Gastexpert: Optimale security door integratie netwerken werkplekbeveiliging
Tekst: Kim Loohuis
'Vergelijk het met een bewaker die buiten de slagboom van de parkeerplaats bedient en een beveiliger die binnen in het pand zit om toegangspasjes uit te delen', zegt managing director Pieter Lacroix. 'Hoe makkelijk zou het zijn als de bewaker buiten de beveiliger binnen een seintje kan geven als er iemand op het terrein komt waar hij geen goed gevoel bij heeft? Dan is de beveiliger in het pand direct een stuk alerter.' Het klinkt zo logisch en voor de hand liggend, maar in de praktijk van security is dit niet aan de orde. Vendoren richten zich ofwel op de beveiliging van de gateway met onder meer firewalls, ofwel op de beveiliging van endpoints met onder meer antivirussoftware. 'Binnen die silo's worden steeds nieuwe oplossingen en verbeteringen op de markt gebracht, maar er is geen enkele leverancier die de netwerkbeveiliging koppelt met de security van de werkplek.'
Security in de boardroom
In 2012 kocht Sophos het gateway security-bedrijf Astaro. De hele industrie, inclusief vooraanstaande marktonderzoekers, verklaarde het bedrijf voor gek. 'Men zag de synergie tussen die twee organisaties niet.' Maar de huidige toenemende cyberdreigingen veranderen hoe bedrijven over security denken. Waar het voorheen vooral een itaangelegenheid was, is security in toenemende mate een onderwerp voor de boardroom. 'We zien steeds meer dat security een discipline is die aan de cfo rapporteert. Het grote voordeel daarvan is dat een cfo budgetten kan reserveren en meer overkoepelende besluitvorming kan toepassen', zegt Pieter. Hij ziet dat cfo's niet worden gehinderd door bestaande referentiekaders waar veel ict-professionals vaak mee te maken hebben. 'Dat bedoel ik niet negatief', haast hij zich te zeggen. 'Maar als je als it'er al twintig jaar met security bezig bent, heb je een bepaald beeld van wat wel en niet kan. Iemand die niet uit de industrie komt, denkt vaak minder in beperkingen, maar kijkt naar hoe de ideale situatie eruit zou moeten zien. Of dat technologisch mogelijk is, is dan vaak een tweede.'
Relevante integratie netwerk en endpoint
Het kostte Sophos ruim drie jaar om de twee afzonderlijke securitywerelden op een relevante wijze bij elkaar te brengen. 'Je kunt wel twee dingen aan elkaar plakken, maar daarmee verbeter je de security niet. We hebben echt gekeken naar hoe we het netwerk en de endpoints relevante informatie met bijbehorende context kunnen laten uitwisselen. Dat was een complex traject, maar we zijn erin geslaagd.' Dat betekent dat de security van organisaties kan worden geoptimaliseerd. De werelden zijn afzonderlijk van elkaar namelijk nooit zo veilig te maken als dat ze geïntegreerd zijn. Door werkplekken met het netwerk en vice versa te laten communiceren, is zelfs een actuele uitdaging zoals ransomware voor een belangrijk deel te detecteren en kan het in veel gevallen voorkomen worden.
Geen kans voor ransomware
'Bij ransomware klikt een medewerker op een link in een mailtje, waarna er verbinding wordt gelegd met de servers van de criminelen en er encryptiesoftware wordt geïnstalleerd waarmee de bestanden op de werkplek of het netwerk worden gegijzeld', legt Pieter uit. 'Bij een zero day threat herkent de gateway het ransom-mailtje niet, waardoor die gewoon bij de gebruiker wordt afgeleverd. Heel veel van dit soort ransomware zet eerst de endpointclient uit en gaat vervolgens aan de slag met het versleutelen van allerlei data. Dat uitzetten wordt vrijwel nooit opgemerkt, omdat er geen signaal van de endpoint wordt afgegeven, die staat immers uit. Als er communicatie plaatsvindt tussen de gateway en het endpoint, ziet de gateway direct dat er iets aan de hand is en kan vervolgens automatisch het endpoint isoleren van het netwerk. Daarmee voorkom je dat de ransomware schade kan aanrichten.' Dit klinkt simpel, maar kan alleen worden bereikt als het netwerk en de werkplekken met elkaar communiceren. Ransomware is voor veel organisaties een punt van zorg, omdat het vrijwel niet te stoppen is. En als cybercriminelen eenmaal door hebben dat dit daadwerkelijk het geval is, is het hek van de dam. 'Hoewel de geïntegreerde security-oplossing het grootste deel van ransomware kan ondervangen, hebben we niet de illusie dat we het honderd procent kunnen voorkomen. Dat is gewoon onhaalbaar. Iedere leverancier die dat wel claimt, houdt zijn klanten voor de gek.'
Voordelen geïntegreerde oplossing
Het grotendeels kunnen voorkomen van ransomware is een groot voordeel van de koppeling tussen endpoint- en netwerksecurity. 'De veiligheid van de systemen stijgt significant. Je geeft als het ware de bewaker bij de slagboom en de beveiliger in het pand walkie-talkies om met elkaar te communiceren. Trek het eens door naar een juwelier. Als er buiten iemand staat die een louche klant naar binnen ziet gaan, kan hij alvast degene achter de toonbank waarschuwen. Die kan op zijn beurt zijn hand al op het stille alarm leggen. Een gewaarschuwd mens telt voor twee.' Een ander groot voordeel is de TCO van security-oplossingen. Het is vanuit kostenoverweging voordeliger om een gehele security-oplossing bij een vendor aan te schaffen dan verschillende pakketten bij verschillende leveranciers. 'Die dan vaak ook nog niet met elkaar kunnen communiceren en al helemaal geen relevante, contextbewuste informatie kunnen delen.' Maar het gaat verder dan alleen klantenvoordeel. Doordat met policy-management het beheer kan worden geïntegreerd, kan worden bespaard op tijd. Die gewonnen tijd kan worden vertaald in minder mensen, maar ook meer tijd voor een it-afdeling om zich te richten op andere zaken. 'Bovendien is er bij een geïntegreerde oplossing betere reporting en compliance mogelijkheden', stelt Pieter. 'Als een organisatie door middel van rapportages inzichtelijk kan maken dat het voldoet aan weten regelgeving, kunnen boetes worden voorkomen, wat weer bijdraagt aan een gunstiger TCO.'
Hele keten veilig
De geïntegreerde oplossing maakt communicatie mogelijk tussen het netwerk, de cloud en werkplekken. Waarbij de werkplekken alle mogelijke devices kunnen zijn die zich overal ter wereld kunnen bevinden. Zodra ze internetconnectie hebben en via Sophos cloud een verbinding kunnen opbouwen met de firewall van het bedrijf, is de hele keten veilig en kan actief worden ingegrepen door het systeem. Of de werkplek zich nou in het pand bevindt, bij iemand thuis of in een trein in China. 'Dat ingrijpen gebeurt eveneens automatisch. Als de gateway verdacht verkeer detecteert, kan hij de werkplek automatisch in quarantaine plaatsen, zonder dat daar beheerders voor uit hun bed gebeld hoeven worden. Dat verhoogt de beveiliging van de it-systemen van een organisatie enorm.'