Cloud.” Dus zomaar wat workloads/VM’s de cloud in slingeren en denken dat het veilig is? Nee, daarvoor moeten we aardig wat maatregelen treffen, want een S3 bucket is zomaar publiekelijk opengezet. En dat zijn nu de zaken die Redlock kan opsporen en assisteren in het oplossen van het probleem. Er worden nog wat meer tips van de sluier opgelicht, maar helaas valt dat nog onder embargo (maar wel heel cool wat er allemaal aan staat te komen).

De volgende 2 sessies gaan meer in op die embargo onderwerpen, dus helaas..

LAB sessies

Vanaf de middag gaan we achter de knoppen zitten (nadat we even een rondje gezwommen hebben, zwembad is van 09:00-17:00 open, dus de enige kans is tijdens de middagpauze). We hebben LAB sessies waarbij we eerst een Capture The Flag oefening doen onder leiding van Unit42, de research afdeling. Een combinatie van dingen weten, maar ook intuitie. “Wat zie je extra in dit plaatje van ‘fsociety’?” Hmm, niets speciaals, maar als ik het nu eens met een HEX viewer bekijk? Aha, er staat ASCII art in! Ook moeten we uit een Word en Excel file de Macro’s halen en achterhalen wat het ID is waardoor de hackers weten welke besmetting het is. Alles bij elkaar 20 vragen die punten opleveren, weinig voor de makkelijke, en veel voor de moeilijke. Na dik een uur staan wij, als tafel van 8 Nederlanders (met 1 Palo Alto Networks SE en de SE Manager) op de 2e plaats, met de op 1 na hoogste score van het hele event! Cool om eens te doen.

De volgende LAB sessie gaat over een nieuw product, en is er voornamelijk op ge-ent om ons hierin wegwijs te maken. Ook hier krijgen we zo’n 20 opdrachten, dit keer om ons te leren hoe we de juiste informatie boven water kunnen krijgen.

Dat is dan de laatste sessie van de dag, geestelijk zwaar vermoeid kunnen we nu even rusten alvorens we naar het diner gaan, maar gelukkig hoeven we ons niet te verkleden (wij vallen onder de EMEA groep), want de Amerikanen mogen (verplicht vrijwillig) zich kleden als hun favoriete nerd uit ‘Revenge of the Nerds’.

Na een korte nacht (00:30 gaan slapen, 06:00 klaarwakker) beginnen we aan dag 3 van de Palo Alto Networks SE Summit.

Public Cloud security

Vandaag beginnen we met een sessie over Public Cloud security, en dan meteen een deepdive met echte praktijkvoorbeelden. De kern van het verhaal: Als je het niet ziet, weet je het niet. Denk maar eens terug aan de data die Tesla verloren heeft, omdat zij een AWS S3 bucket (Amazon Simple Storage Service) open hadden staan voor het hele internet. Daaruit werden telemetry gegevens gestolen. Maar dat was niet alles, er werd ook Cryptomining software geïnstalleerd om de CPU cycles (op kosten van Tesla) te gebruiken.

Wat leert dit ons? Dat de move naar de Public Cloud niet zonder risico’s is. Zeker wanneer we DevOPS hun gang laten gaan die Scrum/Agile omgaan met het bouwen en ontwikkelen van een nieuwe functionaliteit. Op zich heel wenselijk (snel nieuwe apps), maar daarbij worden deze teams opgezadeld met zaken waar ze zich niet mee bezig willen houden: Security (want dat beperkt alleen maar).

De oplossing? Redlock, de nieuw acquisitie van Palo Alto Networks, waarmee meteen inzichtelijk wordt wie wat heeft ingesteld (met een compleet audit trail van de acties in de Public Cloud, AWS/Azure/GCP), en checks kunnen worden gedaan zoals public exposure van S3 buckets. En als klap op de vuurpijl, ook de remediation mogelijk wordt. Wat mij betreft een eye-opener zowel hoe onveilig het kan zijn in de Public Cloud maar ook hoe grote security spelers als Palo Alto Networks er op in springen om onze klanten te helpen met deze uitdagingen.

GlobalProtect Cloud Services

De volgende sessie gaat over GPCS: GlobalProtect Cloud Services, oftewel de mogelijkheid om met 1 client agent security te bieden voor devices die zich buitenhet kantoor bevinden, of zelfs een branch locatie kunnen aansluiten.

GPCS heeft op dit moment 14 lokale nodes over de hele wereld waarover het verkeer uitbreekt richting het internet, met daarbij dezelfde security rules als lokaal in gebruik zijn. Allemaal geregeld via de eigen Panorama server zodat de policies zelf gebouwd kunnen worden. Er is dus geen back-haul nodig van al het verkeer terug naar HQ (tenzij men daar een server/applicatie wil gebruiken). Maarja, met 14 locaties is de kans groot dat ik een Geo Block voor mijn kiezen krijg, dus dat gaat niet werken. Daarom wordt er druk gewerkt aan een uitbreiding van de locaties via het Google Cloud Platform (GCP), denk daarbij aan tientallen extra locaties over tientallen extra landen over de hele wereld. Zeg maar dag tegen die Geo Block!

Meer LAB’s

Na de lunch is het tijd om weer de LAB’s te doen, achter de knoppen zitten om zelf met de producten aan de slag te gaan. Het eerste LAB gaat over de Expedition tool die we gaan gebruiken om de rulebase te verrijken/tunen, dus alle ANY rules de deur uit en de echte applicaties uit de log halen en die automatisch om te zetten naar nieuwe rules. En jawel, die ook door pushen naar de NGFW (we kregen door het geobserveerde verkeer hierdoor 332 rules erbij, ter vervanging van 1 ANY rule).

Het volgende LAB is het bouwen van een CASB/DLP oplossing op basis van Palo Alto Networks producten, de NGFW en Aperture. Hier richten we onder andere een ClientLess VPN pagina in (voor O365) en maken we een redirect vanuit O365 zodat die snapt dat we ergens een externe ID Provider (IDP) hebben. Best lastig aangezien er aardig wat interactie in zit, maar het goede nieuws is, we hebben geen extra spullen van een andere fabrikant nodig.

Tussen deze LAB oefeningen ook nog even via KAHOOT een quiz met 11 vragen, waarbij ik alle vragen goed had, maar helaas niet snel genoeg was en dus op de 3e plek landde (van de 150 aanwezigen). Alweer niet de slimste.. We konden in deze combinatie ook meteen wat DLP instellingen uitproberen waardoor we letterlijk bepaalde bestanden uit OneDrive konden tegenhouden.

Palo Alto Networks kijkt vooruit

Dan weer naar de laatste sessies van de dag, voor alle aanwezigen. Hier komt Nir Zuk weer zijn visie vertellen over de toekomst van Security in het algemeen en hoe Palo Alto Networks daar op gaat anticiperen, met nog meer integratie tussen de producten.

Omdat we bijna op de eerste rij zitten, is te zien wat hij voor digitaal spiekbriefje heeft op de monitoren vooraan het podium: helemaal blanco! Alles komt gewoon uit zijn hoofd. Hij vergelijkt de samenwerking tussen mens en auto, eerst met cruisecontrol, toen met adaptive cruisecontrol, toen met lane-assist en nu met zelfrijdende auto’s, naar die van IT Security. Ook daar gaan we meer intelligentie aan de ‘machine’ uitbesteden zodat wij alleen nog de controle functie hoeven te doen. Geen geklungel meer met Splunk queries, maar intelligente SOC platformen die alles al gezien en uitgezocht hebben en ons de conclusie presenteren.

Hierna is het woord aan de mannen achter het SIRT (Security Incident Response Team) die uitleggen hoe zij aanvallen (campagnes) op het spoor komen om zodoende de beveiliging van de Palo Alto Networks producten te verbeteren. Fascinerend wat er aan forensics verricht worden om te achterhalen welke tools worden gebruikt en wie er achter de aanval zit. Het hoofd van het team is trouwens een voormalig forensisch expert van de FBI, iemand met aardig wat praktijkervaring.

Het laatste item van de dag zijn natuurlijk de statistieken van het afgelopen jaar (2018), met als grootste conclusies: cryptomining malware was sterk in opkomst, totdat de Bitcoin koers weer inzakte, en daardoor gingen de ransomware aanvallen weer omhoog. De meeste malware komt nog steeds via email binnen (plaats 1 = SMTP, 2 = POP3), en maar heel weinig malware zit verstopt in een PDF. URL filtering is een must, want daardoor worden procentueel de meeste besmettingen tegen gehouden (ook die uit email, want daar is het bijna altijd een URL die verwijst naar de malware server). Het verschuift van gedrag (geen adult/weapons/questionable) filtering naar veiligheid (malware/C&C), dus de ‘vrijheid blijheid’ cultuur van sommige klanten zal toch veel baat hebben bij URL filtering.

De dag zit er bijna op, want na deze laatste sessie gaan we op deze laatste avond weer golfen, vanaf een half open flatgebouw dat uitkijkt op een groot veld met ‘targets’. Ontzettend leuk, maar daardoor wordt het weer een late avond. En ja, morgen beginnen we weer om 08:00.

Gisteravond toch weer laat geworden, de blog moest nog even geschreven worden. Dat is toch wel lastig, want aardig wat onderwerpen van gisteren vielen ook weer onder een NDA (RoadMap informatie), daarover mag ik dus geen details onthullen. En ik moest nog even een bestelling ophalen bij een Amazon Pickup point (hartslagmeter strap, die van mij hing thuis nog aan de waslijn), wat dan wel weer laat zien hoever Amazon in de fysieke wereld de logistiek doorgeorganiseerd heeft, geen wonder dat ze in de Public Cloud met hun AWS ook zo voorop lopen qua features.

PAN-OS 9.0 tot in de details

Vanmorgen doorgeslapen tot 07:00, maar omdat de eerste sessie weer om 08:00 begon was het toch weer haasten. De eerste algemene sessie ging in op de details van PAN-OS 9.0. En dan met name over de Security Features (logisch voor een NGFW). Het had ook een verbetering van network features of logging kunnen zijn.

Terug naar die security features, de eerste die ter sprake komt is de DNS Security. Iets wat mij, als Infoblox expert na aan het hart ligt, wat die hebben hun ActiveTrust en Threat Insight producten om iets soortgelijks te doen. Wat is de vernieuwing bij PAN-OS 9.0 nu? Er is een cloud dienst gebouwd die DNS queries analyseert die door de NGFW gaan en na de analyse pas het antwoord doorstuurt. Een DNS proxy dus. Dit geheel wordt aangestuurd door het AntiSpyware Security Profile dat weer aan Security Rules

pan-se-summit

wordt gekoppeld. Om te voorkomen dat queries voor interne domain namen ook de cloud in gaan voor analyse, moet er wel even een EDL worden gebouwd met daarin die interne DNS domains, daarmee wordt dan een extra Security Rule gemaakt, die het DNS verkeer dan niet inspecteert.

In die cloud DNS dienst wordt dan niet alleen gecontroleerd op foute DNS namen (zoals we al kennen), maar ook meteen via Machine Learning geïnspecteerd op DNS tunneling en aanverwante narigheid. Klinkt goed allemaal, maar er is wel een catch: dit is een extra subscription (en de Threat Prevention subscription is ook nodig).

Dit is meteen een tipje van de sluier van ons aankomende webinar, dus voor nu blijft het even bij PAN-OS 9.0 features.

Hardware

Aan de hardware zijde is er maar (nou ja, wel iets meer dan) één nieuw product, of eigenlijk 3 nieuwe producten: Nieuwe Line Cards voor het PA-7000 chassis, NPC, SMC en LFC. De meest brandende vraag die we allemaal hadden, kun je mix & match van de oude en de nieuwe linecards? “Ja, maar dan haal je niet de maximale performance qua doorvoersnelheid/log rate/session ramp-up rate.”

Het allerbeste nieuws is nog wel dat de nieuwe linecards gewoon in het bestaande licentie/onderhouds schema vallen, oftewel het vervangen van linecards (20G) door de nieuwe linecards heeft alleen een CAPEX prijs, die van de linecard. Al het andere (subscription en onderhoud) verandert niet.

Het log mechanisme is trouwens wel verandert (en ook de naam van de linecard die dat regelt), de oude heette Log Processing Card (LPC) en had eigen storage, de nieuwe heet Log Forwarding Card (LFC) en kan alleen maar logs doorsturen.

LAB: troubleshooten van een Global Protect Cloud Service configuratie

Na deze algemene sessie gaan we voor het laatst een LAB oefening uitvoeren, dit keer het troubleshooten van een Global Protect Cloud Service configuratie. De setup is een combinatie van SD-WAN controllers, een central site (DC) en remote gebruikers.

pan-se-summit-2019De SE’s van Palo Alto Networks die dit gebouwd hebben met SD-WAN controllers van CloudGenix, hebben het daarna weer stuk gemaakt zodat wij konden gaan zoeken naar wat er mis was. Het programmeren van die koppeling, SD-WAN en GPCS, kon trouwens vanuit de GUI van CloudGenix gebeuren.

Onder water is die koppeling gewoon op basis van IPSCE, dus als men thuis is in VPN troubleshooting, dan is het probleem snel gevonden (verkeerde fase-1 encryptie algoritme, en tunnel monitoring verkeerde destination IP ingesteld).

In deze setup wordt via SD-WAN het verkeer afgehandeld richting het datacenter, en al het andere verkeer via GPCS doorgestuurd naar de dichtstbijzijnde NGFW waar het naar buiten kan/mag (afhankelijk welke policies men in Panorama heeft ingesteld).

Waarom op deze manier? Omdat SD-WAN heel goed is in kostenbesparing (dag dure MPLS lijnen), maar niet zo goed is in security, wat weer prima kan met GPCS. Een hybride setup die alles bied wat men wenst: kostenbesparing en overal dezelfde security.

Ook hier wordt trouwens KAHOOT gebruikt om te testen of we het goed begrijpen, maar het is goed te merken dat de presentators/moderators van deze sessie aan het einde van hun krachten zijn (dit is de 12e groep die ze hetzelfde LAB laten doen), dus de KAHOOT loopt een beetje in de soep.

Dat was meteen de laatste sessie van de dag en we haasten ons naar de examen zalen, vanochtend is ons beloofd dat er extra ruimte zou zijn om alsnog vandaag examens te kunnen afleggen. Helaas zijn we al te laat, de examens zijn volgeboekt en we passen er niet meer bij.

Wat ik nog vergeten was te melden, binnen het CYBERFORCE programma van Palo Alto Networks (waarbij de SE’s van partners punten behalen op basis van certificering en klant ondersteuning met technische kennis, etc.) hebben we als SecureLink maar liefst drie personen die de HERO status hebben gehaald, Linus Raes (SecureLink Belgie), Daniel Vollmer (SecureLink Duitsland) en mijzelf (SecureLink Nederland).pan-cyberforce

Dit is mijn laatste blog over de Palo Alto SE Summit van 2019, morgen gaat de lange reis naar huis weer beginnen (geen directe vlucht van Las Vegas naar Amsterdam). De eerstvolgende keer dat jullie me horen, zal zijn op het webinar van 28 februari om 11:00.

Nog niet ingeschreven daarvoor ? Klik dan op de onderstaande button. Tot dan!

Aanmelden webinar

PAN-SE-SUMMIT

2019-03-05T16:30:25+01:00februari 12th, 2019|Frontpage Focus, Insights & Trending|0 Reacties