[1] O documento discute a segurança de sistemas de controle industrial (ICS) e como projetar arquiteturas de segurança cibernética centradas na prevenção para proteger sistemas de controle remotos.
[2] Apresenta exemplos de ataques cibernéticos a infraestrutura crítica nos últimos anos e explica porque ambientes ICS são mais vulneráveis atualmente devido à modernização e conectividade em rede.
[3] Discutem benefícios do uso da plataforma de segurança cibernética da Palo Alto Networks
Desenhando Arquiteturas de Segurança Cibernética Centradas na Prevenção para Sistemas de Controles Industriais Remotos
1. Desenhando Arquiteturas de
Segurança Cibernética Centradas na
Prevenção de Sistemas de Controles
Industriais Remotos
Alexandre Freire
Brazil Enterprise & Industrial Cybersecurity Sales Engineer
ww Industrial Control Systems Tiger Team
afreire@paloaltonetworks.com
5. 5
Pergunta 2 : Por que, no passado, não observamos
malware atingindo operações industriais?
Porque todo processo
industrial era controlado
por comunicação serial.
Mas os Processos
precisaram evoluir…
6. Processos Industriais Geograficamente Distribuídos e Interconectados
ICS/SCADA Aplicações baseadas em Protocolo TCP/IP
Control Center East Region
SCADAENGR
RTU / PLC / IED
HIST
OPC
Server
Control Center West Region
SCADAENGR HIST
OPC
Server
ICCP
MMS
Elcom 90
DNP3: Distributed Network Protocol 3
CIP Ethernet: Common Industrial Protocol Ethernet
OPC: Open Platforms Communication, formerly OLE for Process Control
ICCP: Inter Control Center Protocol
MMS: Manufacturing Message Specification
General
Modbus
DNP3
CIP Ethernet
Electric Utilities
IEC 60870-5-104
IEC 61850-3
/MMS
Synchrophasor
Elcom 90
Bridge/Service
OPC DA/UA
Apps
Cygnet – Oil &
Gas SCADA
PI - Historian
Aplicações e Protocolos para ICS/SCADA surgem
• Protocolos seriais ainda em uso (ex: Serial Modbus)
• Outras implementações customizadas surgindo.
Remote/Sub Stations/Process
Zone
Smarter Interconnected
Devices (Industrial IoT)
10. Benefícios da Plataforma para OT
PARAR O
DESCONHECIDO E
AMEAÇAS
DESCONHECIDAS
COMPLETA,
VISIBILIDADE
DE OT
CONFORMIDADE
COM NORMAS E
REGULAMENTAÇÔES
PLATAFORMA
ESCALÁVEL E
TCO REDUZIDO
INTEGRAÇÃO
SEGURA ENTRE
IT-OT
19. BluePrint Palo Alto Networks com Modelo de Referência ISA 95 Perdue
https://www.paloaltonetworks.com/resources/whitepapers/industrial-
control-blueprint-reference
23. Requerimentos para Inteligência de Ameaças Cibernéticas
223.144.191.23
Adversário
BlackEnergy
Indicadores
Relaciondos
Conexão:
101.55.121.171:443
DNS: gagalist.net
Alvos
Governo, Militar,
Empresas de Energia
Contexto sobre
indicadores e incidentes
Resposta rápida
e proativa
Priorização de
Eventos Importantes
Automaticamente exporta
indicadores maliciosos para
soluções de segurança
Previne futuros
ataques
24. Palo Alto Networks AutoFocus
Visão da Proliferação de BlackEnergy ao redor do mundo.
• Proliferação do BlackEnergy em
diferentes indústrias;
• Manifestações em diferentes variantes
do Malware
• Alastramento Geográfico
• “Tags” de categorização do malware e
colaboração da indústria para
compartilhamento de informações;
• Análise forense do ciclo de vida do
Malware: Propriedades de rotinas e
chamadas a variáveis de ambientes
operativos.
25. Estudo de Caso
Exemplos reais de implementações realizadas pela Palo Alto Networks no mundo para
reduzir riscos e aumentar a segurança e resiliencia de ambientes industriais contra
ameaças cibernéticas.
26. Caso 1 – Proliferação de vírus via terceiros (Oil and Gas)
• Problema:
• Fornecedores externos de automação disseminando vírus, códigos maliciosos e
aplicações para rede SCADA a partir de conexões de VPN :
• Conexão de VPN provê criptografia mas e sobre controle de segurança, ameaças e visibilidade
de aplicações e protocolos?
• Consequências:
- Aplicações indesejáveis e Maliciosas encontradas devido ao roteamento 0.0.0.0
• Default gateway para túnel de VPN = Ambiente Operativo (falha de configuração)
• Túnel terminando em Firewall de porta/protocolo agindo como concentrador de VPN
Falta de visibilidade de aplicações/protocolos e ameaças
conhecidas/desconhecidas
Aplicações encontradas: Dropbox, Bittorrent e Skype
Atividades suspeitas de DNS indicando máquinas comprometidas (Botnets)
Worm Conficker proliferando na rede (overhead/latência)
• Rede industrial paralizada afetando controle da produção (interrupção de comunicação
entre sistemas supervisórios e PLCs).
27. • Solução: Criação de uma
Zona de Acesso de Terceiros
(LEVEL 4)
“Ao invés de posicionar acesso de
terceiros na DMZ, onde ainda existe a
possibilidade de expor as estações de
trabalho e servidores à ameaças
externas, a implantação ideal seria a
criação de uma zona separada para
suporte de acesso remoto
• Zona de Acesso de
Terceiros (Nível 4) criada
para fornecer total
visibilidade do tráfego
que entra e sai da rede
de produção com a
capacidade de alertar ou
bloquear malware
conhecidos e
desconhecidos
(APT/0Day).
• Restringir o acesso com
base em grupos
(usuários), apliações
administrativas
necessárias (telnet/ssh) e
determinados períodos
(agendamentos)
Fabricantes de automação
VPN Cliente Servidor
Caso 1 – Proliferação de vírus via terceiros (Oil and Gas)
28. Caso 2 – Ataques via VPN S2S de parceiros (Empresa de Energia)
• Problema:
• Ataques proliferando através de conexões MPLS de redes de parceiros.
• Aquisição de dados em tempo real utilizando protocolo IEC 60870-5-104:
Consultas a sistemas de Supervisão para dados
em tempo real sobre produção;
Consultas diretas às subestações.
• Consequências:
- Listas de Acesso básicas de camada 3 aplicadas
em roteadores (layer3);
- Firewall de controle de porta e protocolo (camada 4)
não bloqueia protocolos e ameaças de camada
de aplicação
• Arquitetura do protocolo IEC 60870-5-104: não
baseia-se em porta fixa são portas dinâmicas alocadas aleatoriamente.
Ataques de força bruta em sistemas supervisórios (incidente reportado a partir de credencial
vazada).
Vírus e worms encontrados na rede (ex: Conficker, Ninda, Blaster).
29. • Solução: Criação da
zona de acessos corporativa
(LEVEL 4)
“Do ponto de vista do modelo de
referência Perdue, a Zona
Business/Enterprise enquanto se
mantém em relação à rede de
controles industriais, como ameaça
potencial, deve ter todo tráfego
rigorosamente inspecionado.
• Tratar o IEC 60870-5-
104 com inteligência
nativa de camada de
aplicação permitindo
somente o protocolo
base e suas sub
funções trafegando
para os níveis
adjascentes (L3-L2-L1).
• Visibilidade total no
tráfego que entra e sai
da zona Business com
a capacidade de
alertar ou bloquear
ataques e ameaças
avançadas
(malware conhecido e
desconhecido).
MPLS supporting a business requirement for
Supervisory Pooling from external organization
Caso 2 – Ataques via VPN S2S de parceiros (Empresa de Energia)
30. • Problema:
• Reprogramação de PLCs/RTUs a partir de origens desconhecidas
• Reinicialização de remotas (subestações) sem causa aparente;
• Comandos DNP3 e sub funções (dnp3-operate/direct-operate/read/write)
disparados de origens desconhecidas.
• Consequencias:
• Incidente reportado devido a Perda de Visão e Controle (Loss of View and Loss
of Control) devido a reinicialização das remotas.
• Possibilidade de sabotagem devido a falta de segmentação entre diferentes
níveis Perdue Model
BlackEnergy = Shutdown subestações através de reprogramação
de remotas (disjuntores desligados).
Caso 3 – Reprogramação Indevida de PLCs – Empresa Setor Elétrico
31. • Solução: Criação da Zona de PLC
(LEVEL 1)
“Dispositivos colocados nesta zona são itens
como PLCs, Remotas e relés programáveis”.
Somente Zona dos Sistemas de Supervisão
(ICS) Level 2 podem enviar comandos de leitura
e escrita para zona de PLC (Level 1).
• A criação de Nível 1
zona reforça a
proteção contra
acesso não
autorizado com a
intenção de
reprogramar
dispositivos PLC.
• Concede a
visibilidade
adequada e
controle
restringindo fontes
única confiáveis
(Sistemas de
supervisão) para
leitura e escrita de
PLCs
Caso 3 – Reprogramação Indevida de PLCs – Empresa Setor Elétrico
32. • Problema:
• Cópia de arquivo infectado para máquina de operação de Centro de Controle
• Consequências :
• Perda de Visão e Controle da operação devido a proliferação de malware moderno.
Caso 4 – Primeiro caso reportado de Sequestro de Centro de Controle
Ataque de Ransomware (Empresa de Energia)
33. • Solução: Proteção de
Endpoint Avançada (TRAPS)
“Necessidade de proteção do legado e de
sistemas que não possuem atualizações
constants ou são impossibilitados de receber
patching de forma constante”.
• TRAPS permite a
proteção do legado
sem uso de
assinaturas.
• Proteção de SOs
descontinuados ou
máquinas sem
patches.
• Inexistência de
scanning no Sistema
operacional.
• Foca nas técnicas
utilizadas por
exploits e integra-se
a nuvem de
inteligencia de
malware Wildfire
para análise de
códigos maliciosos.
Caso 4 – Primeiro caso reportado de Sequestro de Centro de Controle
Ataque de Ransomware (Empresa de Energia)
34. Heap Spray
Utilizing OS
Functions JIT Child Process
Unsigned
Executable
Restricted
Location
Admin Pre-Set
Verdicts
Wildfire Known
Verdict
On Demand
Inspection
Injection Attempts
Blockage
Traps
Malware Protection
Palo Alto Networks Traps
Prevenção de Exploits/Malware no Endpoint
Delivery Exploitation Download and Execute
Execution
Restriction 1
Execution
Restriction 2
Execution
Restriction 3
Local Verdict
Check
Wildfire Verdict
Check
Wildfire
Inspection
Malicious
Thread Injection
Intelligence
and
Emulation
Traps
Exploit Protection
Advanced
Execution
Control
Malicious
Behavior
Protection
Memory Corruption
Logic Flaws
4 5 6 7 8 9 10
Exploitation
Technique 1
Exploitation
Technique 2
Exploitation
Technique 3
1 2 3
35. Caso 5 – Contenção de Propagação de Vírus/Malware (Utilities – Óleo e Gás)
• Problema:
• Engenheiro de processos visitando uma instalação industrial de uma empresa de
transmissão de gás com cópias de backup de Código de programação de projetos
infectando a estação de engenharia de uma planta e também o banco de dados de
Historian com o Worm Nimda*
* Nimda pode se auto propagar pelas pastas de rede compartilhadas no Microsoft Windows)
• Consequências:
- Em 10 minutes depois de executar o arquivo “Readme.exe”, cópias dos arquivos
replicadas para outras máquinas da engenharia:
• Sistemas infectados iniciaram probe para outros endereços IP na mesma subnet. O probing
causou o congelamento da PLC e foi necessário um reboot para corrigir.
• Rede degradada comprometendo a comunicação dos sistemas de supervisão e PLCs.
Operadores consideraram ativar a parada de Emergência do processo industrial.
36. ISOLATION
LEVEL 5
Solução: Criação de uma nova VLAN e Zona
para fazer contenção da ameaça e restaurar
as Operações.
A necessidade de desligamento das operações da planta foi
evitada porque a planta tinha adequada segmentação /
zoneamento, bem como monitoramento e um plano de
contingência.
Contramedidas:
• Máquinas infectadas identificadas
• VLAN 666 criada e sistemas infectados desviados para
a mesma.
• Zona com nome “ISOLATION” configurada no NGFW com regras
específicas e controle de whitelhist de aplicações (camada 7)
Tempo de isolamento e recuperação:
Menos de 30 minutos.
Caso 5 – Contenção de Propagação de Vírus/Malware (Utilities – Óleo e Gás)
42. Palo Alto Networks Value Proposition for ICS
• Visibilidade de camada 7 com contexo específico para
protocolos industriais.
• Grande cobertura de protocolos ICS/SCADA
• Granularidade e conhecimento de sub funções
operacionais, protocolos, aplicações, usuários e
ameaças.
• Visibilidade e Controle dos “Protocolos de Risco”
• Visibilidade e controle de leituras, escritas, reinicialização
entre outros comportamentos de PLC que devem ser
monitorados para segurança dos processos industriais.
• Flexibilidade de segmentação de rede granular
• ISA 62443, Purdue, NERC CIP, NIST e modelos
similares. Controle RBAC.
Provimento de plataforma de next-generation security que prove
capacidades específicas de segurança cibernética para Sistemas de
Controles Industriais na prevenção de ataques visando a manutenção
da disponibilidade, resiliência e da segurança dos processos industriais.
• Alta performance e Arquitetura de Alta Disponibilidade
• Arquitetura única de processamento em
paralelo (single pass).
• Data Plane e Control Planes separados.
• Diferentes deployments - inline (“layer1) sem
reconfiguração da rede, layer2, layer3, TAP.
• Sem scanning e footprint minimo de CPU e
memória para agente de endpoint.
• Prevenção de Ameaças de sistemsa de legado
– Proteção de sistemas vulneráveis e de hosts
sem patch contra ameaças conhecidas e
principalmente desconhecidas (0day) com uso
do Wildfire e Traps (endpoint)
45. PRESTOU ATENÇÃO NA APRESENTAÇÃO?
PARTICIPE DO JOGO PARA GANHAR BRINDES!
AGORA EM NOSSO STAND!!!
1. Baixe o aplicativo Kahoot! para seu dispositivo móvel;
2. Ou acesse https://kahoot.it quando o jogo começar;
3. Entre com o PIN do jogo (fornecido no stand no início da dinâmica)
Como Stuxnet, Duqu e Flame, a Shamoon é voltada para empresas de energia. Ele não interrompeu serviços como o Stuxnet ou roubou informações de negócios como Flame e Duqu. Em vez disso, ele removeu e substituiu as informações do disco rígido.
Assim, os Processos Industirais passaram por uma evolução muito rápida, uma vez que houve a necessidade dos processos se tornarem mais inteligentes e mais conectados Com essa evolucao, o controle de supervisão e a aquisição de dados permitiram controlar processos de grande escala que podem incluir vários sites e trabalhar em grandes distâncias.
(Clicar) E hoje, com o conceito trazido também pelo conceito da industria 4.0, os dispositivos surgiram para controle do ciclo produto estando interligados, mais inteligentes e trazendo mais eficiencia para as operações industriais. (Conceito de IIOT).
Agora, temos muitas mais preocupações sobre os sistemas industriais sendo vulneráveis e expostos a ataques do que antes.
Rede baseada em IP unificado
Recentemente no encontro do Forum de Davos, foi divulgado o panorama dos riscos Globais de 2018 e ataque cibernético foi posicionado no quadrante com maior possibilidade de ocorrencia e maior impacto para as corporacoes junto a outros eventos como condicoes adversas de clima, Desastres naturais e crise de recursos hidricos.
Isso atesta a grande preocupação da industria, sobretudo, com sabotagens e interupcoes da cadeira produtiva ou de comprometimento de serviços essenciais que possam afetar a soberania de uma nação tais como provimento de energia, abastecimento de agua, transporte entre outros vetores. Cada vez mais os ataques cibernéticos estão voltados para impactar redes de automacao pois são ambientes mais fáceis de serem comprometidos a partir de um esforço mais reduzido e que causam um grande impacto na vida das organizações.
Talk Track:
In order to enable organizations to safely roll out new services and apps, we built the Next-Generation Security Platform to provide prevention through automation, applied consistently across the network, endpoint and cloud.
Customers are already burdened with an escalating volume of threats that grows bigger each day, with legacy approaches simply adding more noise and manual effort.
Palo Alto Networks believes in reducing manual response through prevention, analytics and full automation of enforcement. Our approach allows customers to better leverage their skilled security staff and not spend cycles triaging logs and alerts.
In order to achieve these prevention outcomes, we knew the platform had to be in all the places that users, devices and applications were to achieve visibility and coordinated enforcement of protections:
On the network with the Next-Generation Firewall, including extending this to remove users and locations with Global Protect and Global Protect Cloud Service.
On the endpoint with Traps, that can completely replace legacy AV with a different approach that prevents malware and exploits.
In the public cloud with our VM-Series Next-Generation Firewalls.
For SaaS applications with Aperture.
Since we are in all the key locations, with each acting as a sensor, the platform is able to collect high quality data.
We store and process this telemetry and log data in the cloud, which allows us to update the entire platform with intelligence gathered from all other locations.
This cloud-delivered approach allows us to abstract capabilities from the infrastructure, delivering security services from the cloud. Unknown threats are detected, protections created, shared and enforced automatically: Our services seamlessly extend the capabilities of the platform, including:
Threat Prevention blocks known malware, exploits and command-and-control activity on the network.
URL filtering provides safe web access, including preventing users from visibility malicious and phishing sites.
WildFire detects and prevents unknown threats, quickly sharing protections across the platform automatically.
AutoFocus provides threat intelligence with context to drive proactive response for unknown attacks.
As a native part of AutoFocus, MineMeld allows the aggregation of third-party threat intelligence and automates prevention from IOCs.
LightCyber enables you to find active attackers in the organization with behavioral analytics.
Palo Alto Networks has created the operational platform for Cybersecurity: natively integrating functions together, not just co-locating them. Our platform has a prevention-orientation, allowing you to safely roll-out new services and applications.
Today, we’ve taken everything we’ve learned by building this platform and the cloud-delivered security services and disrupted the industry once again ..[advance slide]
SEn Note:
Our Solution. How Palo Alto Networks uniquely solves the challenges you’ve laid out.
Adjust the depth of what you present here to meet the interest of your audience. There are 3 key points you want your customer to remember:
Escalating volume of threats grows bigger each day, legacy approaches simply add more noise and manual effort – no longer effective or viable—consumes valuable resources that could be deployed to support business growth, profitability and competitive advantage.
Prevention through automation, applied consistently across the network, endpoint and cloud
This is a uniquely effective operational platform for Cybersecurity: natively integrating functions together, not just co-locating them, with a prevention-orientation, allowing you to meet business demands effectively by safely rolling-out new services and applications
Time for more customer stories!
Punctuate the key points of this slide using examples of problems other customers, like the one you are presenting to, have solved with Palo Alto Networks. Offer examples of the business growth, profitability and competitive advantage these customers have gained.
Tie a customer success story to the operational impact or efficiencies this specific prospect could gain with an approach like this.
Where and how would this approach impact their business? How would it allow them to grow, save money, or make business gains in other ways?
Tying back to business drivers will allow you to uncover and leverage a compelling event.
Correlação nativa de dados
Proteja os sistemas não corrigidos ou não-removaveis das ameaças conhecidas ao ICS (malware, exploits, C2)
Todos os dispositivos no padrão VLAN1 Eles falta de segurança porque retarda a resposta Autenticação de usuário Simples, fraco ou carente Sistemas legados projetado e implantado há mais de 20 anos
projetado e implantado há mais de 20 anos
Todos os dispositivos no padrão VLAN1 Eles falta de segurança porque retarda a resposta Autenticação de usuário Simples, fraco ou carente Sistemas legados projetado e implantado há mais de 20 anos
projetado e implantado há mais de 20 anos
Principais coisas para lembrar ao abordar sistemas legados
Em primeiro lugar - Segurança
Next is PA-220R, which is effectively the same platform as the PA-220 but it's able to operate in far more harsh environments.
It's built to withstand a higher operating temperature range which you can expect to see in manufacturing environments inside a number of industrial control or scale environments including utilities, electrical transmission, oil and gas exploration. It's really built for slotting into industrial deployments in a way that doesn't require any other special hardware.
In this case we've used a fan-less designed to ensure that there are no moving parts inside the PA-220R which ultimately translates to higher reliability. Likewise we've incorporated H.A. support and dual power supplies for complete redundancy.
Naturally it supports all the same ICS and SCADA App-IDs and prevention capabilities as all of our other platforms.
Design sem ventoinha, sem peças móveis para maior confiabilidade
Alta disponibilidade e fontes de alimentação DC duplas para redundânciaFaixa de IDs de aplicativo ICS / SCADA suportados pelo PAN-OS
Sometimes it can feel like “hope is lost” when you start to talk about the current state of threats, but that is far from the truth. There is a new path forward, one that integrates cyber threat intelligence into your operations, empowering security teams with the intelligence, analysis and context they need.
We spent time a great deal of time with leaders in security operations, incident response, and threat research teams all around the industry, including our own Unit 42 threat intelligence team. We found there was a common need across nearly every team we talked with: the current state of threat intelligence services was more promise than actual delivery. We also found that every conversation came down to three key areas:
Help teams identify and prioritize the most critical attacks, because they have limited resources.
Add contextual information to threats, and do this within local networks, the industry, and at a global level, including a retrospective view into the past.
Enable teams to quickly and easily respond to attacks with the right action.
Let’s dive into each one, and share what we learned:
Prioritize important events: how do we separate the signal from the noise, and highlight the truly unique and targeted threats. If you recall, security teams don’t have enough time to investigate and respond to every event, but what if we should show them which ones need immediate attention? Being attacked by a sophisticated state sponsored adversary group, cyber crime, or espionage group will potentially have a bigger impact than low-level commodity malware being used by a less sophisticated attacker. Not only this, but you need to apply different levels of response for the more critical attacks.
Add context: Next, we needed to find a way for teams to contextualize intelligence. Instead of seeing a list of malicious URLs, IPs or hash values, you need to know which adversary group was behind it, what are all the related indicators associated with that group, and which verticals should worry about being targeted.
In this specific example, we are showing “Operation Lotus Blossom,” which was a state-sponsored adversary group discovered by Unit 42, who developed a novel piece of malware for a very specific campaign. Often, our customers will receive a indicator (such as malicious IP as we are showing), from a government agency or third-party, but that notice doesn’t provide much additional information. For Lotus Blossom, Unit 42 tracked down the group, all associated indicators, such as shared command and control communication, and which type of organizations were at risk (government and military).
With the context behind Lotus Blossom, organizations know if they are at risk (industry), which to look for on their networks (indicators), and what the ultimate goal of the attacker was.
The essential question was: how can I contextualize data at the local, industry, and global level.
Quick response: Now, assuming you’ve done the previous two, you know which attacks are important, and the context around them. The next logical step becomes, what do you do about it. Security teams wanted a way to take all the analysis they’ve done on the unique and targeted attacks and make them actionable. What we heard was they needed a way to curate lists of indicators, export them to prevent future attacks.
With those three requirements in mind…
Visibilidade total no tráfego que entra e sai da sua zona comercial com a capacidade de alertar ou bloquear malwares conhecidos e desconhecidos, APTs e explorações de dia zero
Let’s look at an example of how these multiple preventive controls would act to prevent against an advanced or zero-day attack. Despite the multiple controls in Traps ,ONLY ONE point of prevention in the kill chain will thwart the entire attack. Goodbye detection and response!
If the attack cycle begins with an exploited software vulnerability, our exploit mitigation modules will mitigate the attack at the first stage. In a worst case scenario where the first technique in the attack is new (extremely rare: 2-4 a year), Traps will mitigate the next technique, preventing the attack entirely.
If the attacker’s vector of attack begins with the use of a malicious executable, having socially-engineered the user to download and execute it, Traps’s multiple advanced execution controls can restrict child processes, folders, unsigned executables, and more. The administrator can enable additional controls using WildFire’s verdicts to determine what files or applications should and should not run within the organization.
If no restrictions are in place to prevent the execution of the malicious file, the file will run, but it is then subject to another layer of protection: the technique-based mitigations that prevent attacks by blocking techniques used by the attackers when executing malicious files. Techniques that can be prevented include Thread Injection and Create Suspend.
All in all, Traps is the most robust and comprehensive Advanced Endpoint Protection – preventing the attack BEFORE any malicious activity is initiated,
A necessidade de operações da planta de desligamento foi evitada porque a planta tinha adequada segmentação / zoneamento, bem como monitoramento e um plano.
Livre, passivo e confidencial
Laboratórios práticos para segurança cibernética ICS usando a plataforma Palo Alto Networks
Talk Track:
In order to enable organizations to safely roll out new services and apps, we built the Next-Generation Security Platform to provide prevention through automation, applied consistently across the network, endpoint and cloud.
Customers are already burdened with an escalating volume of threats that grows bigger each day, with legacy approaches simply adding more noise and manual effort.
Palo Alto Networks believes in reducing manual response through prevention, analytics and full automation of enforcement. Our approach allows customers to better leverage their skilled security staff and not spend cycles triaging logs and alerts.
In order to achieve these prevention outcomes, we knew the platform had to be in all the places that users, devices and applications were to achieve visibility and coordinated enforcement of protections:
On the network with the Next-Generation Firewall, including extending this to remove users and locations with Global Protect and Global Protect Cloud Service.
On the endpoint with Traps, that can completely replace legacy AV with a different approach that prevents malware and exploits.
In the public cloud with our VM-Series Next-Generation Firewalls.
For SaaS applications with Aperture.
Since we are in all the key locations, with each acting as a sensor, the platform is able to collect high quality data.
We store and process this telemetry and log data in the cloud, which allows us to update the entire platform with intelligence gathered from all other locations.
This cloud-delivered approach allows us to abstract capabilities from the infrastructure, delivering security services from the cloud. Unknown threats are detected, protections created, shared and enforced automatically: Our services seamlessly extend the capabilities of the platform, including:
Threat Prevention blocks known malware, exploits and command-and-control activity on the network.
URL filtering provides safe web access, including preventing users from visibility malicious and phishing sites.
WildFire detects and prevents unknown threats, quickly sharing protections across the platform automatically.
AutoFocus provides threat intelligence with context to drive proactive response for unknown attacks.
As a native part of AutoFocus, MineMeld allows the aggregation of third-party threat intelligence and automates prevention from IOCs.
LightCyber enables you to find active attackers in the organization with behavioral analytics.
Palo Alto Networks has created the operational platform for Cybersecurity: natively integrating functions together, not just co-locating them. Our platform has a prevention-orientation, allowing you to safely roll-out new services and applications.
Today, we’ve taken everything we’ve learned by building this platform and the cloud-delivered security services and disrupted the industry once again ..[advance slide]
SEn Note:
Our Solution. How Palo Alto Networks uniquely solves the challenges you’ve laid out.
Adjust the depth of what you present here to meet the interest of your audience. There are 3 key points you want your customer to remember:
Escalating volume of threats grows bigger each day, legacy approaches simply add more noise and manual effort – no longer effective or viable—consumes valuable resources that could be deployed to support business growth, profitability and competitive advantage.
Prevention through automation, applied consistently across the network, endpoint and cloud
This is a uniquely effective operational platform for Cybersecurity: natively integrating functions together, not just co-locating them, with a prevention-orientation, allowing you to meet business demands effectively by safely rolling-out new services and applications
Time for more customer stories!
Punctuate the key points of this slide using examples of problems other customers, like the one you are presenting to, have solved with Palo Alto Networks. Offer examples of the business growth, profitability and competitive advantage these customers have gained.
Tie a customer success story to the operational impact or efficiencies this specific prospect could gain with an approach like this.
Where and how would this approach impact their business? How would it allow them to grow, save money, or make business gains in other ways?
Tying back to business drivers will allow you to uncover and leverage a compelling event.