Palo alto Networks publie la dernière version du système d’exploitation qui équipe ses pare-feu dernière génération. Ces nouveautés ont pour but de renforcer leur sécurité. Grâce à de nouveaux mécanismes d’automatisation, PAN-OS 9.0 va permettre d’améliorer l’anticipation et la détection des attaques malveillantes. Avec plus d’une soixantaine de nouvelles fonctionnalités, Palo Alto Networks se place en leader du NGFW et de la cybersécurité.

C’est officiel, Palo Alto Networks vient de publier, le 12 février dernier, la dernière version de son logiciel PAN-OS 9.0.
Avec plus d’une soixantaine de nouvelles fonctionnalités, Palo Alto Networks renforce la sécurité de sa plate-forme pare-feu dernière génération . Parmi ces nouveautés, nous pouvons retrouver de nouvelles fonctions de sécurisation des DNS. Parmi toutes les nouveautés, nous avons aussi trouvé intéressant l’optimiseur de politique ou encore les filtres d’URL.

Nous traiterons ces trois fonctionnalités ci-dessous. Si vous souhaitez télécharger le « New features guide », vous pouvez : télécharger.

Sécurité DNS (DNS Security)

La fonctionnalité sécurité des DNS permet de protéger les entreprises contre les menaces liées au trafic des DNS.

Les chercheurs de l’unité 42 de Palo Alto Networks ont constaté que près de 80% des logiciels malveillants utilisent les DNS dans le cadre du processus « command and control » (pilotage à distance du malware)

C’est ce qu’a déclaré Navneet Singh, directeur du marketing produit pour les pare-feu de nouvelle génération de Palo Alto Networks. 

Les attaquants utilisent des algorithmes de génération de domaine pour créer un nombre illimité de domaines à cette fin. La protection DNS a déjà été intégrée à notre licence de prévention des menaces. Cependant, nous avons réagi à cette tactique en intégrant la protection DNS au cloud et en l’améliorant. Il a maintenant une échelle infinie, de sorte qu’il n’est plus limité par le nombre de signatures pouvant être stockées dans un petit pare-feu.

A l’aide de l’intelligence et l’apprentissage automatique, le service de sécurité DNS va pouvoir identifier automatiquement l’ensemble des menaces cachées dans le trafic DNS. Ainsi, les protections basées sur le cloud sont toujours à jour et s’adaptent en permanence. PAN-OS 9.0 offre désormais aux entreprises et organisations de nouveaux points de contrôle essentiels pour stopper les attaques DNS.

Optimiseur de Politique (Policy Optimizer)

Côté fonctionnalités, on trouve aussi Policy Optimizer qui vise à aider les entreprises dans le déploiement de la stratégie de sécurité réseau.

Policy Optimizer est un outil entièrement nouveau que nous avons ajouté

Navneet Singh met en avant les nouveautés qu’apportent PAN-OS 9.0.

Nous savons que les clients utilisent des pare-feu traditionnels depuis 5 ans, 10 ans ou plus, et ils ajoutent de nouvelles règles au fil du temps. Il n’est pas rare de trouver des pare-feu avec 10 000 règles ou plus. Il peut être difficile de déterminer avec quelles applications ils vont, ou même si ces applications ont été retirées. Nous pensons que toutes ces règles héritées rendent les clients vulnérables et confrontés à des lacunes en matière de politique. Policy Optimizer utilise l’intelligence accumulée par Palo Alto Networks sur le réseau pour faire correspondre les applications aux règles. Désormais, ils peuvent remplacer les règles par les règles appropriées et supprimer celles dont ils ne veulent plus. En outre, ils peuvent passer des règles basées sur les ports aux règles basées sur les applications. Les ports 80 et 443 sont généralement ouverts et les clients risquent de ne pas se rendre compte que des centaines d’applications les utilisent. Policy Optimizer indique aux clients que si une règle correspond à ces applications, ils peuvent choisir ce qu’ils veulent autoriser et verrouiller tout le reste. Les clients peuvent commencer à réduire le nombre de règles, qui sont plus faciles à gérer.

PAN-OS 9.0 fonctionnalités

Policy Optimizer vise à sécuriser les dangereuses lacunes laissées par les anciennes stratégies de pare-feu. Ce nouvel optimiseur permet de gagner en visibilité, de contrôler l’utilisation et d’activer l’ensemble des applications en toute sécurité. Il utilise l’intelligence réseau pour rechercher et supprimer les règles de pare-feu héritées qui créent des risques de sécurité.

Filtre URL multicatégorie (Multi-Category URL Filtering)

PAN-DB, la base de données d’URL de Palo Alto Networks, affecte désormais plusieurs catégories d’URL qui classifient le contenu et la sécurité d’un site internet. Elle les trie selon 4 catégories différentes. Une catégorie de risque a été ajoutée et indique désormais la probabilité qu’une URL en particulier nous expose à des menaces. Il est maintenant possible de contrôler la manière dont les utilisateurs interagissent avec du contenu en ligne.

Par exemple, le filtre d’URL permet de considérer que certaines catégories d’URL sont risquées pour une organisation. Cependant ces URL fournissent des ressources et des services précieux pour l’entreprise. Il est donc désormais possible d’autoriser les utilisateurs à visiter des sites appartenant à ce type de catégorie d’URL, tout en protégeant son réseau. Cela va permettre de décrypter, d’inspecter le trafic et d’appliquer un accès en lecture seule au contenu.

Avec le filtre multi-catégories, PAN-DB peut multi-catégoriser n’importe quel site. Par exemple, un blog informatique pourrait apparaître comme : 
– Personal-sites-and-blogs
– computer-and-internet-info
– High-risk
Un Malware étant hébergé sur le même domaine, il est présenté comme de risque élevé.

PAN-OS 9.0 fonctionnalités

Vous pouvez désormais créer votre propre politique de sécurité pour autoriser les sites personnels et autres. De plus, vous pouvez gérer les informations relatives à votre secteur d’activité. Vous pouvez également limiter les options sur les sites catégorisés à haut risque. Bloquer les javascript, activer la prévention du vol des identifiants et limiter les téléchargements de fichiers dangereux est maintenant possible.