'Hoe brengen we hoogwaardige beveiligingstechnologie voor online veiligheid naar het midden- en kleinbedrijf?' Met die vraag begon Aad van Boven, ceo bij SecureMe2, een zoektocht naar een manier om fout verkeer uit het dagelijkse internetverkeer te filteren op een manier die normaal alleen grote banken en instellingen kunnen bekostigen.
Dit resulteerde in het bedrijf SecureMe2 met een ‘cyberalarm’ voor online veiligheid. Daarmee staat het systeem in het rijtje van het inbraak- en brandalarm. ‘Iedereen heeft een slot op de deur en een brandalarm, terwijl de kans dat je cybercriminaliteit ondervindt één op negen is’, zegt ceo Aad van Boven.
Van Boven draait al geruime tijd mee in de it-wereld. Hij werkte bij verschillende grote bedrijven waar hij vastgelopen it-projecten uit het slop moest trekken. Uiteindelijk kwam hij terecht bij een ziekenhuis in Rotterdam waar een nieuwe basisinfrastructuur moest komen die minstens vijftien jaar mee moest gaan. Aan het eind van het project bleken toch af en toe problemen met de veiligheid voor te komen, ondanks het plaatsen van de nieuwste beveiligingssoftware- en apparatuur. Dit heeft alles te maken met de door Van Boven gedoopte ‘wet van de afnemende effectiviteit’. Dit houdt in dat alles minder veilig wordt in vrij korte tijd: apparatuur zoals een firewall veroudert snel.
Signaleer problemen bij de bron
Een oplossing voor deze problematiek ligt onder andere in het heel vroeg signaleren van kwaadaardige patronen direct bij de bron, ofwel de plek waar internet een bedrijf binnenkomt. Voor het ziekenhuis werd een systeem aangeschaft dat verkeer analyseert, maar het liefst had Van Boven hier nog een tweede systeem van een andere leverancier naast gedraaid.
Wereldwijd is er een beperkte set van leveranciers van systemen die internetverkeer op kwaadaardige patronen kunnen scannen. Deze systemen zijn zeer kostbaar en voor het gemiddelde mkb onbereikbaar. Per stuk ben je al snel enkele tonnen kwijt en voor de maximale veiligheid wil je eigenlijk alle systemen naast elkaar draaien. Naast budget mist het mkb nog twee belangrijke pijlers voor het succesvol implementeren van veiligheidssystemen: kennis en resources.
Een netwerkbeveiligingssysteem voor het mkb moet aan een aantal voorwaarden voldoen: makkelijk te installeren en te onderhouden; er is geen specialistische kennis vereist en het moet passen binnen een redelijk budget. Om dit uit te voeren, heeft Van Boven met twee mede-oprichters (Alexander Zwiep en Hans van Beek) een systeem ontwikkeld waarbij het afvangen van het netwerkverkeer allemaal lokaal gebeurt in het netwerk van de klant en de detectie van kwaadaardig verkeer handelt SecureMe2 in zijn datacenter af.
Cyberalarm
Daarmee was het SAM Cyber Alarm geboren: een simpel te installeren systeem dat net zoals een inbraakalarm een seintje geeft naar de gebruiker als er iets mis is. Is het heel erg mis? Dan moet de ondernemer misschien fysiek een server uit het netwerk te trekken, maar zo blijft de schade van bijvoorbeeld ransomware beperkt. Dit kan zelfs in combinatie met een meldkamer zoals bij een inbraak- of brandalarm.
‘De fysieke beveiligingswereld loopt tientallen jaren voor op it-beveiliging’, zegt Van Boven. ‘Overal twintig centimeter dikke deuren, kogelwerend glas en actie-protocollen bij een detectie. Dat is meestal niet van toepassing bij de ict-inrichting. Glasvezelkabels lopen onder de deur door en je wandelt digitaal zo naar binnen. Zonder gedetecteerd te worden. We staan nog aan het begin voordat ICT-beveiliging op het niveau van fysieke beveiliging komt.’
Het kastje van SecureMe2 heet het SAM Cyber Alarm. SAM staat voor scan, analyse, manage. SAM bestaat in een meterkast- en een 19″-variant. Het kastje zelf wordt direct achter de binnenkomende internetverbinding geplaatst, zodat al het interne verkeer gemonitord wordt. De kastjes beschikken over een stevige buffer van 40 GB om eventuele pieken op te vangen.
Wereldwijde Cyber Threat Intelligence Database
Elke klant krijgt elke maand een testalarm op de eerste maandag van de maand, zodat ook klanten waarbij nooit iets gebeurt, weten dat het systeem nog werkt (al is dit ook via een controlepaneel via de browser te bekijken). Als verdacht netwerkverkeer wordt opgemerkt, dan krijgt de klant een seintje. Van Boven geeft als voorbeeld een ip-camera die elke acht minuten een heartbeat uitwisselt met een command-en-controlserver. ‘De eerste keer is toeval, de tweede keer opvallend en de derde keer is het een trend. Na 24 minuten weten we dat de camera onderdeel is van een botnet.’
Voor de malwaresamples is SecureMe2 aangesloten op de wereldwijde Threat Intelligence Database waar alle grote leveranciers en gebruikers hun detecties aanleveren en van gebruiken. ‘Individueel is het niet meer mogelijk alle gevaren te signaleren’, zegt Van Boven. ‘Wij voeden de database ook, dus mogen we er ook uithalen. Op dit moment staan er 185 miljoen kwaadaardige domeinen, ip-adressen, executables en dergelijke in. Wij gebruiken binnen ons systeem 442 algoritmes die naar het gedrag van het internetverkeer kijken.’
SecureMe2 weet door een elke minuut verstuurde heartbeat van elk kastje hoe de status is. De kastjes zijn heel basic en maken gebruik van een gestripte versie van FreeBSD. Het besturingssysteem bevat alleen de noodzakelijke software om het verkeer zo te kunnen filteren dat alleen de benodigde metadata van het verkeer richting de Nederlandse datacenters van SecureMe2 gezonden wordt. Volgens Van Boven gaat het om nog geen procent van het normale verkeer.
De box blijft in bezit van SecureMe2 en de klant kan verschillende abonnementen afnemen, vanaf 29,95 euro per maand. Voor 14,95 is een optioneel abonnement af te sluiten voor de koppeling met een alarmcentrale. Dan wordt je ook actief gebeld bij een urgente alarmmelding van SAM. SecureMe2 is ook bij de InfoSecurity-beurs op 31 oktober en 1 november aanstaande.