Het feit dat endpoint- en netwerksecurity niet aan elkaar gekoppeld zijn, is voor veel organisaties een openbaring. Het klinkt zo logisch dat vrijwel iedereen er vanuit gaat dat deze koppeling gewoon bestaat. De realiteit is dat deze twee werelden zowel bij leveranciers als bij partners en klanten gescheiden zijn. Daardoor is optimale beveiliging nooit haalbaar. Het kostte een paar jaar, maar security-leverancier Sophos brengt beide werelden nu voor het eerst bij elkaar. Het feit dat werkplek- en netwerksecurity niet aan elkaar gekoppeld zijn, is voor veel organisaties een openbaring. Het klinkt zo logisch dat vrijwel iedereen er vanuit gaat dat deze koppeling gewoon bestaat. De realiteit is dat deze twee werelden zowel bij leveranciers als bij partners en klanten gescheiden zijn. Daardoor is optimale beveiliging nooit haalbaar. Het kostte een paar jaar, maar sinds kort is het mogelijk om de beveiliging van de (mobiele) werkplek te laten communiceren met de netwerkbeveiliging.
‘Vergelijk het met een bewaker die buiten de slagboom van de parkeerplaats bedient en een beveiliger die binnen in het pand zit om toegangspasjes uit te delen’, zegt managing director Pieter Lacroix van securityleverancier Sophos. ‘Hoe makkelijk zou het zijn als de bewaker buiten de beveiliger binnen een seintje kan geven als er iemand op het terrein komt waar hij geen goed gevoel bij heeft? Dan is de beveiliger in het pand direct een stuk alerter.’ Het klinkt zo logisch en voor de hand liggend, maar in de praktijk van security is dit niet aan de orde. Leveranciers richten zich ofwel op de beveiliging van de gateway met onder meer firewalls, ofwel op de beveiliging van werkplekken met onder andere antivirussoftware. ‘Binnen die silo’s worden steeds nieuwe oplossingen en verbeteringen op de markt gebracht, maar er is geen enkele leverancier die de netwerkbeveiliging koppelt met de security van de werkplek.’
Security in de boardroom
In 2012 kocht Sophos het gateway securitybedrijf Astaro. De hele industrie, inclusief vooraanstaande marktonderzoekers, verklaarde het bedrijf voor gek. ‘Men zag de synergie tussen die twee organisaties niet.’ Maar de huidige toenemende cyberdreigingen veranderen hoe bedrijven over security denken. Waar het voorheen vooral een it-aangelegenheid was, is security in toenemende mate een onderwerp voor de boardroom. ‘We zien steeds meer dat beveiliging een discipline is die aan de cfo rapporteert. Het grote voordeel daarvan is dat een cfo budgetten kan reserveren en meer overkoepelende besluitvorming kan toepassen’, zegt Lacroix.
Hij ziet dat cfo’s niet worden gehinderd door bestaande referentiekaders waar veel ict-professionals vaak mee te maken hebben. ‘Dat bedoel ik niet negatief’, haast hij zich te zeggen. ‘Maar als je als it’er al twintig jaar met security bezig bent, heb je een bepaald beeld van wat wel en niet kan. Iemand die niet uit de industrie komt, denkt vaak minder in beperkingen, maar kijkt naar hoe de ideale situatie eruit zou moeten zien. Of dat technologisch mogelijk is, is dan vaak een tweede.’
Relevante integratie netwerk en endpoint
Het kostte de leverancier ruim drie jaar om de twee afzonderlijke security-werelden op een relevante wijze bij elkaar te brengen. ‘Je kunt wel twee dingen aan elkaar plakken, maar daarmee verbeter je de security niet. We hebben echt gekeken naar hoe we het netwerk en de werkplekken relevante informatie met bijbehorende context kunnen laten uitwisselen.’
Dat betekent dat de security van organisaties kan worden geoptimaliseerd. De werelden zijn afzonderlijk van elkaar namelijk nooit zo veilig te maken als dat ze geïntegreerd zijn. Door werkplekken met het netwerk en vice versa te laten communiceren, is zelfs een actuele uitdaging zoals ransomware voor een belangrijk deel te detecteren en kan het in veel gevallen voorkomen worden.
Geen kans voor ransomware
Bij ransomware klikt een medewerker op een link in een mailtje, waarna er verbinding wordt gelegd met de servers van de criminelen en er encryptiesoftware wordt geïnstalleerd waarmee de bestanden op het werkplek of het netwerk worden gegijzeld. ‘Bij een zero day threat herkent de gateway het ransommailtje niet, waardoor die gewoon bij de gebruiker wordt afgeleverd. Heel veel van dit soort kwaadwillende software zet eerst de beveiliging op de werkplek uit en gaat vervolgens aan de slag met het versleutelen van allerlei data. Dat uitzetten wordt vrijwel nooit opgemerkt, omdat er geen signaal van het apparaat wordt afgegeven, die staat immers uit. Als er communicatie plaatsvindt tussen de gateway en het endpoint, ziet de gateway direct dat er iets aan de hand is en kan vervolgens automatisch de werkplek isoleren van het netwerk. Daarmee voorkom je dat de ransomware schade kan aanrichten.’
Dit klinkt simpel, maar kan alleen worden bereikt als het netwerk en de werkplekken met elkaar communiceren. Ransomware is voor veel organisaties een punt van zorg, omdat het vrijwel niet te stoppen is. En als cybercriminelen eenmaal door hebben dat dit daadwerkelijk het geval is, is het hek van de dam. ‘Hoewel de geïntegreerde security-oplossing het grootste deel van ransomware kan ondervangen, hebben we niet de illusie dat we het 100 procent kunnen voorkomen. Dat is gewoon onhaalbaar. Iedere leverancier die dat wel claimt, houdt zijn klanten voor de gek.’
Voordelen geïntegreerde oplossing
Het grotendeels kunnen voorkomen van ransomware is een groot voordeel van de koppeling tussen werkplek- en netwerksecurity. ‘De veiligheid van de systemen stijgt noemenswaardig. Je geeft als het ware de bewaker bij de slagboom en de beveiliger in het pand walkie-talkies om met elkaar te kunnen communiceren. Trek het eens door naar een juwelier. Als er buiten iemand staat die een louche klant naar binnen ziet gaan, kan hij alvast degene achter de toonbank waarschuwen. Die kan op zijn beurt zijn hand al op het stille alarm leggen. Een gewaarschuwd mens telt voor twee.’
Een ander groot voordeel is de tco van securityoplossingen. Het is vanuit kostenoverweging voordeliger om een gehele securityoplossing bij een leverancier aan te schaffen dan verschillende pakketten bij verschillende aanbieders. ‘Die dan vaak ook nog niet met elkaar kunnen communiceren en al helemaal geen relevante, context-bewuste informatie kunnen delen.’ Maar het gaat verder dan alleen klantenvoordeel.
Doordat met policymanagement het beheer kan worden geïntegreerd, kan worden bespaard op tijd. Die gewonnen tijd kan worden vertaald in minder mensen, maar ook meer tijd voor een it-afdeling om zich te richten op andere zaken. ‘Bovendien is er bij een geïntegreerde oplossing betere reporting en compliance mogelijkheden’, stelt Lacroix. ‘Als een organisatie door middel van rapportages inzichtelijk kan maken dat het voldoet aan wet- en regelgeving, kunnen boetes worden voorkomen, wat weer bijdraagt aan een gunstiger tco.’
Hele keten veilig
De geïntegreerde oplossing maakt communicatie mogelijk tussen het netwerk, de cloud en werkplekken. Waarbij de werkplekken alle mogelijke devices kunnen zijn die zich overal ter wereld kunnen bevinden. Zodra ze internetconnectie hebben en via een specifiek cloud een verbinding kunnen opbouwen met de firewall van het bedrijf, is de hele keten veilig en kan actief worden ingegrepen door het systeem. Of de werkplek zich nou in het pand bevindt, bij iemand thuis of in een trein in China. ‘Dat ingrijpen gebeurt eveneens automatisch. Als de gateway verdacht verkeer detecteert, kan hij de werkplek automatisch in quarantaine plaatsen, zonder dat daar beheerders voor uit hun bed gebeld hoeven worden. Dat verhoogt de beveiliging van de IT-systemen van een organisatie enorm.’