Security door integratie netwerk- en werkplekbeveiliging

Het feit dat endpoint- en netwerk- en werkplekbeveiliging niet aan elkaar gekoppeld zijn, is voor veel organisaties een openbaring. Het klinkt zo logisch dat vrijwel iedereen ervan uitgaat dat deze koppeling gewoon bestaat. De realiteit is dat de twee werelden zowel bij leveranciers als bij partners en klanten gescheiden zijn. Daardoor is optimale beveiliging nooit haalbaar. Het kostte een paar jaar, maar securityleverancier Sophos brengt beide werelden nu voor het eerst bij elkaar.

“Vergelijk het met een bewaker die buiten de slagboom van de parkeerplaats bedient en een beveiliger die binnen in het pand zit om toegangspasjes uit te delen”, zegt managing director Pieter Lacroix. “Hoe makkelijk zou het zijn als de bewaker de beveiliger een seintje kan geven als er iemand op het terrein komt over wie hij geen goed gevoel heeft? Dan is de beveiliger in het pand direct een stuk alerter.” Het klinkt zo logisch en voor de hand liggend, maar in de praktijk van security is dit niet aan de orde. Vendoren richten zich ofwel op de beveiliging van de gateway met onder meer firewalls, ofwel op de beveiliging van endpoints met onder andere antivirussoftware. “Binnen die silo’s worden steeds nieuwe oplossingen en verbeteringen op de markt gebracht, maar geen enkele leverancier koppelt de netwerkbeveiliging met de security van de werkplek.”

Security in de boardroom

In 2012 kocht Sophos het gateway securitybedrijf Astaro. De hele industrie, inclusief vooraanstaande marktonderzoekers, verklaarde het bedrijf voor gek. “Men zag de synergie tussen die twee organisaties niet.” Maar de toenemende cyberdreigingen veranderen hoe bedrijven over security denken. Waar het voorheen vooral een it-aangelegenheid was, is security in toenemende mate een onderwerp voor de boardroom.

“We zien steeds meer dat security een discipline is die aan de CFO rapporteert. Het grote voordeel daarvan is dat een CFO budgetten kan reserveren en meer overkoepelende besluitvorming kan toepassen”, zegt Lacroix. Hij ziet dat CFO’s niet worden gehinderd door bestaande referentiekaders waarmee veel ict-professionals vaak te maken hebben. “Dat bedoel ik niet negatief”, haast hij zich te zeggen. “Maar als je als it’er al twintig jaar met security bezig bent, heb je een bepaald beeld van wat wel en niet kan. Iemand die niet uit de industrie komt, denkt vaak minder in beperkingen, maar kijkt naar hoe de ideale situatie eruit zou moeten zien. Of dat technologisch mogelijk is, is dan vaak een tweede.”

Relevante integratie

Het kostte Sophos ruim drie jaar om de twee afzonderlijke securitywerelden op een relevante wijze bij elkaar te brengen. “Je kunt wel twee dingen aan elkaar plakken, maar daarmee verbeter je de security niet. We hebben echt gekeken naar hoe we het netwerk en de endpoints relevante informatie met bijbehorende context kunnen laten uitwisselen. Dat was een complex traject, maar we zijn erin geslaagd.” Dat betekent dat de security van organisaties kan worden geoptimaliseerd. De werelden zijn afzonderlijk van elkaar namelijk nooit zo veilig te maken als wanneer ze geïntegreerd zijn. Door werkplekken met het netwerk en vice versa te laten communiceren, is zelfs een actuele uitdaging zoals ransomware voor een belangrijk deel te detecteren en zelfs voor te zijn.

Security heartbeat

Geen kans voor ransomware

“Bij ransomware klikt een medewerker op een link in een mailtje, waarna er verbinding wordt gelegd met de servers van de criminelen. Hierdoor wordt er encryptiesoftware geïnstalleerd, waarmee de bestanden op de werkplek of het netwerk worden gegijzeld”, legt Lacroix uit. “Bij een zero-day-threat herkent de gateway het ransommailtje niet, waardoor die gewoon bij de gebruiker wordt afgeleverd.

Heel veel van dit soort ransomware zet eerst de endpointclient uit en gaat vervolgens aan de slag met het versleutelen van allerlei data. Dat uitzetten wordt vrijwel nooit opgemerkt, omdat er geen signaal van de endpoint wordt afgegeven, die staat immers uit. Als er communicatie plaatsvindt tussen de gateway en het endpoint, ziet de gateway direct dat er iets aan de hand is en kan vervolgens automatisch het endpoint isoleren van het netwerk. Daarmee voorkom je dat de ransomware schade kan aanrichten.” Dit klinkt simpel, maar kan alleen worden bereikt als het netwerk en de werkplekken met elkaar communiceren. Ransomware is voor veel organisaties een punt van zorg, omdat het vrijwel niet te stoppen is.

En als cybercriminelen eenmaal doorhebben dat dit het geval is, is het hek van de dam. “Hoewel de geïntegreerde security-oplossing het grootste deel van ransomware kan ondervangen, hebben we niet de illusie dat we het 100 procent kunnen voorkomen. Dat is gewoon onhaalbaar. Iedere leverancier die dat wel claimt, houdt zijn klanten voor de gek.”

Geïntegreerde oplossing

Het grotendeels kunnen voorkomen van ransomware is een belangrijk voordeel van de koppeling tussen endpoint- en netwerksecurity. “De veiligheid van de systemen stijgt noemenswaardig. Je geeft als het ware de bewaker bij de slagboom en de beveiliger in het pand walkie-talkies om met elkaar te kunnen communiceren.

Trek het eens door naar een juwelier. Als er buiten iemand staat die een louche klant naar binnen ziet gaan, kan hij alvast degene achter de toonbank waarschuwen. Die kan op zijn beurt zijn hand al op het stille alarm leggen. Een gewaarschuwd mens telt voor twee.” Een ander groot voordeel is de TCO van securityoplossingen. Het is vanuit kostenoverweging voordeliger om een gehele securityoplossing bij een vendor aan te schaffen dan verschillende pakketten bij verschillende leveranciers. “Die dan vaak ook nog niet met elkaar kunnen communiceren en al helemaal geen relevante, context-bewuste informatie kunnen delen.” Maar het gaat verder dan alleen klantenvoordeel. Doordat met policymanagement het beheer kan worden geïntegreerd, kan worden bespaard op tijd. Die gewonnen tijd kan worden vertaald in minder mensen, maar ook meer tijd voor een it-afdeling om zich te richten op andere zaken. “Bovendien is er bij een geïntegreerde oplossing sprake van betere reporting en compliancemogelijkheden”, stelt Lacroix. “Als een organisatie dankzij rapportages inzichtelijk kan maken dat het voldoet aan wet- en regelgeving, kunnen boetes worden voorkomen, wat weer bijdraagt aan een gunstiger TCO.”

Hele keten veilig

De geïntegreerde oplossing maakt communicatie mogelijk tussen het netwerk, de cloud en werkplekken. Waarbij de werkplekken alle mogelijke devices kunnen zijn die zich overal ter wereld kunnen bevinden. Zodra ze internetconnectie hebben en via Sophos-cloud een verbinding kunnen opbouwen met de firewall van het bedrijf, is de hele keten veilig en kan het systeem actief ingrijpen. Of de werkplek zich nu in het pand bevindt, bij iemand thuis of in een trein in China. “Dat ingrijpen gebeurt eveneens automatisch. Als de gateway verdacht verkeer detecteert, kan hij de werkplek automatisch in quarantaine plaatsen, zonder dat daarvoor beheerders uit hun bed gebeld hoeven worden. Dat verhoogt de beveiliging van de it-systemen enorm.”

 

Gerelateerde berichten...