Palo Alto Networks

Seguridad de Siguiente Generación

Jesus Arturo Cruz Ortiz Noviembre 2021

Systems Engineer – Palo Alto Networks
Cyber Kill Chain
Command Lateral Act on
Reconnaissance Weaponization Delivery Exploitation Installation and Control Movement Objective

Protección en el
Protección en la red dispositivo final Analítica & Threat Hunting

Cortex XDR Pro

Cortex XDR
Prisma Prevent
Access
(SASE)
CN-

Cortex XSOAR
Automatización

2 | © 2020 Palo Alto Networks, Inc. All rights reserved.

Una sola Plataforma para conectarlo todo

Data Public
Center Cloud Internet SaaS

Network Security Platform

Branch HQ Campus Partner Mobile IoT

✓ Consistent ✓ Integrated ✓ Best-in-class

3 | © 2020 Palo Alto Networks, Inc. All rights reserved.

Seguridad en la Red
Next Generation Firewall
NGFW Palo Alto Networks

Arquitectura Single-Pass
Parallel Process (SP3)
Contexto completo del flujo de tráfico

Control flexible: permitir, denegar o

permitir con condiciones
No se degrada al activar las
Prevención y performance
funcionalidades de seguridad

5 | © 2020 Palo Alto Networks, Inc. All rights reserved.

Performance y Throughput…
Ambos autos pueden funcionar, pero… ¿Cuál auto crees que sea más seguro de manejar?

• Los FW UTM suelen medir su capacidad con • Palo Alto Networks mide su capacidad con todos los
features de seguridad operando a modo básico o features de seguridad activos, operando al máximo nivel de
nulo. Ejm: protección.
o Antivirus encendido, pero sin heurística
o Antivirus para HTTP, pero no para HTTPS
o Sandboxing solo con validación de hash
o Sin Deep Inspection, solo orientado a mejorar el
performance pero sacrificando seguridad

6 | © 2020 Palo Alto Networks, Inc. All rights reserved.

Performance y Throughput…
¿Dónde un auto puede avanzar más rápido?

• Mediciones de Throughput en condiciones no reales • Mediciones de Throughput en condiciones

• Throughput medido en Megabits/segundo cercanas a la realidad
• Algunos le llaman Enterprise Mix, Tráfico Empresarial, • El tipo de tráfico de pruebas para medir el
Condiciones Ideales pero lo cierto es que no hay estándar Throughput y Sesiones del NG-Firewall Palo Alto
para ello Networks es lo más cercano al tráfico productivo

7 | © 2020 Palo Alto Networks, Inc. All rights reserved.

 Seguridad en Capas
Cómo Palo Alto Networks previene amenazas en la red

Políticas

Analizando lo desconocido

Antivirus
Visibilidad Control de Machine
Filtro Web Antispyware Sandbox
Completa Aplicaciones Learning
IPS
• Aplicaciones, no solo • Permitir aplicaciones • Bloquear sitios web • Bloquear virus, troyanos, • Análisis en tiempo real: • Procesamiento en
puertos “buenas” y bloquear maliciosos ransomware (malware), ✓ Malware 0-day nube:
• Usuarios, no solo las “malas”. • Habilitar perfiles de exploits, spyware ✓ Análisis dinámico
✓ Websites no
direcciones IP • Aprendizaje del navegación en • Identificar los equipos categorizados ✓ Bare Metal
• Tráfico cifrado tráfico a nivel de internet comprometidos (C&C) ✓ Anomalías en DNS ✓ Cobertura en
aplicación (capa 7) Windows, Linux,
• Detectar el tipo de MacOS y Android
dispositivo

8 | © 2020 Palo Alto Networks, Inc. All rights reserved.

Deep Inspection
Detectando amenazas en tráfico cifrado
Tendencias en TLS

85-95%
of internet traffic
today is encrypted

2016 2020

Tráfico cifrado es la Protocolos débiles Obtener un Rápida migración a

norma son obsoletos certificado es fácil HTTPS
70% of malware campaigns TLS 1.0 and TLS 1.1 can Services like Let’s Encrypt Major browsers mark
in 2020 will use encryption be deprecated anytime offer certificates for free non-HTTPs sites as
to conceal malicious and modern protocols (HTTP/2, (Let's Encrypt) "Not Secure"
activity (Gartner) TLS 1.3) gaining popularity

10 | © 2020 Palo Alto Networks, Inc. All rights reserved.

Caso de Uso 1: Descifrar para una adecuada seguridad

NO DECRYPTION DECRYPTION

Network
Network is secure
compromised

Los controles de seguridad no

#@&^@*!!&% tienen visibilidad completa y Hello World
por ende no pueden detener
#%$@*!#$ Malware
la amenazas eficazmente

El malware que viaje en tráfico cifrado elude los controles El malware que antes estaba oculto, ahora es visibile para los
de seguridad de red controles de red y serán efectivamente bloqueados

11 | © 2020 Palo Alto Networks, Inc. All rights reserved.

Descifrado de Tráfico Saliente y Entrante

SSL Forward Proxy (Outbound)

SSL Proxy

Internal User External Server

SSL Inbound Inspection

No Proxy

Internal Server External User

Habilita IPS con capacidades Deep Inspection

12 | © 2020 Palo Alto Networks, Inc. All rights reserved.

Una verdadera Deep Inspection

13 | © 2020 Palo Alto Networks, Inc. All rights reserved.

 User-ID
Seguridad basada en la identidad
Use Case 1: Saving Resources with Automatic Prevention

BEFORE AFTER
Ticket for potentially
malicious behavior

IP IP
IP VPN Logs

Domain/ Scenario 1: User User monitored for

IP lookups identified as malicious behavior
legitimate

Endpoint
IP Telemetry
Security
Analyst

Active
Directory

SIEM Scenario 2: User identified as

malicious and automatically
blocked by the firewall

IP
No tickets generated in both scenarios
a) Legit User b) Malicious User c) Unknown User

a) Time wasted
b) Time Consuming to identity and could have had significant damage by then Visibility with User-ID only produces alerts for malicious behavior and
c) Did not find the user, and the organization could be under attack automatically enforces security. SOC Analyst does not need to be involved.

15 | © 2021 Palo Alto Networks, Inc. All rights reserved.

 Multiple sources for IP-to-User Mapping

SERVER
MONITORING
AD, EXCHANGE, EDIRECTORY

SYSLOG
XML API LISTENING
NAC e.g ARUBA CLEARPASS Joe PROXY, VPN, WLAN CONTROLLER

PORT
USER AUTH MAPPING
CAPTIVE
GLOBALPROTECT TERMINAL SERVICES AGENT
PORTAL

CLIENT
PROBING
WINDOWS CLIENTS

IP to Source Mapping Sources:

Finance Risk & Security
We recommend using GlobalProtect and Captive - Direct integrations with NGFW
Group Posture
Portal. Refer Identity Customer Deck for more - Derived info from other sources
info
16 | © 2021 Palo Alto Networks, Inc. All rights reserved.
Consistent Security For All Users at All Locations

BEFORE

Source: Palo Alto Networks Firewall UI

AFTER

Source: Palo Alto Networks Firewall UI

17 | © 2021 Palo Alto Networks, Inc. All rights reserved.

 App-ID
Visibilidad en capa 7
 Las reglas basadas en puertos son una brecha de seguridad

Las aplicaciones pueden

bypasear políticas de
seguridad basadas en
puertos
▪ Hopping ports, e.g.,
sneaking across port
TCP/80
TCP/ ▪ Using non-standard
80
ports, e.g., Bittorrent
using port tcp/80
TCP/443 instead of its standard
tcp/6881-6889
TCP/5565
▪ Using TLS or SSL
UDP/1194 encrypted traffic
19 | © 2020 Palo Alto Networks, Inc. All
rights reserved.

19 | © 2020 Palo Alto Networks, Inc. All rights reserved.

Controlar Aplicaciones

20 | © 2020 Palo Alto Networks, Inc. All rights reserved.

Seguridad Web
Protegiendo el acceso a internet
Seguridad Web basada en Machine Learning en Línea

Advanced URL Filtering

Real-time verdict

URL
Request
Benign?

URL Filtering ML-Powered Web

NGFW Database Protection Engine Malicious?

Inline
Machine Learning Prevent Patient Zero

Analysis of real
Defeat Evasions
user web traffic

22 | © 2020 Palo Alto Networks, Inc. All rights reserved.

Detection Challenges Solved by Advanced URL Filtering

Deep Learning Models

Encoded String Malicious Pattern

Analysis Classifiers Unknown Attacks
Zero-day URLs not in any
database

Random
Domain Analysis String
Detection
Evasive Attacks
Hidden using various
cloaking techniques

Inline ML-Powered
Attack & Scan
Detection Web Protection Engine
Keyword
Detection
Targeted Attacks
New and uniquely crafted
for a small group of targets

DGA Detection TLD Analysis

Hostname Heuristics

23 | © 2020 Palo Alto Networks, Inc. All rights reserved.

Prevención de Amenazas
Identificando y bloqueando el contenido malicioso
Threat Prevention
What does it do?
• Unit 42
• WildFire Prevents known malware, vulnerability
• Telemetry ¿Qué hace?
• Passive DNS Threat Intelligence exploits, and C2 activity on the network
• Cyber Threat Alliance Previene:
• Malware conocido (Antimalware con heurística avanzada)
• Explotación de vulnerabilidades (IPS)
Protocol Decoders Threat • Actividad C&C en la red (Antispyware)
Differentiators
Anomaly Detection Database
• Single-pass Architecture - Performance
• Managed through firewall policy
Diferenciadores
• Performance
• Single-pass Architecture - Performance
Data Traffic
• Firmas basada en patrones, no en hashes
Single-pass Architecture • Inspección en HTTP, HTTP/2, FTP, SMB/CIFS, SMTP, POP3,
IMAP y sus respectivas versiones cifradas
• Challenges
Protocolos Addressed
soportados en IPv4 e IPv6
Threat Matches
• Vulnerability • C2 • Stop the growing volume of attacks
Prevent • Malware • Filetype Retos
• Anti-Virus • Data • Reduce alert fatigue
Known • Use the security you have
• Detener volumen creciente de ataques
Threats • Reducir la cantidad de alertas
Automated Policy Enforcement

25 | © 2020 Palo Alto Networks, Inc. All rights reserved.

¿Que tan rápido crece el malware?

Las firmas únicamente

protegen contra el
malware conocido y sus
variantes directas

26 | © 2020 Palo Alto Networks, Inc. All rights reserved.

Machine Learning Supervisado – Clasificación

▪ Labeled data: datos etiquetados

para entrenar el algoritmo (ejm.
base de datos de threat
intelligence)
▪ Categories: tipos de datos que
queremos identificar (ejm: virus,
troyano, benigno), cada tipo de
datos tiene determinados atributos
▪ Model Training: modelo(s)
estadístico(s) elegidos para
entrenar el algoritmo.
▪ Model Trained: algoritmo ML
entrenado
▪ Test Data: datos desconocidos que
serán analizados por el algoritmo
de ML

27 | © 2020 Palo Alto Networks, Inc. All rights reserved.

¿Machine Learning?
Veámoslo con un ejemplo

ML
Por cada foto Luego de cierto
etiquetada FB hace tiempo, el algoritmo Posteriormente, si se
uso de su algoritmo de ya esta “entrenando” sube una nueva foto, FB
ML para aprender los para detectar el automáticamente
Las personas suben sus
patrones del rostro: rostro de Mark detecta el nombre, pues
fotos a FB y se etiquetan.
“entrenamiento” el algoritmo ya esta
entrenado

28 | © 2020 Palo Alto Networks, Inc. All rights reserved.

Machine Learning en la Red

TP bloquea el malware
conocido: BD y Heurística

Maligno y
sospechoso

Algoritmo ML
Entrenado

Archivos conocidos
y desconocidos se
Dentro del NGFW: Benigno
intentan meter a la red
- Análisis en tiempo real: Stream-Based
- El algoritmo ya esta entrenando (no se
requiere periodo de aprendizaje)

29 | © 2020 Palo Alto Networks, Inc. All rights reserved.

WildFire: Sandboxing
Bare metal analysis

Machine learning Dynamic unpacking

Dynamic analysis Network traffic profiling

Static analysis Recursive analysis

WEB Malware, URLs, DNS, C2

FLASH

Protections
Unknowns
SCRIPTS
Updated within seconds, globally
ARCHIVE
BINARIES
Prevent Patient Zero with inline ML
DOCUMENTS

NETWORK ENDPOINT CLOUD 40+ PARTNERS

Data colectada de una vasta Técnicas de análisis superiores a Protección automatizada contra
comunidad global un sandbox tradicional múltiples variantes de ataques

30 | © 2020 Palo Alto Networks, Inc. All rights reserved.

Seguridad Avanzada en DNS
El protocolo más usando pero poco inspeccionado
Ataques basados en DNS son complejos de detectar

DNS TRAFFIC
DNS Ultra-slow
Data Theft tunnelling DNS tunnelling

Command Dictionary Fast Flux

DGA
& Control DGA domains

Network Recon
DNS rebinding
& Attacks

Dangling Stockpiled
Phishing
DNS domains

Network Denial of service

NSNX Attack Internet
attacks

32 | © 2020 Palo Alto Networks, Inc. All rights reserved.

DNS Tunneling

33 | © 2020 Palo Alto Networks, Inc. All rights reserved.

 DNS Security Service

Heuristics and rules

WildFire Data
Machine Learning
Analiza las solicitudes de DNS,
Threat intelligence DNS Security asociados a dominios no
Passive DNS clasificados, que puedan
4 comprometer a la organización.

3
1
6 5
2
Víctima DNS Server C2 Host

1 DNS Request 2 Local Lookup 3 Cloud Lookup 4 Cloud Response 5 DNS Response 6 Enforcement

34 | © 2020 Palo Alto Networks, Inc. All rights reserved.

 IoT Security
Seguridad integral para un entorno completamente conectado
Unit 42 IoT Threat Report: Top Threats for IoT Devices

36 | © 2020 Palo Alto Networks, Inc. All rights reserved.

Amenazas en entornos Empresariales

Fuente: Unit 42 IoT Threat Report, Junio 2020

37 | © 2020 Palo Alto Networks, Inc. All rights reserved.

IoT en los NGFW
Requirements to Start
● NGFW with
○ Visibility to DHCP
○ Log data in CDL
○ EAL turned on or can be
Data Lake ○ CSP account access

Data Device-ID IoT Embedded in Workflow

Policy Recommendations
● NGFW for
✔
✔

✔ ○ Alert Management
○ Log Management
○ Prevention w/subscriptions
✔
✔

✔
✔ ✔
○ IoT Device Context
○ Policy Enforcement
● IoT Security product
Inline or Mirrored Traffic ○ Anomaly Detection
○ Automated Risk Assessment
○ Policy Recommendations
IoT OT
DEVICES DEVICES

38 | © 2020 Palo Alto Networks, Inc. All rights reserved.

Políticas de Seguridad Basadas en el Dispositivo

Device-ID
Tracks and maintains network attributes for accurate identification regardless of location
IP address, Mac address
Updates alerts and threats with Device attributes for context and analysis
Model, Category, Device profile, Vendor, OS version, OS family,

Data Device ID

39 | © 2020 Palo Alto Networks, Inc. All rights reserved.

Introducing IoT Security

Complete Visibility In-depth Risk Analysis Built-in Enforcement

Accurately identify and classify all Quickly understand anomalies, Safely automate enforcement and
devices with ML, including those vulnerabilities and severity to make prevent all threats with your Next-
never seen before confident decisions Generation Firewall

40 | © 2020 Palo Alto Networks, Inc. All rights reserved.

Global Protect
VPN para el acceso seguro
Global Protect

¿Qué hace?

• Red Privada Virtual (VPN) para acceso seguro a

aplicaciones de la Red Interna desde Internet

Diferenciadores

• Soporte de VPN Externas e Internas

• Diversos métodos de autenticación: SSO, MFA,
Always-On
• Host Information Profile (HIP) personalizable *
• Cuarentena de Endpoint *
• Clientless VPN *

Retos

• Preservar la confidencialidad de la información

cuando se acceder a aplicaciones internas
desde una red no segura.

(*) Estas funcionalidades requieren suscripción

42 | © 2020 Palo Alto Networks, Inc. All rights reserved.

Host Information Profile (HIP)
Checklist de validación de seguridad
(compliance) del equipo, para acceso
a la VPN

Visibilidad de características del

equipo conectado por VPN

43 | © 2020 Palo Alto Networks, Inc. All rights reserved.

 Secure SD-WAN
Llevando las redes WAN a una siguiente generación
Secure SD-WAN’s Path Selection Logic

DIA VIF
Ethernet Interfaces
Public Internet

Branch Office

Internet/SaaS

VPN VIF
IPSec Interfaces
Application Private Network

Thresholds

Path’s latency/jitter/packet loss

Headquarters

Top-Down
SD-WAN traffic steering Priority

● Session load distribution

● Path quality profile ISP 1 - Broadband

● Traffic distribution profile ISP 2 - ADSL

ISP 3 - MPLS

45 | © 2020 Palo Alto Networks, Inc. All rights reserved.

Isolating the Impacted Links

Get details on which

links supported the
App: VoIP

Identify links that

under-performed to
cause the App to be
impacted

Click on the Link to

see its performance
characteristics when
the issue occurred

46 | © 2020 Palo Alto Networks, Inc. All rights reserved.

Arquitectura Full Mesh

Beneficios

Conectividad directa
entre sedes remotas

No requiere un Hub

Ideal para despliegues

pequeños

47 | © 2020 Palo Alto Networks, Inc. All rights reserved.

Arquitectura Hub and Spoke

Beneficios

Sedes remotas se conectan

al Hub cercano

Fácil de gestionar

Ideal para
implementaciones grandes

48 | © 2020 Palo Alto Networks, Inc. All rights reserved.

 Gestión y Reportes
Herramientas que facilitan el monitoreo de la seguridad de red
Dashboard ACC

50 | © 2020 Palo Alto Networks, Inc. All rights reserved.

Monitoreo y Reportes

▪ El monitoreo de tráfico y personalización de reportes no

requieren de una consola independiente, se hacen desde el
mismo NGFW
▪ Cada NGFW cuenta con recursos de CPU, RAM y Disco para
tareas de gestión, monitoreo y reportería, de tal forma que
este tipo de tareas no afecta el performance de
procesamiento de red y seguridad del equipo.

51 | © 2020 Palo Alto Networks, Inc. All rights reserved.

Compromiso con las Buenas
Prácticas
Best Practice Assessment - BPA
▪ Permite validar si el NGFW se encuentra configurado según las buenas prácticas
▪ Es de libre acceso para Clientes y Partners de Palo Alto Networks

53 | © 2020 Palo Alto Networks, Inc. All rights reserved.

Security Assurance

● If you detect suspicious activity in your network, Security Assurance provides

extra help from Palo Alto Networks when you need it the most. Security
Assurance provides:

○ Access to Palo Alto Networks security experts and their specialized

threat intelligence tools and threat hunting practices.

○ Advanced log and indicators of compromise (IOC) analysis.

○ Configuration assessment that includes customized product security

recommendations.

○ Next step recommendations to expedite the transition to your incident

response (IR) vendor to help manage and resolve the incident.

● The first step toward Security Assurance is to run the Best Practice
Assessment (BPA) to measure your adoption of seven key security capabilities:
WildFire, Antivirus, Anti-Spyware, DNS Sinkhole, URL Filtering, Vulnerability
Protection, and Logging. We recommend that you ensure your adoption rate
for those security capabilities is at least equal to your industry’s average
adoption rate.

54 | © 2020 Palo Alto Networks, Inc. All rights reserved.

Liderazgo en la Industria
Network Security Platform

Network Security Platform

Panorama Management

UNIT 42 Threat Intelligence

Cloud Delivered Security Services

Hardware Cloud Service

PA-Series
Software CN- Prisma Access

56 | © 2020 Palo Alto Networks, Inc. All rights reserved.

Nuestro Portafolio

De 37 a 150 Gbps TP

De 9 a 31 Gbps TP

PA-5200 SERIES PA-5450

0.8 a 1 Gbps TP
PA-3200 SERIES
500 Mbps TP PA-800 SERIES De 2.4 a 4.4 Gbps
TP PA-7000 SERIES
1 a 2 Gbps TP 350 Gbps TP
PA-410

280 Mbps TP
PA-400 SERIES

PA-220R

PA-220
SMB Y SECTOR GRANDES
SUCURSALES CORPORATIVO DATA CENTERS

57 | © 2020 Palo Alto Networks, Inc. All rights reserved.

Reconocimiento de la Industria

Líder en Gartner por 9 años Líder en Forrester Firewall

consecutivos Wave
58 | © 2020 Palo Alto Networks, Inc. All rights reserved.
AAA Rating in CyberRatings.org Enterprise FW 2021 Test Report

● Achieved a AAA rating, the highest

Result
possible
● Blocked 100% of evasions Overall Rating AAA

Security
● The industry's first ML-Powered Effectiveness
AAA
NGFW enables you to prevent known
and unknown threats, see and secure Evasions 100% blocked
everything, and manage security
efficiently Exploits 97.6% blocked
● CyberRatings.org, founded by former Stability and
NSS Labs CEO Vikram Phatak to Reliability
PASS
provide unbiased ratings, technical
reports and industry analysis for a Management AAA
variety of cybersecurity technologies
Read the CyberRatings.org EFW Test Report

59 | © 2020 Palo Alto Networks, Inc. All rights reserved.

 Threat Intelligence Data Analytics for
Network and
Endpoint
Sandboxing Shared IA, ML
Intelligence

Machine Análisis
Prisma Access Learning Bare Metal
Data Lake
SASE

Cortex XDR

Enhanced OS Data

Usuarios Servidores
Perímetro Centro de Sedes Remotas Nube Pública
Usuarios Móviles
Sedes Remotas Datos Prisma Cloud
Teletrabajo
Seguridad en el Endpoint

Red Perimetral
Seguridad Red Interna / Data Center
en la Red
Red de Casa
Enhanced Network Data
Red OT / IoT

Gestión
unificada
Panorama

60 | © 2020 Palo Alto Networks, Inc. All rights reserved.

Thank you

paloaltonetworks.com