Service Management Rapportage, wat zie ik daar?

ON2IT is één van de weinige aanbieders van managed cybersecurity diensten met een volledig in eigen beheer ontwikkeld platform voor automatisering en orchestratie van alle benodigde functies. Alle kennis en ervaring van de afgelopen ruim 10 jaren is – samen met klantwensen voor automatisering en efficiency – ondergebracht in dit eigen cloudplatform.

De zogeheten service management rapportages bieden ON2IT relaties niet alleen inzicht in incidenten, changes en openstaande tickets, maar ook transparante toegang tot de vergaande automatisering, de rules of engagement en de voorstellen voor het weerbaarder maken van de infastructuur. Maar bovenal biedt het ON2IT Security Automation & Orchestration Platform (SAOP) tijdwinst en daarmee ruimte voor focus op zaken die er echt toe doen. De service management rapportage laat zien hoeveel incidenten zijn opgelost dankzij de automatisering en de daarvoor gebruikte rules of engagement.

Rules of Engagement

In de rules of engagement is beschreven welke geautomatiseerde acties het platform onderneemt zonder tussenkomst van menselijk handelen. Deze acties kunnen bijvoorbeeld bestaan uit het blokkeren van een gebruikersaccount, een bekend hackers IP adres of het in quarantaine plaatsen van een virtuele machine. De aanpak met rules of engagement garandeert de snelste respons op threats en de meest efficiënte inzet van security professionals.

Intelligent threatmanagement

Deze aanpak om cyberaanvallen en andere bedreigingen het hoofd te bieden is aantoonbaar doeltreffend. Het is eerder regelmaat dan uitzondering dat we bij een organisatie 120.000 security incidenten per maand reduceren naar 20 incidenten die echt aandacht nodig hebben. Alle overige incidenten zijn dan binnen de ON2IT SAOP automatisch onderzocht, voorzien van context en correlatie en geautomatiseerd opgelost.

Security improvement

Behalve inzicht in de wijze waarop threatmanagement is uitgevoerd, biedt de rapportage ook Security Improvement Advisories (SIA). Uiteraard is er eerst telefonisch contact en advies over (on-)bekend gedrag op het netwerk. Technische en organisatorische risico’s worden benoemd en oplossing(en) geadviseerd. Dit advies wordt opgenomen in de rapportage en besproken met de ON2IT Service Delivery Manager.

Last but not least: verantwoord en aantoonbaar compliant

De rapportages helpen niet alleen om IT-security binnen uw organisatie te verbeteren door meer zichtbaarheid en controle. De diverse onderdelen uit de rapportage helpen u ook in de verantwoording naar het management als het bijvoorbeeld gaat om aantoonbaar compliant zijn aan de diverse (inter)nationale richtlijnen.

Meer weten over security-incidenten, threatmanagment en het ON2IT Security Automation & Orchestration Platform?

Nieuw: hands-on ‘Optimizing Firewall Threat Prevention’

Weet u zeker dat uw netwerk volledig is beschermd tegen de vele verschillende cyberattacks? En kent u echt alle mogelijkheden van de Palo Alto Networks Next Gen Firewalls?

Kom naar de training ‘Optimalisatie Palo Alto Netwerks Threat preventie’ in oktober of november 2018. De 4-daagse hands-on training wordt verzorgd vanuit ons Authorized Training Center in Waardenburg. Tijdens deze 4 dagen zult u in lab-omgevingen actief meer leren over o.a.:

  • Cyber-attack lifecycles te onderkennen en herkennen
  • PAN-OS threat prevention mogelijkheden te optimaal in te zetten
  • Onderbouwde configuratie beslissingen te nemen aan de hand van firewall logs en reports
  • De firewall optimaal te configureren voor het detecteren, blokkeren en registreren van bedreigingen

Plaatsen voor deze nieuwe training zijn beperkt, dus meld u snel aan.

Meet the Customer: Wereld Natuur Fonds

Natuurlijk weten we allemaal waar het World Wide Fund for Nature voor staat. En misschien weten we ook best dat de Nederlandse afdeling zich hard maakt voor Nederlandse natuur in het algemeen en voor bijvoorbeeld de Haringvliet in het bijzonder.

Maar wist u ook dat WWF Nederland al sinds 2009 haar IT-security gedeeltelijk uitbesteed aan ON2IT? En dat WWF u daar graag meer over vertelt tijdens het Managed Security Event op 13 september in Zeist?

WNF kroonjuwelen en Zero Trust

‘Wij zijn een open organisatie, willen makkelijk communiceren met de buitenwereld en geven de buitenwereld graag toegang tot onze informatie en activiteiten’, zegt Henk Middelbrink WWF’s IT-manager. Om in een open bedrijfscultuur toch de kroonjuwelen – in dit geval de donateursgegevens – goed te beschermen, is gekozen voor de Zero Trust beveiligingsstrategie. Samen met ON2IT is hard gewerkt aan segmentatie en de daarbij behorende beveiliging.

In de loop van dit jaar zal Zero Trust volledig doorgevoerd zijn binnen de organisatie. Toegang tot netwerk en data wordt dan niet meer bepaald aan de hand van locatie (binnen het pand of buiten het pand), maar op basis van de toegekende identiteit en daarbij behorende rechten.

Met het verder uitrollen van Zero Trust zal ook actiever gebruik gemaakt gaan worden van de ON2IT portal. WWF wil bijvoorbeeld gebruik van applicaties en uitwisseling van data beter in beeld krijgen om wildgroei te voorkomen.

Vertrouwen in en rust door Managed Security

‘Exploits zoals WannaCry maakte ons niet zenuwachtig; op de dag van de exploit  kon de ON2IT helpdesk ons al informeren dat WannaCry was onderzocht en maatregelen waren genomen.’

Naast de Managed Security Service voert WWF zelf maandelijks een vulnerability test uit. ‘Zelfs dat wordt gezien. Als we dat testen niet helemaal goed hebben aangemeld dan hebben we in no-time ON2IT aan de telefoon, met de vraag of er iets (on)bekends gaande is op het netwerk’.

Hoewel men binnen WWF niet echt ongerust is over diefstal van gegevens door hackers wil men toch voorkomen dat ongewenste bezoekers op het netwerk gaan klieren of storen. De Zero Trust methode om dat te voorkomen past bij wie ze willen zijn en hoe ze willen omgaan met beveiliging.

WNF deelt haar ervaring tijdens het Managed Security Event

WWF vertelt graag meer over de omslag in denkwijze over IT-security en de keuze voor Zero Trust en Managed Security. Maar ook over de struikelblokken bij het segmenteren van het netwerk in combinatie met Next Gen Firewalls.

Daarnaast vertellen ze u ook meer over het inregelen van het securityproces. Wie mag wat gebruiken? Welke voorzieningen? Wie is verantwoordelijk?

Interesse? Kom dan naar het ‘Meet the Customer’ event op 13 september!

Zero Trust SOC-as-a-Service: de meest gestelde vragen tot nu toe

Met de introductie van de ON2IT SOC app tijdens Ignite 2018 kwamen natuurlijk ook de eerste vragen over de Zero Trust SOC-as-a-Service. De meest voorkomende vragen (en de antwoorden) vindt u hier.

Hoe snel is de virtuele SOC op te tuigen?


De koppeling is binnen een uur operationeel. Vanaf dat moment is de ON2IT Managed Security Service actief. Omdat de dienstverlening verschillende ‘smaken’ kent (van monitoring tot eventbeheer) zal het verder onboarden verschillen. Dit onboarden en de planning ervan stemmen we gezamenlijk af.

Is dit een nieuwe ON2IT dienst?

Nee hoor, we doen dit al 13 jaar. De app is wél nieuw en integratie is eenvoudig. Met de virtuele SOC heeft u een voordelig, hoogwaardig en maximaal geautomatiseerd alternatief voor in-house SOC, inclusief software, hardware en SOC specialisten. Hierdoor heeft u – zonder  zware investeringen – direct een effectieve Zero Trust cybersecurity strategie en beschikt u 24/7 over een team topspecialisten.

Welke ondersteuning bieden jullie?

  • 24/7 – 365 Managed Security Operations Service in Nederlands en Engels
  • Gespecialiseerde en toegewijde IT-security professionals
  • Databeveiliging, waar de data zich ook bevindt; in datacenter, netwerk, endpoints of cloud!
  • Aantoonbare controle over IT-security, zoals vereist in (inter-)nationale privacy wetgeving
  • Grip op – en flexibiliteit in – IT-security budget
  • Geautomatiseerde en efficiënte IT-security

Wat is anders ten opzichte van SIEM?

Alles! SIEM verzamelt alleen en biedt geen context. De SOC app is rechtstreeks gekoppeld aan ons in-house ontwikkelde Security Automation & Orchestration Platform (SAOP): het geautomatiseerde centrum van onze Managed Security Services.

Het ON2IT Platform zorgt voor vergaande automatisering van security–events- analyse en  voorziet in incident-response en rapportages. Door deze efficiency slag – het weg-automatiseren van alle ‘ruis’ – houden we tijd over voor inhoudelijke oplossingen. We investeren liever 1-op-1 tijd om onderbouwd advies en opvolging te verzorgen.

Zero Trust Security Operations Center?

Ja, wij zijn de first adopters binnen Europa van Forrester’s Zero Trust architectuur. Het Zero Trust model vergt volledig zicht op alle verkeer, of het nu gaat om gebruikers, devices, locaties of applicaties. In combinatie met het gesegmenteerde netwerk biedt Zero Trust extra beveiliging en overzicht. We hebben gebruik gemaakt van onze kennis van – en ervaring met – de Zero Trust strategie om de eerste virtuele Zero Trust SOC aan te kunnen bieden.

Hoe ziet de kostenstructuur er uit?

De maandelijkse factuur is opgebouwd uit diverse onderdelen, afhankelijk van welke keuzes zijn gemaakt uit de diverse services.  Aangeboden service-onderdelen zijn: van Zero Trust architectuur tot vulnerability scans, van forensic security tools tot rapportages en van integratie met ticketing-systemen tot flexibele en schaalbare prijsstelling.

Hoezo Managed Security 2.0?

Met de toegang tot het ON2IT Security Automation & Orchestration Platform (SAOP) bent u zeker van heldere communicatie en samenwerking met ons cybersecurity expertteam. Waar traditionele Managed Security Services zich voornamelijk focussen op alert management, voorzien de ON2IT dashboards en rapportages 24/7 zicht op threat management.

Meer weten over het Zero Trust SOC?

Evident: Security en compliance automation voor de cloud

Transformatie naar de cloud(s) is ‘hot’ en een groot aantal organisaties bevindt zich (nog) in een cloudtransformatie, heeft net een cloudtransformatie afgerond of is van plan om in de toekomst te transformeren naar de cloud. Hierbij is veel gehoord dat cloudsecurity best ingewikkeld is vanwege de hoeveelheid cloudkeuzes, cloudsmaken en aanbieders van cloudsecurityproducten, met als gevolg dat sommige mensen ‘door de bomen het bos niet meer zien’.

Shared responsibility model

Dit is begrijpelijk, maar eerlijk gezegd niet nodig. Bij het verplaatsen van data naar de cloud gelden namelijk dezelfde security basisregels als bij ‘on-premise’ IT. Je wilt te allen tijde ‘in control’ zijn over jouw data, dus visibility, control & compliance zijn essentieel, net zoals bij on-premise. Je data staat weliswaar in een datacentrum van iemand anders, maar je bent er nog steeds verantwoordelijk voor.

Dit wordt het ‘shared responsibility model’ genoemd, waarbij publieke cloudproviders zoals bijv. AWS, MS Azure of Google Cloud, verantwoordelijk zijn voor de security van de cloud en jij verantwoordelijk bent voor de security in de cloud, dus jouw data en applicaties betreft. Ga er vooral niet vanuit dat een cloudprovider de security regelt van jouw data. Dit is een misvatting die wij helaas te vaak opvangen.

Security in de public cloud

Hoe kun je dan het beste de security regelen van jouw data in de publieke cloud? Begin bij de basis en zorg eerst dat je een compleet beeld (visibility) krijgt over jouw data in de cloud(s). Om dit complete beeld te verkrijgen, zul je een extern product nodig hebben dat via een API inzicht geeft in de betreffende cloudomgeving.

Dit is namelijk voor een cloudomgeving de meest effectieve en efficiënte manier voor inzicht. Als dit product dan ook nog in staat is om deze data te verifiëren volgens compliance standaarden, dan sla je twee vliegen in één klap.

Gelukkig is er een dergelijk product beschikbaar: Evident

Evident is in staat om voor alle soorten organisaties de cloudsecurityrisico’s pro-actief te managen, het ‘attack surface’ te minimaliseren en de security aanzienlijk te verbeteren. Allemaal vanaf één dashboard (zie onderstaand figuur).

Constante monitoring

Evident is initieel ontworpen voor het continu monitoren van publieke clouds door gebruik te maken van een API controle panel. Door het analyseren en prioriteren van policy afwijkingen/overtredingen krijgen security teams en DevOps teams een duidelijk beeld van de risico’s in hun cloudomgeving(en). Hierbij wordt gebruik gemaakt van een ‘read-only public cloud API’, waardoor informatie over de clouds op een veilige manier constant wordt vergeleken met ‘security best practices’ en eventuele zelf-gedefinieerde security checks met als doel om potentiele ‘exploitable vulnerabilities’ (kwetsbaarheden) te ontdekken en te mitigeren.

Constante compliance rapportage

Omdat compliance steeds belangrijker wordt, is het essentieel dat er naast het monitoren ook continue wordt gekeken naar de compliance status.

Evident genereert constant geautomatiseerde compliance audits en geeft dit weer in ‘customized one-click compliance’ rapportages. Per cloudaccount is het mogelijk om ieder issue afzonderlijk te beoordelen en eventuele issues op te lossen. Tegelijkertijd kan Evident worden gebruikt om de overkoepelende cloudsecurityaanpak te beoordelen in een snel veranderende en veeleisende cloudomgeving.

Overkoepelende cloud storage security

Opslagcapaciteit in de publieke cloud wordt vaak buiten beschouwing gelaten als het gaat om mogelijke security dreigingen, hetgeen niet altijd terecht is. Gelukkig is Evident ook in staat om data in storage containers en buckets in te zien en te classificeren. Vervolgens is het mogelijk om op basis van security policies acties te ondernemen. Deze acties kunnen bestaan uit ‘auto-remediate publicly exposed data’ of het in ‘quarantaine’ plaatsen van malware. Op deze manier zorgt Evident ervoor dat ook vanuit de publieke cloudstorage de organisatie niet wordt blootgesteld aan nieuwe/onbekende security kwetsbaarheden.

Conclusie

In een tijd waarin organisaties te maken hebben met snelle ontwikkelingen in en richting cloud, is de IT-security essentieel. Natuurlijk wil je constante monitoring en compliance audits uitvoeren op je data in de publieke cloud. En liefst daarnaast ook cloudstoragebuckets slim beveiligen. Dat zijn ook precies de rollen die Evident vervult en waarom het op dit moment één van de meest gevraagde producten is van Palo Alto Networks.

Evident Realtime Security & Compliance Scan

Wilt u ook kennismaken met de Evident oplossing? Maak dan gebruik van deze unieke zomeraanbieding van ON2IT en Evident: de realtime security & compliance scan! Met deze scan ziet u o.a.:

  • Wat de status is van uw cloud security
  • Of storage versleuteld is
  • Hoeveel permissies zijn er
  • Compliance reporting

Binnen 45 minuten weet u precies hoe uw cloud security ervoor staat, remote en realtime! Meld u zich in juli of augustus 2018 aan voor deze scan, dan kunnen we deze vanaf september 2018 voor u inplannen.

Over de schrijver
Fred Streefland heeft ruim 25 jaar ervaring binnen Security & Intelligence, heeft zijn sporen verdiend binnen Exact en LeaseWeb en is momenteel actief binnen Palo Alto Networks. Naast de blogs van zijn hand kan men Fred Streefland ook kennen van de diverse activiteiten rondom security roundtables en/of Business News Radio (BNR), waar hij graag zijn kennis en ervaring op het gebied van IT-security deelt.

,

ON2IT annonceert nieuwe Zero Trust SOC app voor het Palo Alto Networks Application Framework

ANAHEIM/WAARDENBURG, 23 mei, 2018 – De Nederlandse cybersecurity specialist ON2IT annonceerde tijdens de jaarlijkse Ignite-conferentie in Anaheim (Calif. USA) zijn Zero Trust SOC-as-a-Service app aan voor het nieuwe Palo Alto Networks Application Framework.

ON2IT’s virtuele SOC (Security Operations Center) biedt organisaties een voordelige, hoogwaardige en maximaal geautomatiseerd alternatief voor het in eigen huis inrichten van een SOC, inclusief software, hardware en SOC-specialisten. Ondernemingen kunnen met de ON2IT app zonder zware investeringen vooraf direct een effectieve Zero Trust cybersecurity strategie implementeren en op een transparante wijze 24/7 beschikken over een team met top security specialisten.

Het Palo Alto Networks Application Framework is een cloudgebaseerde set API’s waarmee ontwikkelaars van derde partijen innovatieve apps en diensten kunnen ontwikkelen. Die krijgen online beveiligd toegang tot log data, actuele informatie over specifieke bedreigingen en de regels voor het handhaven van het beveiligingsbeleid (policy-enforcement) in het Palo Alto Networks ecosysteem. Langs deze weg krijgen organisaties toegang tot een groot aanbod aan security apps die zijn ontwikkeld in een open ecosysteem van door Palo Alto Networks vertrouwde softwareontwikkelaars.  ON2IT ontwikkelde een app waarmee de ON2IT SOC-as-a-Service dienst zich snel, veilig en voordelig laat koppelen met Palo Alto Software producten en diensten.

Meer dan twintig toonaangevende internationale aanbieders van security oplossingen annonceerden in Anaheim hun koppelingen en apps voor het Palo Alto Networks Application Framework. ON2IT is vooralsnog de enige security specialist met een hoofdkwartier in Europa die een dienst kan leveren die gebruik maakt van alle functies van het nieuwe cloudgebaseerde Palo Alto Networks platform. Via een snelle en veilige opstartprocedure (onboarding) kunnen klanten bijvoorbeeld de logs van hun Palo Alto Networks apparatuur via de cloud beschikbaar stellen voor geautomatiseerde analyse door het ON2IT Zero Trust cloud platform, waarmee ook escalatieprocessen met tegenmaatregelen zijn te beheren.

In de praktijk gebruiken organisaties nu vaak een zogeheten SIEM-oplossing (Security Information and Incident Management). Met behulp van de ON2IT software worden de logs rond het netwerkverkeer geanalyseerd. Het aantal meldingen wordt sterk gereduceerd weergegeven in een overzichtelijk rapport. Echter, achter de ON2IT app zit niet alleen de managementsoftware, maar ook een 24/7 beschikbare staf van security specialisten die gevaarlijke bedreigingen in het netwerk van de klant snel kunnen escaleren en samen met de opdrachtgever tegenmaatregelen nemen.

ON2IT en opdrachtgever maken daarbij gebruik van een door ON2IT in eigen beheer ontwikkelde Security Automation and Orchestration Platform en normenkaders als ISO, SCADA, NEN7510/HKZ en PCI. ON2IT is één van de grootste spelers in Europa op de markt van Managed Detection and Response (MDR). Als eerste Europese onderneming integreert ON2IT zijn in de app vastgelegde expertise met het Palo Alto Applications Framework. Netwerkbeheerders binnen een organisatie behoeven niet meer fysiek te spitten in de logbestanden van de firewall, maar benaderen deze via de cloud van het framework (Logging Service).

Quotes

Het Palo Alto Networks Application Framework stelt ons in staat om ons nog meer te richten op de specifieke toegevoegde waarde van ON2IT SOC, omdat voor onboarding, systeemintegratie en gegevensbeheer op het gemeenschappelijke platform minder aangepaste tools, datamanagement en engineering activiteiten nodig zijn.”

– Lieuwe Jan Koning, CTO, ON2IT

“We zijn verheugd ON2IT te verwelkomen in de ontwikkelaarsgemeenschap van het Application Framework van Palo Alto Networks. Het framework biedt onze klanten superieure beveiliging via cloud-gebaseerde apps die zijn ontwikkeld door innovatieve cybersecurity organisaties, zowel groot als klein. Samen stimuleren we innovatie in de cyberbsecuritymarkt met apps die snel worden ontwikkeld, op een gemeenschappelijk raamwerk zijn gebaseerd en daarmee unieke waarde leveren om de moeilijkste vraagstukken bij onze klanten op te lossen. ”

– Lee Klarich, chief product officer, Palo Alto Networks

Over ON2IT

ON2ITON2IT, gevestigd in Waardenburg (NL), is één van Europa’s belangrijkste aanbieders van pure play Managed Detection en Response services. ON2IT biedt cybersecurityoplossingen en managed cybersecurity services aan Europese bedrijven die wereldwijd actief zijn. Dat gebeurt op basis van het speciaal hiervoor ontwikkelde ON2IT Zero Trust Security Framework.

Ons eigen, in-house ontwikkelde Security Automation & Orchestration Platform is het centrale loket van waaruit diensten, beleid, threat management en rapportages worden geleverd.
Met ON2IT security services en solutions zijn organisaties in staat om aantoonbaar ‘in control’ te zijn over informatiebeveiliging en te voldoen aan nationale en internationale privacyrichtlijnen. Het zorgt voor zicht op cybersecurity threats en het juist beveiligen van endpoints, IT-infrastructuur, datacenters en de cloud.
ON2IT werkt samen met toonaangevende securitypartners en is ISO27001 gecertificeerd.

Voor meer informatie: bezoek onze website www.on2it.net of volg ons op Twitter, of LinkedIn.

About Palo Alto Networks

palo-alto-networksWe are the global cybersecurity leader, known for always challenging the security status quo. Our mission is to protect our way of life in the digital age by preventing successful cyberattacks. This has given us the privilege of safely enabling tens of thousands of organizations and their customers. Our pioneering Security Operating Platform emboldens their digital transformation with continuous innovation that seizes the latest breakthroughs in security, automation, and analytics. By delivering a true platform and empowering a growing ecosystem of change-makers like us, we provide highly effective and innovative cybersecurity across clouds, networks, and mobile devices.

,

Cloud Security & Compliance nog verder uitgebreid: Evident.io

Met de vele GDPR compliance projecten in de afgelopen maanden werd meer dan ooit duidelijk: ook voor cloud omgevingen zijn zichtbaarheid, controle en security van (persoonlijke) data een MUST HAVE! Vanwege deze en en andere ontwikkelingen heeft Palo Alto Networks zich op het gebied van cloud security versterkt middels de recente overname van Evident.io.

Secure binnen IaaS/PaaS

Evident.io is pionier en marktleider binnen IT-security voor public cloud omgevingen. De combinatie van Continuous monitoring, Compliance validatie en Reporting neemt de grootste uitdagingen binnen de public cloud weg. Dit stelt DevOps en SecOps teams in staat om applicaties binnen de public cloud omgeving zonder vertraging te beveiligen.

Waar zicht en security voor SaaS applicaties al in Aperture gewaarborgd werd, zorgt Evident.io nu voor zicht en security in IaaS/PaaS omgevingen. Daarmee biedt Palo Alto Networks een nog uitgebreider oplossing voor overall Cloud Security & Compliance.

Cloud & Security in de praktijk: VWE Automotive vertelt

Met de ruim 40-jarige ervaring mag VWE Automotive misschien wel de belangrijkste speler genoemd worden op het gebied van IT-oplossingen voor de voertuigenbranche. Of het nu gaat om marktcijfers, bedrijfsvoering of verrijkte RDW voertuiginformatie leveren aan derden, VWE speelt een rol binnen de bedrijfsprocessen. Daarmee is VWE in staat om IT-processen te optimaliseren en de automotive markt te verbinden, verrijken en voorspellen.

Over cloud en security protocollen

Voor uitbreiding van de VWE dienstverlening en om deze snel te kunnen leveren aan de markt is het wenselijk om snel te kunnen schakelen. De flexibiliteit en schaalbaarheid binnen het (Azure) cloud platform maakte dat VWE de stap richting cloud heeft gezet.

Tot dat moment was alle IT in eigen beheer, van IT-professionals tot de eigen datacenters. ‘In de cloud kunnen we snel ‘op- en terugschakelen’ , wat beter past als flexibiliteit en snelheid geboden zijn’, meldt Friso Wiskerke – Manager IT Beheer binnen VWE.

Security vormt hier een belangrijk onderdeel van. Binnen deze hybride omgeving is het van essentieel belang dat security protocollen naadloos uitwisselen tussen de on-premise- en de cloudomgeving. ‘De security was al in orde, maar het is wel van belang dat ze in beide omgevingen gelijk en eenvoudig te beheren zijn’. In de loop van dit jaar zullen migraties van delen van het VWE netwerk richting cloud worden uitgevoerd, met het plan om eind 2018 al aardig ‘op weg’ te zijn.

Kom naar het Cloud Security Event!

Wilt u ook meer weten over de gang naar de cloud en de bijbehorende security-uitdagingen van VWE? Of heeft u vragen over welke stappen zijn gezet en de keuzes die zijn gemaakt? Kom dan naar het Cloud Security Event op donderdag 14 juni a.s. bij VWE Automotive.

 

,

Palo Alto Networks bezig met de overname van Secdo

Het Israëlische Secdo mag zich binnenkort onderdeel van Palo Alto Networks noemen. Met de geplande overname wordt de geavanceerde endpoint detectie en respons (EDR) van Secdo gebruikt in de endpoint beveiliging van Traps en binnen het Application Framework.

Secdo combineert endpoint detectie en -respons met security automation en is zo de enige speciaal ontwikkelde oplossing die de productiviteit van dagelijks opererende IT-security teams drastisch verhoogt.

Secdo maakt dit mogelijk met een gepatenteerde technologie die gebruik maakt van assisted learning in combinatie met thread-level zichtbaarheid om automatisch elke beveiligingsmelding te onderzoeken en erop te reageren.

Mark McLaughlin, chairman en CEO van Palo Alto Networks zegt het volgende over de overname van Secdo:

“Wij zijn van mening dat IT-security teams de meest geavanceerde en consistente benadering van endpoint beveiliging nodig hebben. Met de EDR-mogelijkheden van Secdo als onderdeel van ons platform, stelt het ons in staat om succesvolle cyberaanvallen in de cloud, op endpoints en binnen het netwerk op te sporen en te voorkomen.”

Shai Morag, CEO en co-founder van Secdo is net als McLaughlin zeer positief gesteld:

“We zijn verheugd om deel uit te maken van het Palo Alto Networks team. We hebben Secdo opgericht om de zichtbaarheid voor IT-security teams drastisch te verhogen, zodat ze minder tijd nodig hebben om een aanval te detecteren en erop te reageren. De gecombineerde mogelijkheden van Secdo en Palo Alto Networks bieden klanten de mogelijkheid om nog sneller en accuraat cyberaanvallen te detecteren en erop te reageren.”

De definitieve overname van Secdo zou tijdens het fiscale derde trimester van Palo Alto Networks plaats moeten vinden.

Meer weten over endpoint security?

Traps is de advanced endpoint security oplossing van Palo Alto Networks. Wilt u weten wat Traps voor de IT-secyurity van uw organisatie kan betekenen? Lees dan meer over Traps ›

,

“Je zult allereerst moeten accepteren dat je een doelwit bent”

“If you have something of value they are coming after you”

Wanneer je Jibran Ilyas en zijn team door de gangen van het hoofdkantoor ziet lopen is dat geen goed teken. Ilyas is de manager van de incident response afdeling van cyberrisico-managementbedrijf Stroz Friedberg. Bij het grote publiek is deze onderneming misschien niet bekend, maar in boardrooms over de hele wereld staan ze te boek als een toonaangevende expert om in te schakelen na een omvangrijk datalek.

Ilyas zelf was bijvoorbeeld de digital forensics lead in het onderzoek naar het enorme datalek bij Yahoo, waarbij uiteindelijk alle drie miljard Yahoo-accounts getroffen bleken.

Nadat verzekeringsmakelaar en risicoadviseur Aon vorig jaar Stroz Friedberg overnam, is de positie van het bedrijf als wereldspeler verder bevestigd. De kracht van consultants als Stroz Friedberg is dat ze in de cruciale 24 uur na het bekend worden van een datalek razendsnel een multidisciplinair team op de been hebben. Daarbij gaat het niet alleen om techniek, maar ook specifiek om de juridische aspecten. De teams bestaan uit beveiligings-experts, ethische hackers, big data specialisten, forensisch onderzoekers en juristen.

Hackers en ex FBI-agenten werken samen

Oprichters Ed Stroz en Eric Friedberg waren zelf bijvoorbeeld in hun eerdere loopbaan FBI-medewerker en Officier van Justitie. Zij zagen van dichtbij het cruciale belang van digitale bewijsvoering in de steeds complexere rechtszaken rond cybercrime.

Vanwege de mogelijke geldboetes en het risico op schadevergoedingen aan gedupeerden, moet elke actie in de uren en dagen na het bekend worden van een datalek vanuit alle mogelijke invalshoeken worden doorgenomen en gedocumenteerd. Een technische remedie voor een datalek, bijvoorbeeld het gebruiken van een back-up, zou mogelijk ook digitaal bewijs kunnen vernietigen.

Ilyas is juist geen jurist, maar een door de wol geverfde onderzoeker die in de afgelopen tien jaar voor een groot aantal opdrachtgevers datalekken onderzocht en met hen en de autoriteiten daders achter de tralies probeerde te krijgen. Het ging daarbij vaak om opdrachtgevers in de financiële wereld, defensie of de technologiesector.

Ilyas was in de kringen van creditcardfraude-specialisten al langer bekend als de eerste onderzoeker die in 2008 een whitepaper schreef over zogeheten RAM scraping malware: software die een geheugendump maakt van een betaalterminal. Hij treedt als spreker ook regelmatig op bij grote hacker-events als DEFCON, Black Hat en SecTor. Kortom: een man die niet voor niets directeur bij Stroz Friedberg werd.

Het motief van een hacker

Jibran Ilyas begon zijn keynote tijdens Bright & Cloudy 2017 met een analyse van de belangrijkste bedreigingen in het globale landschap van hackers. De motieven van een specifiek type hacker bepalen voor een groot deel hoe een dreiging zich ontwikkelt. Door landen of inlichtingendiensten gefinancierde inbraakpogingen hoeven bijvoorbeeld niet direct een financieel rendement op te leveren. Zij kunnen het zich veroorloven om over een termijn van meerdere jaren infiltratiepogingen te blijven ondernemen. “They just keep on trying.”

Cyberonderzoekers zoeken juist naar malware en tekortkomingen waarover ze als eerste kunnen publiceren, maar zijn niet op zoek naar octrooien, patenten of gevoelige informatie. Terroristische organisaties zijn evenmin uit op persoonlijk gewin, maar speuren wel naar vertrouwelijke gegevens en toegang tot bedrijfsnetwerken, bijvoorbeeld voor afpersing of sabotage.

“Je kunt wel een rode draad herkennen in de meest recente golf succesvolle cyberaanvallen”

Hoe verschillend de motieven van de verschillende soorten hackers mogen zijn, je kunt wel een rode draad herkennen in de meest recente golf succesvolle cyberaanvallen, zegt Ilyas. Hij haalt Sun Tzu aan: “Alle oorlogen zijn gebaseerd op misleiding”. Camouflage en het verbergen van de uiteindelijke bedoeling van de malware zijn belangrijker geworden dan infiltraties waarbij zo snel mogelijk na de inbraak zoveel mogelijk data wordt gestolen.

Onder de radar

Daarom kiezen hackers ervoor om reguliere Windows-tools en OS-onderdelen te gebruiken (of liever misbruiken) in plaats van aparte malware programma’s die gemakkelijker kunnen worden gevonden. Ze streven er ook niet meer naar om 24/7 zogeheten Command and Control toegang te hebben tot de infrastructuur waarin ze zijn geïnfiltreerd.

De nieuwe generatie intrusion detection tools detecteert dergelijk ongebruikelijk netwerkverkeer eerder dan voorheen, dus worden de hackers creatiever. Ilyas omschrijft het als ‘hiding in plain sight’. De nadruk ligt op het onzichtbaar blijven, totdat via een zorgvuldig getimede actie de verborgen malware kan worden geactiveerd, bijvoorbeeld voor data-exfiltration of sabotage.

Totdat uur U is aangebroken, gebruiken de hackers aanvullende methoden om onder de radar te blijven. Ze analyseren, legt Ilyas uit, bijvoorbeeld zelf de tickets van je interne security helpdesk om te zien of ze al op het punt staan te worden ontdekt.

Ze verzamelen de data die ze willen stelen geleidelijk aan, zorgen ervoor dat die in nieuwe, versleutelde en met een wachtwoord beveiligde bestanden wordt verpakt, en gebruiken diensten als Dropbox, Google Drive of OneDrive voor het dumpen van die bestanden.

Wat is de beste verdedigingstactiek?

Ook tegen de steeds geavanceerdere aanvallen van hackers kun je jezelf effectief verdedigen, stelt Ilyas. Hij somt daarvoor een aantal in de praktijk beproefde tactieken op. Je zult allereerst moeten accepteren dat je een doelwit bent.

“If you have something of value, they are coming after you.” En op dat moment gaat het niet zozeer om preventieve maatregelen (want die lopen per definitie achter), maar om de vraag of je ongeautoriseerde toegang tot je data te allen tijde kunt detecteren. De mantra van 100 percent visibility is ook voor Ilyas een cruciale randvoorwaarde.

“Gebruik two-factor niet alleen voor de VPN-toegang, maar ook voor toegang tot clouddiensten als Outlook Web Access en publieke clouddiensten.”

Het is volgens hem daarnaast verbazingwekkend hoe vaak zijn team hoort: ‘Ik wist niet eens dat wij deze server hadden’ of ‘Wij wisten niet dat deze gevoelige gegevens op deze plek zijn opgeslagen.’ Het lijkt triviaal, maar een uitputtende inventarisatie van alle data (ook in de cloud) is een andere basisvereiste die niet altijd wordt nageleefd. Denk daarbij niet alleen aan data op servers, maar ook aan gegevens die in de end-points zijn opgeslagen: e-mails, vertrouwelijke spreadsheets en documenten, opgeslagen browser wachtwoorden en sessie-cookies.

Het lijkt een no-brainer, maar vermijdt authenticatie op basis van alleen een wachtwoord. Gebruik two-factor niet alleen voor de VPN-toegang, maar ook voor toegang tot clouddiensten als Outlook Web Access en publieke clouddiensten. Leveranciers als Palo Alto Networks en VMware hebben hiervoor inmiddels gebruiksvriendelijke oplossingen.

SIEM-tuning als een continu proces

“Behandel je logbestanden als vitale informatie en zet er goede mensen op.”

Ilyas komt het vaak tegen: IT-afdelingen laten de logbestanden door stagiaires uitpluizen, vooral omdat dit een compliance verplichting is. “Maar je hebt een ervaren specialist nodig om ongebruikelijke patronen in logbestanden te herkennen. Behandel je logbestanden als vitale informatie en zet er goede mensen op.

De huidige generatie SIEM-software kan je helpen om bestanden ‘voor te filteren’, zodat de hoeveelheid informatie die menselijke experts moeten beoordelen sterk wordt gereduceerd. Maar honderd procent automatisering is helaas nog een fictie, dus investeer in SIEM-tuning als een continu proces.”

Ilyas heeft ook nog een advies dat niets met harde technologie te maken heeft. “Bescherm je security-mensen tegen een burn-out. Wanneer je hebt geïnvesteerd in toptalent om je security op niveau te houden, zorg er dan voor dat hun gemiddelde werkdag niet is gevuld met werk dat ook gemakkelijk door anderen kan worden gedaan en het leeuwendeel van hun tijd in beslag neemt. Zorg er daarnaast voor dat je continuïteit geborgd is.”

De Amerikaanse topconsultant lijkt daarmee ook een lans te breken voor het inzetten van managed security. De war on talent woedt in alle hevigheid, organisaties krijgen te maken met meer taken bij gelijkblijvende budgetten en de dreigingen nemen zo snel toe dat het voor een IT-afdeling op eigen kracht nagenoeg ondoenlijk is om 24/7 op de hoogte te blijven van alle malware en tegenmaatregelen.

Door gebruik te maken van een managed Security Operations Center (SOC) dat via de cloud monitoring en analyse voor een groot aantal klanten uitvoert, kun je gebruik maken van schaalvoordelen die niet bereikbaar zijn voor een individuele organisatie.

,

“Geef 97% van het bedrijfsleven ook toegang tot kennis en kunde over cybersecurity”

“Een digitale overheid is een moderne overheid. Tegelijkertijd moeten we ons bewust zijn van de gevaren van digitalisering en security risico’s”, aldus Tineke Netelenbos. 

Als voorzitter van ECP, een platform voor de informatiesamenleving, en als lid van de Cyber Security Raad, maakt Netelenbos zich in haar keynote tijdens Bright & Cloudy sterk voor een nationale cybersecurity-strategie in het belang van Nederlandse organisaties en burgers.

Tineke Netelenbos opende haar presentatie met somber makende perspectieven: het aantal gevallen van ransomware is met +1225% (!) toegenomen, phishing komt steeds meer voor, en met darknet is crime as a service beschikbaar geworden, met bitcoins als crimineel betaalmiddel. Die toename van cybercrime kost de Nederlandse staat naar schatting 10 miljard euro per jaar. En dat is een voorzichtige schatting.

De rol van de Cyber Security Raad

Reden voor de Nederlandse overheid om een apart adviesorgaan op te richten om – vooruitlopend op de reguliere beleidscyclus – over nieuwe technologische ontwikkelingen en de cybersecurity-consequenties daarvan te adviseren.

De Cyber Security Raad (CSR), opgericht in 2011, adviseert de regering en private partijen over een nationale cybersecuritystrategie. “Ook adviseert de raad bij grootschalige cyberincidenten, en willen we vooruitkijken en signaleren wat er op Nederland afkomt op ICT-gebied”, aldus Netelenbos.

“Alleen de rijksoverheid en organisaties in wat we de vitale infrastructuur noemen, wisselen onderling cruciale informatie uit.”

Een van de manieren om dat te doen is door de boardroomgesprekken die de 18 leden van de CSR organiseren met het bedrijfsleven. “Die gesprekken zijn nodig om cybersecurity op strategisch niveau onder de aandacht te brengen. Het is niet alleen een onderwerp voor de IT-afdeling: cybersecurity vraagt in het kader van bedrijfscontinuïteit ook om strategische aansturing”, zegt Netelenbos op Bright & Cloudy.

Ernstig informatietekort

In juli dit jaar publiceerde de CSR een advies om Nederlandse bedrijven meer tegemoet te komen met informatie over cybersecurity. Netelenbos:

“Alleen de rijksoverheid en organisaties in wat we de vitale infrastructuur noemen, wisselen onderling cruciale informatie uit. Die vitale sectoren, zoals energiebedrijven, waterschappen en telecombedrijven, zijn cruciaal voor het goed functioneren van de Nederlandse samenleving. Als die geraakt worden door een cyberaanval, ligt Nederland stil.”

Maar juist 97% van bedrijfsleven heeft nu geen toegang tot de kennis en kunde die wordt gedeeld door Rijksoverheid, de vitale sectoren en kenniscentra zoals het Nationaal Cyber Security Center. “Deze bedrijven hebben bewust of onbewust een ernstig informatietekort en vormen daardoor een makkelijk doelwit voor cybercriminelen”, waarschuwt Netelenbos.

“Een goede, landelijke informatievoorziening helpt de weerbaarheid van Nederland te verhogen. Juist het MKB wil informatie over cybersecurity, dreigingen en advies hoe te handelen.”

2,5 miljoen euro voor digital trust center

Het probleem wordt ook in Den Haag herkend. Een Kamermeerderheid is voor de oprichting van een zogeheten Digital Trust Centre (DTC), om cybersecurity bij het MKB op de agenda te zetten, vertelt Netelenbos tijdens Bright & Cloudy.

“Het is de bedoeling dat het Digital Trust Centre eenzelfde rol krijgt als het Nationaal Cyber Security Centrum, maar dan gericht op de 97% van het bedrijfsleven die buiten de vitale sectoren valt. Het ministerie van Economische Zaken heeft de regie, en werkt nauw samen met ministerie van Veiligheid en Justitie en ondernemingsorganisatie VNO-NCW.”

Twee en een half miljoen euro wordt er in 2018 vrijgemaakt door het ministerie van Economische Zaken voor het opzetten van een Digital Trust Center om MKB-bedrijven in staat te stellen hun eigen cybersecurity te organiseren. In totaal heeft het kabinet 26 miljoen euro beschikbaar gesteld voor het aanpakken van cyberspionage en -sabotage, de bestrijding van cybercrime en het opzetten van een DTC.

Veilig internetten

Ook ligt er een flinke taak bij het informeren van Nederlandse burgers over de risico’s die zij online lopen. Als voorzitter van het ECP, een platform voor de informatiesamenleving, maakt Netelenbos zich ook sterk voor digitaal vaardige burgers, of dat nu kinderen, jongeren of senioren zijn. “Dat doen we onder andere door publiekscampagnes zoals AlertOnline of Veiliginternetten.nl.

Hoe herken ik een nepmail als consument? Hoe kan ik veilig een openbaar wifinetwerk gebruiken? Met AlertOnline en Veiliginternetten.nl willen we burgers praktische tips en informatie geven. Bedrijven en overheden bijstaan met security en risico’s is een belangrijke taak, burgers helpen om digitaal vaardig te worden net zo goed.”

“Het niveau van cybersecurity in Nederland moet beslist beter, omdat we één van de meest ICT-intensieve economieën hebben van Europa en dus kwetsbaar zijn voor de sterk toenemende cyberdreigingen.”

Niet alleen grote bedrijven

“Cybersecurity raakt álle sectoren van de samenleving, niet alleen grote bedrijven of de overheid. Om dreigingen te kunnen herkennen en de digitale veiligheid in Nederland te verhogen, is kennis delen van cruciaal belang”, zegt Netelenbos.

“Cybersecurity is te veelomvattend om door één sector opgepakt te worden. Wat bij een klein bedrijf begint kan door het onderlinge vertrouwen het begin van een olievlek zijn, het is daarom belangrijk om iedereen in het bedrijfsleven continu bewust te maken van de gevaren.”

Eigenlijk zou een hoog cybersecurityniveau net zo vanzelfsprekend moeten zijn als hoge waterkeringen, vindt ze. Een Digitaal Deltaplan dus, adviseert de Cyber Security Raad. Want de digitale ‘waterkeringen’ zijn in Nederland nog niet op orde. “Het niveau van cybersecurity in Nederland moet beslist beter, omdat we één van de meest ICT-intensieve economieën hebben van Europa en dus kwetsbaar zijn voor de sterk toenemende cyberdreigingen.”

NeuVector runtime security in containers

Werkt u al met containers of bent u van plan om dat in de toekomst te gaan doen, dan kunt u niet om het security vraagstuk heen. En daar komt NeuVector in beeld.

Container Security; Waarom?

Containers zijn de nieuwste manier om snel en makkelijk nieuwe software te implementeren. Maar, een nieuwe techniek vereist een andere manier van security. De uitdagingen van container security zijn anders dan van andere software-oplossingen. Traditionele firewalls zijn niet toepasbaar in containers, omdat ze statisch zijn.

Een cloud native oplossing, zoals een container, vereist een stateless securityaanpak. Omdat containers continu kunnen up- of downscalen, moet de securityoplossing de nieuwe containers automatisch kunnen herkennen en in runtime kunnen beveiligen, zonder configuratie. Automation is noodzakelijk om te kunnen voorzien in container security.

Container Security; Vierstappenplan

NeuVector werkt volgens een geautomatiseerd vierstappenplan:

  • Deploy – Met Neuvector heeft u geautomatiseerde deployment en updates en onmiddellijke netwerk- en containervisualisatie.
  • Audit & Compliance – Om aantoonbaar compliant te zijn biedt Neuvector Kubernetes CIS benchmark en runtime vulnerability scanning.
  • Protect – Uw containers worden beschermd dankzij geautomatiseerde threatdetectie, network based application security, endpoint process en syscall monitoring.
  • Respond – Wordt er een threat gedetecteerd, dan stuurt NeuVector u een alert, blokkeert het de threat automatisch en wordt deze in quarantaine geplaats.

Elementen Container Security

Met het gebruik van traditionele firewalls bent u zonder twijfel bekend. Maar hoe gaat container security nu eigenlijk in zijn werk? Container security vereist een dynamische en geautomatiseerde aanpak. Hoe NeuVector dat doet? De container security is in runtime en gebaseerd op behavioral learning en container intelligence en maakt gebruik van een security container en layer 7 netwerkinspectie.

Altijd veilig met runtime security

Even niet opletten of gebruik maken van IT-security die opstarttijd nodig heeft kan u duur komen te staan. NeuVector is daarom actief in runtime. Zelfs tijdens de ontwikkel-, test-, staging- en productiefase worden containers gescand. Malicieuze activiteiten worden meteen gedetecteerd en gestopt.

Containergedrag analyseren met behavioral learning

Om een aanval op een container te kunnen herkennen, moet je eerst weten hoe een goed werkende container zich normaal gesproken gedraagt. NeuVector analyseert de standaard connecties en het gedrag van de applicatie en bouwt automatisch een beveiligingsbeleid (security container) om containers te beveiligen. Door deze behavioral learning aanpak wordt het normale gedrag van applicaties en services ontdekt, om dit te kunnen onderscheiden van attacks.

Container firewall; Layer 7-netwerkinspectie

Door middel van Layer 7-netwerkinspectie worden ongeautoriseerde connecties tussen containers en van buitenaf gelogd of geblokkeerd, zonder de containersessies te verstoren, door middel van het gebruik van netwerk firewalltechnologie. Alle actieve containers en host OS’s worden automatisch gescand op kwetsbaarheden en threats zoals DDos, DNS en Persistent Attacks worden gedetecteerd.

Container beveiligingsbeleid

Goede security is gebaseerd op een beleid. Ook containers hebben een beleid nodig om ze zo optimaal mogelijk te beveiligen. NeuVector maakt automatisch een security container aan die de volgende componenten bevat:

  • Een container firewall
  • Host monitoring & security
  • Security auditing met CIS-benchmarks
  • Vulnerability scanning

Meer weten over container security?

ON2IT helpt u graag uw containers te beveiligen. Meer weten over containers en container security van NeuVector? We bespreken de mogelijkheden graag met u.

,

Traps 5.0: Alles over de nieuwste release

Traps van Palo Alto Networks stopt de kerntechnieken die een hacker gebruikt voor een infectie, signatureless! Traps focust zich op de oorzaak, niet op het gevolg. Versie 5.0 van Traps is de nieuwste release biedt een aantal belangrijke verbeteringen op het gebied van endpoint security.

Met de nieuwe release voert Traps haar infrastuctuur nu ook naar de cloud door. Traps Management Service in de cloud betekent dat integratie met het Application Framework en Logging Service binnen bereik is!

Door alle alle incident-data in Logging Service op te slaan voor verder onderzoek en incident response, ligt de toekomst open voor verdere ontwikkeling en integratiemogelijkheden met het Application Framework.

Maar er is meer:

  • Nu ook Linux support, waardoor het Traps platform nu bescherming van applicaties biedt binnen alle belangrijke Operating Systems (Windows, MacOS en Linux)
  • Traps Management Service biedt een uitgebreide beheeromgeving in de cloud
  • De vernieuwde gebruikersinterface maakt het eenvoudiger om policies en incident response workflows te overzien
  • Periodieke endpoint scans zijn mogelijk gemaakt, waardoor veel organisaties ook dit deel van het security protocol kunnen uitvoeren

Meer weten over Traps 5.0?

Wilt u meer informatie over de werking van Traps? Lees dan verder op onze website Traps.nu

Wilt u liever een persoonlijk gesprek met een van onze consultants? Neem dan contact met ons op.

,

Container security: De ON2IT partner hiervoor heet NeuVector

Met de snelle ontwikkelingen op het gebied van implementatie, schaling en uitvoering van applicatiecontainers, spelen ook IT-security issues een steeds grotere rol. Reden voor ON2IT om een samenwerking aan te gaan met NeuVector. Met deze samenwerking zorgt ON2IT voor een nog completer portfolio om IT-security slim en vooruitstrevend toe te passen. Waar uw data ook staat: work fearless, perform better.

NeuVector is trendzetter binnen Kubernetes security en komt als eerste en enige met een multi-vector container firewall. Hiermee kan men de containerstrategie zonder problemen organisatie-breed uitrollen in zowel public- als private cloud én on-premise omgeving.

Met deze IT-security oplossing wordt oost-west verkeer zichtbaar en is security van zowel host als container gewaarborgd.

De container firewall van NeuVector’s werd begin 2017 gelanceerd en is sindsdien dé containernetwerk security-oplossing. Werelwijd maken toonaangevende banken, zorginstellingen en media al gebruik van NeuVector. De organisatie werd opgericht door IT-security ‘veteranen’ van VMware, Cisco, Fortinet en Trend Micro.

Met hun ruim 20-jarige ervaring op het gebied van IT-security, virtualisatie en enterprise software is een product ontwikkeld, waar momenteel patent-aanvraag loopt voor behavioral learning van de container security.

Meer weten over container security?

ON2IT helpt u uw containers te beveiligen. Meer weten over containers en container security?

“Met een Checklist in een ordner stop je geen Hackers”

“Het komt ook ons commercieel niet slecht uit, maar alle aandacht voor de aanstaande invoering van de AVG is natuurlijk bizar. Alsof organisaties het zich  in de afgelopen jaren hebben kunnen veroorloven om beveiliging en risk management links te laten liggen.”

Lieuwe Jan Koning, founding partner van de Nederlandse cybersecurityspecialist ON2IT, begrijpt dat de invoering van de nieuwe Europese privacywetgeving per 25 mei van dit jaar een mooi moment is voor dreigende AdWords campagnes en e-mails van juristen en consultants. Maar praktisch gezien voldoen de meeste klanten van ON2IT al veel langer aan het grootste deel van alle eisen die de AVG stelt.

“Het klinkt wrang, maar het overtreden van de AVG is voor onze grotere klanten een relatief klein probleem in vergelijking met met de operationele schade die ze kunnen oplopen door inbraken of datalekken. De technische en organisatorische beveiligingsmaatregelen die ze daarvoor al jarenlang moeten nemen zijn als het goed is een solide fundament om ook AVG-compliant te zijn.”

AVG is klein onderdeel van cybersecurity

Koning: “Het klinkt natuurlijk lekker afschrikwekkend in de communicatie rond de AVG: stevige boetes voor bestuurders bij privacy-overtredingen. In de praktijk zijn de consequenties van serieuze hacks vele malen groter. De CEO’s van grote ondernemingen als Target en Sony moesten vertrekken als gevolg van inbraken door hackers, en beursanalisten vreesden destijds dat Sony Pictures de reputatieschade niet te boven zou komen.”

ON2IT heeft internationale klanten die in complexe juridische transacties verwikkeld zijn, zegt Koning. “Kun je je voorstellen wat de schade is wanneer de advocaten van de tegenpartij alle dossiers zouden kunnen inzien?”

De boetes voor de AVG zijn volgens hem peanuts in vergelijking met de business impact van gestolen intellectuele eigendom, klantgegevens, sabotage of inbraken in de systemen van banken of energiebedrijven.

Kortom: in de context van de voortdurende strijd tegen cybercrime hebben veel grote ondernemingen – meestal in samenwerking met externe IT-security specialisten – hun databeveiliging in de afgelopen jaren al naar  een steeds hoger niveau moeten tillen.

Wapenwedloop tussen IT-afdelingen en hackers

Koning wil het belang van de AVG niet bagatelliseren, maar hij ziet de snelheid waarmee het technologisch landschap versnelt als een “ordegrootte” ingewikkelder probleem voor vrijwel alle organisaties waaraan zijn onderneming cyberbeveiligings diensten levert.

Het klopt dat het inrichten en onderhouden van cyberbeveiliging en risk management rapportages niet langer op de bestaande, bijna ambachtelijke manier is vol te houden.

“Het is een open deur om te stellen dat hackers, vooral die voor overheden werken, steeds geavanceerder te werk gaan. Maar ook commerciële malware exploitanten worden met de maand slimmer. Tegelijk hebben de IT-organisaties van onze klanten te maken met de onverminderde migratie naar clouddiensten, de versnelde verschuiving naar het software-defined datacentrum. De omgeving en de data die we moeten beveiligen zijn voortdurend in beweging onder druk van technologie en concurrentie.”

Koning signaleert twee duidelijke marketing-trends in de wapenwedloop tussen IT-afdelingen en hackers: automation en artificial intelligence (AI).

“Het klopt dat het inrichten en onderhouden van cyberbeveiliging en risk management rapportages niet langer op de bestaande, bijna ambachtelijke manier is vol te houden. Daar hebben we de specialisten niet voor en daarvoor is het probleem te groot.”

Maar volgens hem beperken veel hardware en software aanbieders de automation tot hun eigen producten en diensten.

Automation en artificial intelligence

artificial-intelligence-hackers“Wij zijn in de afgelopen tien jaar tot de conclusie gekomen dat de technologie zo snel verandert, dat het door ons ontwikkelde automation concept boven al die aanbieders moet hangen. Daar ligt onze meerwaarde. Wanneer er een nieuwe veelbelovende startup is die op basis van AI continu zogeheten penetratietesten kan uitvoeren (en dus niet twee keer per jaar), dan moet dat direct kunnen integreren in al onze bestaande geautomatiseerde workflows en audits.”

Om te illustreren hoe snel en onvoorspelbaar ontwikkelingen kunnen gaan wijst Koning op de opkomst van de zogeheten Zero Trust aanpak in cybersecurity.

“Wij hadden de visie, en eerlijk gezegd ook wel wat geluk, om een paar jaar geleden te gaan samenwerken met John Kindervag, de uitvinder van Zero Trust. Destijds was hij een roepende in de woestijn, nu gebruiken de FBI, Google en en Facebook zijn concepten als basis voor hun databeveiliging.

Of neem Palo Alto Networks. We integreerden hun producten bij onze klanten toen ze een kleine maar veelbelovende startup met razend slimme producten waren. Nu is Palo Alto Networks 17 miljard waard op de beurs en scoren ze torenhoog als marktinnovatie-leider bij Gartner en IDC.

Vanuit Silicon Valley en Israël  zie je nu letterlijk honderden cybersecurity startups, met veelbelovende concepten om security en risk management met AI-technologie te automatiseren. Wij moeten ervoor zorgen dat onze klanten die technologie – zodra die zich bewezen heeft – kunnen gaan gebruiken.”

Zonder visibility heb je niets aan checklists

Visibility, zichtbaarheid van alle datastromen, is een sleutelconcept in databeveiliging, zegt Koning.

“Als je niet ziet wat er in je netwerk en in het dataverkeer naar buiten gebeurt, dan ben je blind”.

Ook hier is het probleem dat het door specialisten laten zoeken naar verdachte patronen in duizenden logbestanden geen optie meer is. En ook hier bieden automatisering en artificial intelligence oplossingen. ON2IT biedt bijvoorbeeld een zogeheten Traffic Scan aan waarmee je volgens Koning met enkele dagen verkeersanalyse van al je netwerkverkeer meer te weten komt dan voorheen met  een leger aan analisten van verschillende leveranciers.

“Neem nu die CEO of zorgbestuurder die zich inmiddels toch zorgen maakt over zijn of haar risicoprofiel bij het in werking treden van de AVG”, zegt Koning. Hij begrijpt dat er organisaties zijn die door een combinatie van oorzaken nog geen optimale cybersecurity strategie hebben ontwikkeld, laat staan geïmplementeerd.

Die AVG is dan een logisch moment om aan de hand van een verkeersanalyse van je werkelijke dataverkeer zichtbaar te maken waar je kwetsbaarheden liggen. Eerst door éénmalig een controlemeting uit te voeren. Doel is uiteindelijk om structureel te meten.

Elke goede cybersecurity strategie voorziet erin dat je doorlopend kunt aantonen dat je in control bent. Natuurlijk zijn checklists, protocollen en procedures belangrijk. Maar je moet ook actief en 24/7 dreigingen in de gaten houden, zoals de in je netwerk gevonden malware, het gebruik van risicovolle applicaties en het afwijkend gedrag van je ICT-systemen.”

Benieuwd naar de Traffic Scan?

De ON2IT Traffic Scan geeft u inzicht in wie en wat uw netwerk bedreigt.

,

GDPR-Tip: Beleid moet!

Beleid moet! De GDPR stelt meer eisen aan het informeren van uw klanten. U bent zelfs wettelijk verplicht om een privacybeleid te hebben. Lees meer

Wat zijn Cloud Containers en hoe zit het met de Security?

In dit tweede deel over Cloud Security gaan we in op het begrip containers, het nieuwe buzzwoord in IT-landschap. Containers zijn de nieuwste ontwikkeling én de toekomst. Maar wat zijn containers, wat is het verschil tussen een container en een VM, waarom zou u ermee werken en misschien wel de belangrijkste vraag, hoe gebruikt u containers op een veilige manier? Lees meer

Cloud Security een Shared Responsibility

Een verandering in het IT-landschap is niet opzichzelfstaand. Niet alleen veranderen de technologieën, ook de manier waarop we ze moeten beveiligen verandert mee. Zijn de oude beveiligingsstrategieën en –methodes nog afdoende om uw data adequaat te beveiligen? In dit eerste deel bespreken we cloud security in het algemeen. Wist u bijvoorbeeld dat u een shared responsibility heeft wat betreft het beveiligen van de cloud?

The future is now

Klonk de cloud enkele jaren geleden nog als een begrip uit de toekomst, vandaag de dag behoort het tot de realiteit. De cloud heeft zich in korte tijd ontwikkeld van een manier om data op te slaan naar een manier om goede ideeën snel om te zetten in geweldige software. Een innovatie die veel nieuwe mogelijkheden biedt aan u als ondernemer. De nieuwe software is via de cloud namelijk meteen toepasbaar. Het ziet ernaar uit dat deze ontwikkeling ook in 2018 verder zal gaan en dat de cloud een onmisbare business tool wordt. Aldus de analysten en visionairs van Forrester.

Shared Responsibility

Waar de cloud inmiddels een ingeburgerd begrip is, is cloud security dat gek genoeg nog niet. Veel organisaties gaan er ten onrechte vanuit dat de beveiliging van hun data de verantwoordelijkheid is van de cloudprovider. Waar de cloudprovider verantwoordelijk is voor de beveiliging van de cloud, bent u verantwoordelijk voor de beveiliging van uw data in de cloud. Elke ondernemer heeft hierin een shared responsibility. Een IT-securitybeleid heeft u zonder twijfel, maar is de cloud daar ook een onderdeel van?

Visibility & Control

Visibility en control zijn essentieel voor het opstellen van een goed securitybeleid. Want hoe kunt u ergens de verantwoordelijkheid voor nemen als u er geen overzicht over heeft? Met de invoering van de GDPR-wetgeving bent u wettelijk verantwoordelijk voor uw data, waar ze ook staan. Cloud security is dus een onderwerp om bij stil te staan, wilt u ervoor zorgen dat u aantoonbaar compliant bent.

Zero Trust in de cloud

De Zero Trust-filosofie zal ook in de cloud steeds belangrijker worden en essentieel zijn voor het succes van cloudplatforms. Veranderende technologische ontwikkelingen en de explosieve toename van mogelijke bedreigingen (er komen dagelijks 250.000 nieuwe bedreigingen bij) vragen immers om een nieuwe aanpak van IT-security.

In deze aanpak verschuift de focus van ‘bedreigingen uit uw netwerk houden’ naar ‘het beschermen van uw data en cloudapplicaties’ door middel van segmentatie. Data, applicaties en gebruikers worden gesegmenteerd, waardoor u visibility en control houdt. Het Zero Trust-model verlaagt direct het risico en de impact van cybercrime, waar uw data ook staan.

Cloud security

U weet nu dat u een shared responsibility heeft wat betreft cloud security en idealiter wilt u een mogelijke aanval voorkomen, conform de Zero Trust-filosofie. Daarnaast is het uw verantwoordelijkheid om aantoonbaar compliant te zijn, ook wat betreft uw cloud. Maar hoe pakt u dat aan? Cloud security is een specialistisch onderwerp en u wilt niet dat uw data een makkelijk doelwit zijn.

Om ontzorgd te worden wat betreft uw cloud security en om er zeker van te zijn dat de juiste specialistische kennis aanwezig is, kunt u er bijvoorbeeld voor kiezen om een managed cloud securitydienst af te nemen. Een managed dienst geeft u een duurzame veiligheid van uw data en inzicht in compliance, zonder dat u er tijd aan kwijt bent. Het zorgt ook voor een verlaging van uw operationele kosten, want u heeft geen harde investeringen meer, maar een maandelijks, behapbaar, budget. Daarnaast kan het de basis zijn voor een beter beleid, betere controle én een optimale validatie van uw data. Zodat u zich kunt focussen op uw business, terwijl mogelijke threats worden ondervangen.

Maak uw cloud inzichtelijk

Heeft u inzicht in wat er in uw cloud gebeurt? Kunt u op elk moment zien wat er precies in uw cloud gebeurt? Weet u hoeveel dreigingen, bekend en onbekend, uw cloud aanvallen?

Weet u hoeveel applicaties er draaien en door wie ze gebruikt worden?

Is het antwoord op bovenstaande vragen nee? Vraag dan een SaaS Risk Report aan bij ON2IT en krijg inzicht in:

  • Wat er echt gebeurt binnen uw cloud
  • Waar de potentiële dreigingen zich bevinden in uw cloud
  • Welke SaaS-applicaties en schaduwapplicaties er worden gebruikt
  • Wat de high-risk applicaties binnen uw cloud zijn
  • Wat u kunt doen om de risico’s te minimaliseren

GDPR-tip: Probeer niet alles zelf te doen!

Wetgeving is een lastig onderwerp. U dient als bedrijf de juiste beveiligingsmaatregelen te treffen om datalekken, van uw cloud, te voorkomen, maar u wilt niet verzanden in regeltjes, protocollen en procedures. Want wanneer is iets eigenlijk een datalek? Moet een datalek altijd geregistreerd worden? En wat zijn de gevolgen ervan? Ons advies: zorg ervoor dat u een vraagbaak heeft.

Een kundig iemand kan u informeren over de specifieke wet- en regelgeving waar u in uw sector aan moet voldoen wat betreft IT- en cloud security-beleid. Als u zich goed laat informeren, kunt u uw (interne) beleid vervolgens aanpassen conform de richtlijnen die u heeft gekregen.

Een goede vraagbaak kan bijvoorbeeld een organisatie zijn die gespecialiseerd is in wettelijke vraagstukken, een ICT-jurist, een privacy IT ‘er of een privacy consultant. Het is fijn om met iemand te kunnen sparren. Zo weet u zeker dat uw beleid het beste aansluit bij uw wensen op securitygebied.

De hacker bepaalt of je IT-security goed genoeg is

In een decennium waarin organisaties ongekend snel en flexibel moeten opereren in steeds complexere omgevingen, neemt ook cybercrime in een moordend tempo toe. Iedere CEO kijkt regelmatig in de spiegel en stelt zichzelf de vraag: is mijn security goed genoeg?

‘Je security is goed genoeg wanneer je alle cyberaanvallen en datadiefstal voorkomt.’

Het is een eenvoudige vraag. Te eenvoudig, op het eerste gezicht. Toch kozen Marcel van Eemeren en Lieuwe Jan Koning – de twee oprichters van beveiliger ON2IT – deze vraag niet zomaar als thema voor hun security-event Bright & Cloudy. De 2017 editie van dit congres in Amersfoort was de grootste ooit, met honderden ICT-professionals als bezoekers en topsprekers van toonaangevende ondernemingen als VMware, Palo Alto Networks en Stroz Friedberg.

“Het antwoord op de vraag lijkt eenvoudig”, zegt Van Eemeren. “Je security is goed genoeg wanneer je alle cyberaanvallen en datadiefstal voorkomt.” Maar die doelstelling is zo onrealistisch, dat je er in de praktijk niets mee kunt. “De kans dat een organisatie niet getroffen wordt door een cybercrime aanval is nul procent”, zegt hij. “Wanneer dat je maatstelling voor een goede security is, dan kun je op voorhand vaststellen dat je security niet goed genoeg is en dat ook nooit zal worden. Zeker in het licht van de nieuwe Europese GDPR, waarin het lekken van data net zo schadelijk kan zijn als de meest gevaarlijke zero-day. ON2IT definieert goed genoeg dus niet als honderd procent veilig, maar veel meer in de context van risico’s verkleinen, impact beperken, zien en reguleren en automatiseren van je response. Dat is geen simpel antwoord, maar de wereld is niet simpel.”

Rijp voor een reality check

Lieuwe Jan Koning (links) en Marcel van Eemeren (rechts)

Van Eemeren en Koning staan niet alleen in hun realistische kijk op de maximaal haalbare security. Ook John Kindervag, de invloedrijke Amerikaanse architect van het Zero Trust beveiligingsconcept, hanteert als mantra “Never trust, always verify”. ON2IT bracht het Zero Trust concept (dat inmiddels is omarmd door Google en de CIA) als eerste naar Europa en naar zijn klanten, mede door een jarenlange en intensieve samenwerking met Kindervag.

“Software bevat programmeerfouten, configuratie van security controls, zoals firewalls of endpoint protection software, gebeurt soms niet goed, en medewerkers klikken op bestanden met zero-day exploits”, zegt Koning. “Wanneer je wereldbeeld en je beveiligingsideaal is gebaseerd op de aanname dat dit bij jouw onderneming nooit gaat gebeuren, dan ben je toe aan een reality check. Trust is a vulnerability. Dat is ook de ervaring van de meest ervaren security-managers en CIO’s in ons klantennetwerk. De kwaliteit van je IT-security kun je afmeten aan de acties die plaatsvinden wanneer er een incident gebeurt, want dat dit gebeurt is een zekerheid in dit leven. Zero Trust is helemaal gebouwd op deze aannames. Wanneer er een beveiligingslek is in een bepaald deel van het netwerk (en dat zal gebeuren), hoe kunnen we dan de impact op andere delen beperken, bijvoorbeeld door alle gevoelige data in apart beveiligde segmenten op te slaan.”

Maar ik voldoe toch aan de norm?

Op het eerste gezicht lijkt er wel degelijk een alternatieve, meer voor de hand liggende route te zijn om te bepalen of je security goed genoeg is. We hebben toch een overvloed aan normen en regelingen? ISO, PCI, SOX, HIPPAA, NEN en AVG/GDPR: de vakbladen en congressen berichten maandelijks over updates, uitbreidingen en nieuwe regels. Het recept lijkt dus eenvoudig: kies de normeringen en certificeringen die voor jouw branche relevant zijn, en tref de bijbehorende organisatorische en technische maatregelen. Dan is je security in theorie goed genoeg.

“Natuurlijk moet iedereen voldoen aan bijvoorbeeld Europese privacywetgeving”, zegt Van Eemeren, “dat is niet eens een keuze die je kunt maken, net zoals Nederlandse zorgaanbieders aan de NEN-normen moeten voldoen. En met de zogeheten GDPR op komst is gegevensbescherming ook het zorgenkind geworden van de CEO en de raad van commissarissen. De hoofdelijke aansprakelijkheid en mogelijke miljoenenboetes in de verordening schudden bestuurders goed wakker.”

Maar het is daarmee nog steeds niet eenvoudig om die kaders en normen te vertalen in een optimale security-strategie. Dat komt op de eerste plaats omdat de meeste normen je niet vertellen hoe de technische oplossingen die je kiest eruit moeten zien. Je kunt met software en hardware van uiteenlopende leveranciers voldoen aan de norm. De norm vertelt je evenmin of je Security Operations Center vier of veertig FTE’s moet hebben.

Minimumeis norm is geen garantie voor continuïteit

Toch zijn de interpretatieverschillen rond een norm of wet niet het grootste probleem waardoor ze onbruikbaar zijn om de échte kwaliteit van je IT-security te ijken, zegt Van Eemeren. “De achtergrond van normen en wetten is doorgaans de bescherming van burgers of consumenten, en dat is een groot goed. Maar voor onze klanten, en dus voor ons, is een goede security nog vele ordegroottes belangrijker. Het kan namelijk het verschil zijn tussen overleven of een faillissement. Natuurlijk helpen we onze opdrachtgevers maximaal met compliance.

“Simple. Secure. Now!”

Maar de continuïteit van de organisatie is de echte inzet van de oorlog tussen hackers en beveiligers. Die oorlog win je niet met een jaarlijkse audit of een pen test per kwartaal. Daarvoor moet je Security Operations Center 24 uur per dag on full alert zijn om de impact van elke nieuwe dreiging te kunnen inschatten en minimaliseren. De management-rapportages die je moet opleveren om aan bestuurders te laten zien dat je compliant bent aan de normen en wetten, die beschouwen wij als de ondergrens van ons werk. De echte uitdaging is veel complexer.” Van Eemeren vat het compact samen als “Simple. Secure. Now!”

Wat is dus wel goed genoeg?

Daarmee is de vraag wanneer je security goed genoeg is nog steeds niet eenvoudig beantwoord. “Het klinkt misschien een tikje arrogant, maar wij willen samen met onze klanten in diverse branches de lat voor goed genoeg steeds hoger leggen”, zegt Van Eemeren. Volgens hem en Koning kun je aan de ontwikkeling van ON2IT in de afgelopen jaren zien hoe zij die uitdaging invullen.

“We zijn voor veel toonaangevende marktleiders, zoals Palo Alto Networks en VMware, een bewezen kennispartner. We kennen hun producten van binnen en van buiten, en hebben ze bij tientallen klanten geïntegreerd in managed hosting dienstverlening. We hebben in de afgelopen jaren het Zero Trust Security Framework (ZTSF) ontwikkeld, een security-concept dat strategie, beleid, architectuur en operatie omvat. ZTSF is ook de basis voor onze Managed Security Services, waarin we de producten en diensten van onszelf en onze partners voor een maandbedrag aanbieden. Of het nu om NSX, TRAPS, Threat Cloud of App Defense gaat, onze engineers hebben altijd de laatste workshops en opleidingen gevolgd en werken er dagelijks hands-on mee. Dat niveau van integratie van meerdere leveranciers en producten is zeldzaam in onze markt, zo horen we van veel klanten.”

De steeds verder gaande ontwikkeling van het managed security concept is ook in lijn met de ON2IT aanpak. “In elk Europees land is er maar een handvol multinationals die het zich kan veroorloven om een SOC met tientallen engineers, consultants en ethische hackers op de been te hebben. Wij kunnen dat wel, omdat onze klanten via het managed dienstverlening concept gebruik maken van het feit dat we dit voor veel ondernemingen doen. Daarmee kunnen ze voor een aantrekkelijk bedrag beschikken over alle dagelijkse monitoring en alert functies voor hun netwerk, compleet met beveiliging op de endpoints en het gebruik van databases waarin duizenden ondernemingen wereldwijd informatie over malware, aanvallen en oplossingen real-time delen.”

Automatisering

Het is volgens Van Eemeren trouwens een misverstand om te denken dat je met managed security vooral menskracht en talent afneemt. Dat was enkele jaren geleden misschien nog wel zo, en natuurlijk zijn de kennis, de passie en het talent van de ON2IT specialisten moeilijk bij elkaar te krijgen op een eigen automatiseringsafdeling. Een bedrijf als ON2IT ademt IT-security, 24 uur per dag, en de gesprekken bij de koffieautomaat gaan steevast over de laatste exploits en malware.

Maar door de omvang van de wereldwijde bedreiging zijn de detectie van inbraak of malware en het zonder tijdverlies nemen van tegenmaatregelen onmogelijk nog alleen door mensen uit te voeren. “Alleen met behulp van deep learning, datamining en onze geautomatiseerde playbooks is het mogelijk om een dreiging te isoleren zodra deze zich voordoet. Wij noemen dat rules of engagement: wanneer er op je wordt geschoten mag je jezelf tot (bijna) elke prijs verdedigen. Wanneer we het grootste deel van ons werk niet automatiseren, dan verliezen we de wedstrijd. Natuurlijk komen die incidenten ook in de event-log van onze portal voor evaluatie achteraf, maar we wachten bij een dreiging niet met het afsluiten van een verdacht werkstation, smartphone of netwerksegment. Hackers werken real-time, dus moet jij dat ook doen.”

De cloud? De cloud?

De exponentieel groeiende adoptie van (vooral) de publieke cloud zet de vraag of je security goed genoeg is weer in een ander, en vooral complexer, perspectief. Koning en Van Eemeren begrijpen de voordelen die de grote cloudleveranciers als AWS, Google, Salesforce en Microsoft 365 aan multinationals bieden, ook al zijn de soms te beperkte garanties, de hoge prijs, de vendor lock-in en de security issues geen punten die je zomaar kunt wegvegen.

“De hybride cloud is voor al onze klanten de nieuwe werkelijkheid geworden”, zegt Van Eemeren. “Voor ons betekent dit dat we met onze partners ervoor moeten zorgen dat onze heilige Zero Trust uitgangsbeginselen niet alleen in het eigen datacenter, maar ook voor bedrijfsdata in de cloud gelden. Dus: segmenteren, al het verkeer inspecteren, policies afdwingen en controleren, en rules of engagement die ook in de cloud gelden. Ook in de cloud moet een ring van security rondom iedere applicatie met kostbare informatie onder eigen controle blijven, en moet je precies weten wie wanneer toegang heeft gehad tot welke data.”

Palo Alto Networks en VMware, partners waarmee ON2IT al sinds de oprichting tien jaar geleden samenwerkt, bieden inmiddels vrijwel alle functies van hun on premises producten ook in de cloud in omgevingen als AWS en Google for Business. Daarnaast werkt ON2IT ook nauw samen met de allerbeste startups die een specifiek onderdeel van cloud security voor hun rekening nemen, zoals LogRhythm, BitSensor en SafeBreach.

Goed genoeg is vooral een mentaliteit

Hoewel de technologie om hackers buiten de deur te houden met de maand geavanceerder en slimmer wordt (net als de hackers zelf ), lijkt het er uiteindelijk toch op dat het antwoord op de vraag wanneer je security goed genoeg is, niet uitsluitend in termen van techniek kan worden gevangen. En evenmin in de klinische checklists die bij de audits voor het normenkader horen.

Voor de ON2IT directeuren is goed genoeg op de eerste plaats toch een mentaliteitskwestie. Van Eemeren: “Je hebt een speciaal soort mensen nodig die er een kick van krijgt om de bad guys weg te houden uit de netwerken en bij de data van onze klanten. Als onderneming heb je een sparringspartner als ON2IT nodig om voortdurend scherp te krijgen hoeveel inspanning en middelen volstaan. Deze wereld is extreem dynamisch. Het klinkt als een cliché, maar hier in ons vakgebied kan een dag niet opletten tot rampen leiden. Je moet jezelf bovendien telkens opnieuw uitvinden en rücksichtslos blijven innoveren. Dat geldt voor onze klanten, dat geldt voor ons. Disruptieve businessmodellen van nieuwkomers kunnen complete marktsegmenten binnen tien jaar wegvagen.”

‘We weten niet wat voor dreigingen, malware en exploits morgen weer de kop opsteken, maar wij zijn er samen zo klaar mogelijk voor.’

Koning sluit af: “Wanneer wij niet blijven bewegen zijn we gezien. De enige constante in onze sector is voortdurende beweging. En dat vinden wij en onze specialisten echt te gek. Om tegen je klant te kunnen zeggen: ‘We weten niet wat voor dreigingen, malware en exploits morgen weer de kop opsteken, maar wij zijn er samen zo klaar mogelijk voor’. Dat is waarschijnlijk de beste definitie van wat goede security is.”

,

Zorg voor een onafhankelijke privacy officer!

Verantwoordelijkheid moet belegd worden. Een privacy officer moet de directie advies kunnen geven over dataprotectie en de Raad van Bestuur in een bepaalde richting kunnen sturen.

U kunt hiervoor het beste een dedicated iemand aanwijzen die er verstand van heeft en verantwoordelijkheid durft te nemen. Heeft u niet zo snel iemand die dit voor uw organisatie zou kunnen doen? U kunt altijd overwegen om een derde partij in te schakelen. Zo weet u zeker dat het advies dat u krijgt onafhankelijk is, omdat er geen bedrijfsbelangen meespelen.

BitSensor: Jonge hackers uit Eindhoven in internationaal securityland

In vijftig milliseconden een hack opsporen in je webapplicaties. De plug-in van de Nederlandse ondernemers Ruben van Vreeland (21) en Alex Dings (21) belooft razendsnel een cyberaanval te detecteren en in kaart te brengen. Met BitSensor wonnen de jonge ethische hackers wereldwijd prijzen van onder andere IBM, Sprout en Accenture. Inmiddels rekenen Van Vreeland en Dings banken, overheid en verzekeraars tot hun klanten. Ook de techneuten van ON2IT zijn onder de indruk: BitSensor is geïntegreerd in het Zero Trust Security Framework en beschikbaar voor klanten.

Van Vreeland is pas negen jaar oud als hij thuis in zijn slaapkamer begint met programmeren. Op het Bonhoeffercollege in Enschede ontdekt de vwo-leerling dat de digitale leeromgeving met onder andere cijfers en lesroosters slecht beveiligd is. Het duurt niet lang voordat hij alle applicaties van zijn middelbare school weet te hacken. Van Vreeland krijgt de smaak van het ethisch hacken te pakken en stapt over naar de IT-security van kleine en daarna steeds grotere bedrijven in Nederland. Van Nederland schuift de jonge hacker op naar Europa, en daarbuiten. “Een van mijn grootste hacks was bij het online crowdfundingplatform Indiegogo. Daar vond ik een lek waarmee miljoenen dollars weggesluisd konden worden. Indiegogo heeft een geweldig security-team, maar deze fout hadden zij gemist.”

Indiegogo en Ebay

Ruben van Vreeland

Ruben van Vreeland

Van Vreeland stuurt het security-team van Indiegogo, net als de overige bedrijven waar hij in weet te breken zoals LinkedIn of Ebay, een berichtje om hen te wijzen op het security issue waar ze mee kampen. “Een kwaadwillende hacker zou zoiets niet doen: zo iemand pakt direct het geld, de wachtwoorden of andere gegevens. Het gemak waarmee ik dergelijke acties kon uitvoeren, verbaasde me. Hackers staan nog steeds niet genoeg op de radar: het kost bedrijven gemiddeld negen maanden voordat ze opmerken dat ze zijn gehackt. Veel van de huidige oplossingen zijn simpelweg niet goed genoeg, of de softwareontwikkelaars hebben de legacy security oplossingen omzeild.” Van Vreeland start een securityconsultancy bedrijfje en helpt ondernemingen bij het opsporen en oplossen van hun beveiligingsproblematiek.

Tijdens zijn studie Web Science aan de Technische Universiteit Eindhoven bedenkt Van Vreeland de tool BitSensor. BitSensor is een webapplicatie plug-in, een code die wordt meegelinkt met de app zelf, die meekijkt in de applicatie. Met ‘binnen vijftig milliseconden een hacker stoppen’ legt de jonge ondernemer uit wat het bedrijf doet. “BitSensor monitort iedere stap van de hacker, en bouwt een risicoprofiel op”, licht Van Vreeland toe.

“Hierdoor kunnen we laten zien waar een aanvaller toegang tot heeft gehad, en welke persoonsgegevens mogelijk zijn ingezien.”

De aanpak van BitSensor is voldoende innovatief om ook de aandacht van ON2IT oprichters Marcel van Eemeren en Lieuwe Jan Koning te trekken. En dat is opvallend, want die twee brengen jaarlijks meerdere weken in Silicon Valley op tech-conferenties door om de meest innovatieve security startups snel te spotten. Kennelijk biedt de Silicon Valley rond Eindhoven genoeg innovatiekracht om wereldwijd te kunnen concurreren.

De techniek achter BitSensor heeft raakvlakken met AppDefense, het nieuwste beveiligingsproduct van VMware. Ook BitSensor neemt niet het netwerk, maar de applicatie als uitgangspunt. In de code van een applicatie wordt een stuk BitSensor code meegelinkt. Daardoor kan de cloud-gebaseerde analyse-software van BitSensor elke request en response – zowel van reguliere gebruikers als van hackers – analyseren. Met AI-technieken wordt abnormaal gedrag gedetecteerd, bijvoorbeeld een SQL-injectie. BitSensor meldt dan dat de hackpoging is gezien en mislukt (omdat de applicatie goed is ontworpen) of anderzijds dat er potentieel gevaar was, maar dat dit is verijdeld door BitSensor.

Fulltime codes bouwen

Samen met compagnon en huidig BitSensor COO Alex Dings en twee medestudenten bouwt Van Vreeland de software verder uit. “Maandenlang waren we fulltime bezig met codes schrijven en algoritmes bouwen.” De jonge ondernemers werken de klok rond om de technologie achter BitSensor te bouwen, testen en verbeteren.

“Op dat moment realiseerde ik me dat we iets goeds in handen hadden: hier is tractie.”

In Amsterdam doen Van Vreeland en Dings met BitSensor mee aan de IBM SmartCamp, een wereldwijde pitch wedstrijd voor startups. Ze winnen als meest veelbelovende start-up van Nederland. Het duo besluit zich ook in te schrijven voor de pitch-ronde in San Francisco, een competitie tussen 42 steden wereldwijd. Tot hun grote verbazing wint BitSensor de wedstrijd. “Op dat moment realiseerde ik me dat we iets goeds in handen hadden: hier is tractie.” Naast de IBM SmartCamp wint BitSensor in de afgelopen jaren nog meer prijzen, waaronder de IBM Global Entrepeneur of the Year, de beste jonge ondernemers van 2017 van Sprout en de NRC-Liveprijs voor CyberSecurity Startup of the Year.

De publiciteit die bij deze prijzen komt kijken, zorgt ervoor dat BitSensor ook op het vizier van investeerders komt te staan. “Op het moment dat wij in 2016 voor het eerst op zoek gingen naar een investeerder, stonden er al veel partijen klaar. We wilden niet alleen een zak geld, maar zochten met name een team dat ons op professional vlak kon helpen, met een groot netwerk en kennis van de markt.”

Volta Ventures

De jonge onderneming kiest voor een Belgische VC: Volta Ventures. Met behulp van Volta wil BitSensor de stap maken van een ‘innovatieve tool’ naar een volwaardig bedrijf met klantsupport. Dat lukt: de kapitaalinjectie zorgt ervoor dat BitSensor in een jaar tijd groeit van een kleine start-up naar een onderneming met tien man personeel. Wie de site in de gaten houdt, ziet daar met regelmaat nieuwe vacatures op terug.

Banken, verzekeraars, de overheid en andere start-ups behoren tot BitSensor’s eerste klanten. “In het begin hebben we ons met name gefocust op kleine, startende bedrijven binnen de SNI (Security Netwerk Industrie, red.), maar we kwamen erachter dat de security-budgetten bij deze bedrijven nog te klein zijn. Snel merkten we dat organisaties die agile ontwikkeling doen in combinatie met DevOps fan zijn van onze producten, zeker als persoonsgegevens op een verantwoordelijke manier verwerkt moeten worden. ”

Open source

De plug-in code van BitSensor is open source. Dat houdt in dat de broncode is vrijgeven, zodat gebruikers de mogelijkheid hebben om de software te bekijken, aan te passen, te verbeteren, te verspreiden of zelfs te verkopen. Die vorm van programmatuur zie je nog niet veel terug in de securitybranche, vertelt Van Vreeland. “Het is relatief ongebruikelijk, maar ik vind het juist voor een beveiligingsproduct van groot belang dat je kunt zien hoe en waarom iets werkt. De echte security-nerds van deze wereld bouwen alleen maar open source producten. Als bedrijf krijgen wij veel terug voor onze openheid: nu al hebben eenendertig mensen over de hele wereld substantiële bijdragen aan onze software geleverd.”

Tot nu toe heeft BitSensor geen klanten gehad die het open source karakter van het bedrijf een turn off vonden. “Sterker nog, er zijn zelfs klanten die ons code hebben toegestuurd: zo heeft een Canadese security expert de BitSensor Drupal plug-in geschreven.

De jongste in het bedrijf

Het fysieke hoofdkantoor van BitSensor is gevestigd op de campus van de Technische Universiteit in Eindhoven. “Onze werknemers zitten echter overal ter wereld”, vertelt Van Vreeland. “Iedere ochtend starten we met een uurtje gezamenlijk skypen om de gang van zaken te spreken.”

Volgens de jonge ondernemer kent BitSensor geen concurrenten in Nederland. “Concurrerende bedrijven, die ook open source securitysoftware bieden, zitten met name in de UK en VS.” Het bedrijf is momenteel actief in Nederland, België en Duitsland. Van Vreeland hoopt in de komende jaren het aantal landen en partnerschappen uit te breiden.

CEO Van Vreeland is samen met zijn compagnon en COO Dings de jongste binnen zijn eigen bedrijf. “We hebben mensen in dienst die twee keer onze leeftijd hebben. Dat is voor ons ontzettend leerzaam en we kunnen ons goed staande houden.” Ondanks zijn grote voorliefde voor hacken, is de jonge CEO op het moment zelf weinig malware aan het analyseren. “Ik stuur ons development team aan, geef veel presentaties en ontmoet klanten en partners. Er is weinig tijd voor momenteel, maar etisch hacken zal altijd een hobby van me blijven.”

 

SafeBreach Hacker’s Playbook uitgebreid met Spectre en Meltdown

Spectre en Meltdown zijn de nieuwste kwetsbaarheden waarmee Hackers zich toegang kunnen verschaffen tot kernel of beschermde data in applicaties.

Ons advies is om alle systemen en endpoints te updaten zodra er nieuwe versies beschikbaar zijn.

Het gaat om:

Het Hacker’s Playbook is aangevuld met breachmethodes voor Spectre en Meltdown, zodat u de doeltreffendheid van uw patches veilig kunt simuleren. Meer dan 3400 breachmethodes en 11,5 miljoen simulaties zijn opgenomen in het Playbook, waaronder die voor de in de headlines verschenen attacks: Silence IoTroop/Reaper en Petya.A (Bad Rabbit). Het Playbook van SafeBreach bevat ook real life simulaties van NSA-exploits, financiële malware en ransomware.

Meer weten? Lees onze blog over Spectre & Meltdown

,

Meltdown en Spectre – update

Update: zaterdag 6 januari, 11.30 aanpassing m.b.t. TRAPS versie 3.4.0, toelichting ernst van het issue uitgebreid, link naar alle Microsoft OS patches toegevoegd.

Update:  zaterdag 6 januari, 1.30 toevoeging alternatieve patch methoden

Belangrijke update voor TRAPS & Microsoft Windows Update voor Meltdown

Microsoft heeft een patch uitgebracht voor de Meltdown kwetsbaarheid: kb4056892. Zie link [1] en [3]

In veel gevallen is er een extra stap noodzakelijk om deze patch te kunnen installeren op een systeem waarop TRAPS geïnstalleerd is. Het is van belang dat er een specifiek proces gevolgd wordt, om een specifieke registersleutel aan te passen.

Deze sleutel is een extra toets die de anti-threat vendoren, zoals TRAPS en traditionele antivirus vendoren, kunnen instellen om aan Windows aan te geven dat ze compatible zijn met de patch van Microsoft. Het zetten van deze sleutel zorgt ervoor dat Windows Update de mogelijkheid heeft om de update te installeren. Het is in veel gevallen noodzakelijk om deze sleutel te zetten. (De noodzaak hiertoe is afhankelijk van het update mechanisme voor Windows dat gebruikt wordt).

Methode handmatig toevoegen registersleutel

Voor alle TRAPS-agentversies tussen: 3.4.0 en 4.1.x is actie vereist.  Gebruikers van versies eerder dan 3.4.0 hoeven voor zover bekend geen actie te ondernemen. Echter, we adviseren wel om te controleren of het installeren van patch kb4056892 wel gelukt is.

Om de registry key te pushen moet het volgende gedaan worden op de domain controller waar de group policies gedefinieerd worden:

1. Maak een nieuwe group policy aan / gebruik een bestaande group policy die de systemen raakt waar de registry waarde aangepast moet worden
2. Navigeer naar: Computer configuration > Preferences > Windows Settings > Registry
3. In dit venster klik je op de rechtermuisknop en klik je vervolgens op New > Registry Item
4. Nu dient de registry key aangemaakt te worden:
* Action: Create
* Hive: HKEY_LOCAL_MACHINE
* Key Path: SOFTWARE\Microsoft\Windows\CurrentVersion\QualityCompat
* Value name: cadca5fe-87d3-4b96-b7fb-a231484277cc
* Value Type: REG_DWORD
* Value data: 0

Het kan tot 90 minuten duren voordat de computer policy opnieuw uitgelezen wordt.

Alternatief is deze methode van Palo Alto Networks, zie link [2]

Let op: Controleer of in Windows Updates bij “View Update History” of  de installatie van “kb4056892” gelukt is.

Mocht u vragen hebben naar aanleiding van deze kwetsbaarheid, neemt u dan contact op met het ON2IT SOC. Wij zijn 24×7 bereikbaar via 088-2266201, servicedesk@on2it.net en https://portal.on2it.net.

Antwoord op veelgestelde vragen

Wat zijn Meltdown & Spectre?

Meltdown & Spectre zijn beide zogenaamde ‘side-channel’ attacks, waarbij het mogelijk is om onderdelen van het geheugen uit te lezen waar gevoelige informatie, zoals wachtwoorden, niet versleuteld aanwezig zijn. Meltdown maakt de onderlinge bescherming van applicaties en systeem tegen het arbitrair uitlezen van elkaars geheugen kapot. Spectre spreekt dit mechanisme niet rechtstreeks aan maar zorgt ervoor dat een willekeurige applicatie dit voor je doet. Deze kwetsbaarheden zijn besturingssysteem onafhankelijk.

Wat is er kwetsbaar?

Apparaten met processoren die de aan deze kwetsbaarheden onderliggende ontwerpfouten bevatten zijn kwetsbaar.  Dat kunnen computers zijn, maar ook smartphones, tablets, mediacenters, “smart” Tvs, bewakingscamera’s, deurknoppen van hotelkamers…

Meltdown:

  • Alle computersystemen die gebruik maken van Intel-processors met de Intel x86 architectuur, met uitzondering van Intel Atom voor 2013.
  • Conceptueel zijn ook computersystemen met AMD-processoren en sommige ARM processoren bevattelijk, maar daadwerkelijke exploiteerbaarheid is vooralsnog niet definitief aangetoond.

Spectre:

  • Alle systemen met x86-achtige processor en vele systemen met ARM processoren, inclusief mobiele apparaten.

Hoe ernstig is het?

Helaas is deze vraag (nog) niet te beantwoorden. In potentie is het lek zeer ernstig, maar klip en klaar bewijs dat er daadwerkelijk succesvolle aanvallen zijn is er vooralsnog niet. Er zijn proof -of – concepts die erin slagen om vanuit javascript in de browser RAM-geheugen van de kernel te benaderen! Worst case scenario is dat wanneer bijvoorbeeld een VDI-desktop en een Active Directory server op dezelfde fysieke hardware staan, een aanvaller toegang kan krijgen tot het geheugen van de AD-server (met daarin credentials van gebruikers). Dit door simpelweg een gebruiker van de VDI-desktop op een URL te laten klikken. Dit scenario is wat versimpeld en kort door de bocht, maar dat we dit niet kunnen uitsluiten geeft wel de impact van de bug aan. Er is dus genoeg reden om dit issue hoog op te pakken, en ervoor te zorgen dat zoveel mogelijk systemen voorzien zijn van de patch. Daar komt bij dat detectie van een aanval vooralsnog bijna niet te detecteren is.

Beide kwetsbaarheden zijn zogenaamde ‘information disclosures’, ze zijn een bron van informatie voor een kwaadwillende. Het betreft hier geen initiële toegang. Zowel Meltdown als Spectre kunnen pas misbruikt worden op het moment dat een kwaadwillende reeds toegang heeft tot het systeem.

De grootste risico’s zitten in shared en Cloud-omgevingen waar er meerdere systemen samen draaien op één host. Het is op dat moment mogelijk voor een willekeurig gebruikersprogramma om het geheugen van alle hosts uit te lezen.

Welke mitigerende maatregelen kunnen er worden getroffen?

Meltdown:
Het patchen van de besturingssystemen van de kwetsbare systemen is voor nu de enige oplossing.  Courante Macs, Apple TVs en iOS apparaten (High Sierra 10.3.2 resp. TV OS 11.2 en iOS 11.2) zijn niet kwetsbaar. Voorlopige testen wijzen uit dat er achteruitgang kan optreden van het prestatieniveau.

Spectre:
Er zijn momenteel nog geen specifieke mitigerende maatregelen voor Spectre beschikbaar.

Heeft Zero Trust effect op deze kwetsbaarheden?

Jazeker, bij een Zero Trust architectuur heeft een kwaadwillende niet zomaar toegang tot systemen en kunnen de exploits niet ongebreideld om zich heen grijpen. Wanneer een kwaadwillende een systeem compromitteert kan hij niet zomaar door naar een volgend systeem. Dus het volgen van de Zero Trust strategie zorgt er voor dat, ook in dit geval, de impact aanzienlijk wordt verkleind.

Beschermt Palo Alto Networks tegen deze kwetsbaarheden?

Er wordt momenteel onderzocht of TRAPS extra bescherming kan bieden tegen de kwetsbaarheden maar op het moment is dat niet het geval.  Gedetecteerde malware die (ook) gebruik maakt van Spectre en/of Meltdown wordt uiteraard door Wildfire geanalyseerd en daarmee voor TRAPS en het next-generation network security platform zichtbaar en mitigeerbaar.

Wat adviseert ON2IT?

ON2IT adviseert om zo spoedig mogelijk de besturingssystemen te updaten. Wel is het zaak om deze updates te testen om te kijken of antivirus software compatible is. Daarnaast is het van belang dat u toegang tot verschillende systemen beperkt tot geautoriseerde personen. Indien u gebruik maakt van shared of cloud omgevingen kunt u overwegen om contact met hen op te nemen om te kijken hoe veilig uw informatie is. Zodra er meer mogelijkheden zijn zal ON2IT u uiteraard op de hoogte stellen.

Links

[1] https://support.microsoft.com/en-us/help/4056892/windows-10-update-kb4056892

[2] https://live.paloaltonetworks.com/t5/Endpoint-Articles/Steps-to-Apply-Microsoft-Patch-to-Addressed-Meltdown-and-Spectre/ta-p/193910

[3] https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV180002

 

Bronnen

https://meltdownattack.com/
https://www.us-cert.gov/ncas/current-activity/2018/01/03/Meltdown-and-Spectre-Side-Channel-Vulnerabilities
https://researchcenter.paloaltonetworks.com/2018/01/threat-brief-meltdown-spectre-vulnerabilities/

Wat zijn de verschillen tussen WBP en GDPR?

De boetes liegen er niet om: 4% van de omzet met een maximum van twintig miljoen euro. En de Raad van Bestuur is hoofdelijk aansprakelijk. Met een Autoriteit Persoonsgegevens die straks strenger gaat handhaven hebben we het hier niet over bangmakerij. Maar hoe zorg je ervoor dat de kans op een boete of op reputatieschade tot het minimum beperkt wordt? Advocaat Judith Vieberink legt de verschillen tussen WBP en GDPR uit en verduidelijkt welke stappen organisaties zelf kunnen nemen om aan de nieuwe wet- en regelgeving te voldoen.

In mei 2018 gaat de Algemene Verordening Gegevensbescherming (de General Data Protection Regulation ofwel GDPR) in. “Door de AVG wordt de feitelijke bewijslast bij organisaties en bedrijven gelegd: zij moeten aantonen dat ze juist omgaan met persoonlijke gegevens”, vat Judith Vieberink van First Lawyers de verandering samen tijdens Bright & Cloudy 2017. “Alleen zeggen dat je gegevens beschermt of een privacy-beleid hebt, is niet genoeg. Je moet kunnen bewijzen dat je er als bedrijf of organisatie alles aan gedaan hebt om zorgvuldig om te gaan met persoonlijke gegevens.” De bescherming van persoonsgegevens is niet nieuw, maar er zijn wel drie punten waarop de GDPR verder gaat dan de huidige wet bescherming persoonsgegevens op het gebied van IT-security.

1. Meer inzage in persoonsgegevens

De nieuwe wetgeving geeft burgers veel meer rechten, en dat heeft onmiddellijke consequenties voor ondernemingen en organisaties die persoonsgegevens verwerken. In de praktijk geldt dit voor vrijwel elke organisatie van enige omvang. Door de nieuwe verordening gegevensbescherming:

  • Moet een burger zijn of haar elektronische persoonsgegevens direct in kunnen zien;
  • Mag een burger zelf aangeven wie toegang krijgt tot die gegevens of aan wie ze mogen worden doorgegeven. Bijvoorbeeld een andere zorgverlener of een energieleverancier;
  • Heeft een burger het ‘recht om vergeten te worden’.

“Het gedachtegoed van de AVG is dat wetgeving niet alleen effectief is wanneer het top down opgelegd worden, door toezichthouders, maar ook bottom up, door burgers die rechten kunnen uitoefenen”, aldus Vieberink. Voor grotere ondernemingen, maar ook voor het MKB, betekenen deze nieuwe burgerrechten minimaal dat voorwaarden, ICT-systemen, softwarecontracten en security-policies moeten worden geactualiseerd.“

Wat zijn de gevolgen van meer rechten?

De burger krijgt dus meer rechten en dat vraagt ook om nog meer bescherming van data. Om dit adequaat te regelen zal je data moeten classificeren. Welke data zijn persoonlijk en welk beveiligingsniveau hoort daarbij? Ook is het belangrijk om alle toegang te loggen. Bij een (vermoeden) van een datalek kun je achteraf terugzien wie welke gegevens heeft ingezien.

Een ander belangrijk onderdeel is data-encryptie. Stel er raakt een USB-stick kwijt met daarop persoonlijke gegevens. Als de data versleuteld zijn, kan de vinder er niets mee. Er is dan nog wel sprake van een lek, maar men spreekt dan van een beveiligingsinbreuk en geen gegevensinbreuk. En dat kan het verschil maken tussen wel of geen boete.

Belangrijke acties voor uw IT-security:

  • Dataclassificatie
  • Het loggen van alle toegang
  • Data-encryptie

2. Opvolgplicht en openbaarheid van datalekken

Wat zijn de gevolgen van de opvolgplicht

Een (vermoeden van een) datalek moet volgens de GDPR binnen 72 uur gemeld worden. Dan moet je wel weten of er is ingebroken en waar en wat er is gelekt. Dat lukt alleen met een goed georganiseerde IT-infrastructuur. Wat moet je daarvoor regelen:

  • Identificatie: breng mogelijke risico’s, bedreigingen en kwetsbaarheden in kaart;
  • Preventie: verklein het aanvalsterrein en zorg voor passende beveiliging;
  • Detectie: zorg voor continue monitoring van het informatiebeveiligingssysteem en signaleer bedreigingen;
  • Respons: reageer op eventuele incidenten.

Bij elke stap in dit proces is vastlegging belangrijk. Loggen en rapporteren dus. Zo kun je achteraf bewijzen dat je er alles aan gedaan hebt om een datalek te voorkomen. ON2IT gaat in dit proces overigens nog een stap verder. Na respons volgt mitigatie: leer van incidenten om de processen in de toekomst te verbeteren.

Wat zijn de gevolgen van openbaarheid?

Een ander aspect van de meldplicht is dat deze openbaar wordt. Een datalek moet niet alleen bij de toezichthouder gemeld worden, maar ook bij de betrokken personen. Er ontstaat daardoor een reële kans op reputatieschade. Om bij een datalek naar behoren te kunnen handelen, zal er dus een zeker kennisniveau aanwezig moeten zijn in de organisatie. Je moeten weten welke stappen je moet ondernemen om de schade zoveel mogelijk te beperken. Is die specialistische kennis er niet of onvoldoende aanwezig? Zorg dan dat je een externe back-up hebt op dat gebied. Overheidsinstanties en publieke organisaties moeten in ieder geval een Functionaris voor de gegevensbescherming (FG) aanstellen die toezicht moet houden op de toepassing en de naleving van de AVG, maar ook voor bedrijven die omgaan met grote hoeveelheden persoonsgegevens kan zo’n functionaris verplicht zijn. Daarbij zijn overigens ook varianten mogelijk waarbij organisaties de functie van de FG outsourcen.

Belangrijke acties voor uw IT-security:

  • Zorg voor een proces van identificatie-preventie-detectie-respons;
  • Zorg dat je voldoende specialistische kennis in huis hebt (of haalt) om naar behoren te kunnen handelen bij een incident;
  • Zorg dat je kunt bewijzen dat je er alles aan gedaan hebt om het datalek te voorkomen.

3. Privacy by design

Wat zijn de gevolgen van privacy by design?

Privacy by design betekent dat je al in de ontwerpfase van een informatiesysteem rekening houdt met privacy. Maar ook in de verdere ontwikkeling blijft de focus op privacy. Welke data kun je koppelen aan een persoon, welke niet? Hoe lang ga je data bewaren, kun je data verwijderen (recht om vergeten te worden)? Betrek alle afdelingen bij dit proces. Om de privacy goed in kaart te brengen moet je namelijk precies weten waar in de organisatie welke gegevens verwerkt of bewaard worden.

Door de nieuwe wetgeving wordt de feitelijke bewijslast bij organisaties en bedrijven gelegd: zij moeten aantonen dat ze juist omgaan met persoonlijke gegevens en datalekken voorkomen.

Belangrijke acties voor uw IT-security:

  • Betrek alle afdelingen;
  • Ga na welke data je wel/niet kunt koppelen aan een persoon;
  • Kijk ook naar data-opslag (en data-verwijdering).

“Risico’s van non-compliancy – niet voldoen aan de wetgeving – zijn bij de AVG/GDPR groter dan bij de huidige WBP. Nu geeft de toezichthouder AP een bindende aanwijzing aan bedrijven, die aanwijzing valt weg binnen de AVG. Bedrijven lopen dus direct kans op een hoge boete”, aldus Vieberink. “Reden temeer om privacy by design als ontwerpprincipe te gebruiken en processen in de organisatie door te lichten.”

Waar ligt de bewijslast?

Aan de ene kant moet je als organisatie dus zorgen voor openheid richting de burger. Aan de andere kant moet je persoonsgegevens optimaal beschermen tegen onbevoegden. Dit vraagt niet alleen om optimale IT-security, maar ook om bewustwording in alle lagen van de organisatie. Niet in de laatste plaats bij de Raad van Bestuur. Op strategisch niveau zal namelijk de risicoanalyse gemaakt moeten worden. Waar liggen de risico’s binnen de organisatie? Hoe groot is de kans op een datalek en wat zijn de mogelijke gevolgen?

“Door de nieuwe wetgeving wordt de feitelijke bewijslast bij organisaties en bedrijven gelegd: zij moeten aantonen dat ze juist omgaan met persoonlijke gegevens en datalekken voorkomen. Alleen zeggen dat je dit doet is niet genoeg, je moet het kunnen bewijzen aan klanten, dataverwerkers en de toezichthouder”, zegt Vieberink.

Concrete stappen

Welke stappen kan een organisatie concreet zetten om aan de nieuwe wet- en regelgeving te voldoen? Volgens Vieberink van First Lawyers zijn er vier stappen die iedere organisatie moet zetten. “Ten eerste moet ik weten waarvoor ik verantwoordelijk ben als organisatie: verwerk ik data, ben ik verantwoordelijke, hoe ziet de samenwerking met andere partijen (in de keten) eruit? Ten tweede wil ik weten: welke gegevens verwerk ik, in het primaire proces, en wat doe ik in opdracht van klanten?”

Vieberink: “Ten derde wil ik passende beheersmaatregelen treffen, zoals security-maatregelen en wettelijke maatregelen, en een register bijhouden van activiteiten en van wie welke toegang heeft in mijn organisatie. Tenslotte moeten organisaties kijken naar contractuele maatregelen met klanten of onderaannemers: wat voor schade of boetes kan ik oplopen, wat is de hoogte van de boete en zijn contracten goed afgedicht?”

Marcel van Eemeren, CEO van ON2IT, vult aan dat een groot deel van deze stappen bij bestaande klanten al is ingericht, los van de AVG vereisten. “Weten welke data je verwerkt, waar deze zich bevindt en 100 procent zichtbaarheid bieden in elke geoorloofde of ongeoorloofde toegang tot die data, zijn al jarenlang de pijlers van onze Zero Trust aanpak voor cybersecurity. Het is voor ons relatief eenvoudig om de aanvullende AVG-eisen en compliance in ons bestaande ON2IT Security Framework op te nemen. Ondernemingen die nog moeten beginnen met het opnieuw inrichten van hun AVG-beleid en security kunnen met onze gap analysis snel inzicht krijgen in de kwaliteit van hun IT-security.”

Hij besluit dat het voldoen aan wet- en regelgeving van cruciaal belang is voor elke onderneming, maar waarschuwt dat die compliance met wetten en regels niet de definitie mag zijn van wat ‘goed genoeg’ is voor je IT-securitybeleid. “Wanneer je op papier honderd procent compliant bent, maar je productielijn wordt weken stilgelegd door IoT-malware, dan heb je een veel groter probleem.”

Hacker’s Playbook™ – 3rd edition

Wat is de meest voorkomende ransomware? Wat zijn veel voorkomende breach methods voor infiltratie? Onze partner SafeBreach heeft op basis van real world simulaties de ransomware best practices van al haar klanten wereldwijd geanalyseerd. Lees de bevindingen in deze Hacker’s Playbook, een Ransomware Special Edition.

How to eat an elephant

“Don’t worry about failure; you only have to be right once”, zegt Drew Houston, baas van Dropbox. Facebook oprichter Marc  Zuckerberg bedacht het motto: “Move fast and break things”. En de mooiste komt van Reid Hoffman, oprichter van LinkedIn: “If you are not embarrassed by the first version of your product, you’ve launched too late.”

U heeft ze vast weleens gehoord, de lijfspreuken van de huidige generatie startups in Silicon Valley. Zeker wanneer u onlangs nog een seminar over innovatie, agile of the lean startup heeft bezocht.

Bovengenoemde startups hebben het steeds over hetzelfde thema. Wanneer je twee jaar moet besteden aan de voorbereiding van een project, dan zul je bij de uitvoering daarvan alweer zijn ingehaald door de dan beschikbare technologie. Je kunt beter nú leren wat de kansen en beperkingen zijn van nieuwe technologie door er mee aan de slag te gaan. Dat er dan eens wat misgaat, dat is een gegeven waar je mee moet leren leven.

Ik spreek met klanten ook vaak over de noodzaak om bij te blijven met de laatste technologische ontwikkelingen op het gebied van cybersecurity. De meeste CIO’s of CISO’s die ik spreek hoef je niet uit te leggen dat het software defined datacenter (op basis van Zero Trust, NSX-segmentatie, geavanceerde tools en verregaande automatisering) de bekende ‘stip op de horizon’ is waar ze naar toe werken.

Mijn advies is eigenlijk altijd: begin klein.

Maar wanneer je 5700 werkstations, 600 TB-opslag, 880 servers en 653 applicaties wilt overzetten naar een gedroomde cybersecurity 2.0 omgeving, dan heb je niet zoveel aan een advies als ‘don’t worry about failure’. Afgezien van de vraag of je sowieso wel de capaciteit hebt voor zo’n operatie, heb je vaak ook nog eens te maken met veel hogere licentiekosten, zeker wanneer je ook alle oudere applicaties en servers (met extra risico’s) wilt migreren naar het beveiligingsparadijs.

Mijn advies is eigenlijk altijd: begin klein. Neem een nieuw project, bijvoorbeeld een nieuwe mobiele dienst die uw onderneming introduceert, en kies daarvoor de meest moderne beveiligingsarchitectuur en software die beschikbaar is. Dus Zero Trust, software-defined segmenten, automated pen testing, intrusion en malware detectie en een managed omgeving waarin alle componenten verregaand geautomatiseerd beschikbaar zijn.

Met zo’n aanpak bereik je meerdere doelen. Je doet als ICT-afdeling hands-on ervaring op met alle aspecten van de laatste generatie securityoplossingen. Je beperkt de impact voor de organisatie wanneer je tijdens de uitrol toch een hobbel op de weg tegenkomt. De benodigde kosten vallen doorgaans nog binnen de reguliere jaarbudgetten. Je kunt door je hands-on ervaringen een veel betere inschatting maken van de consequenties en kosten van een concern brede implementatie. Je hebt een beter zicht op de consequenties van een migratie naar de nieuwe omgeving. En niet te vergeten: waarschijnlijk is die nieuwe mobiele dienst je best beveiligde applicatie.

Waarschijnlijk wordt de kop boven deze column nu duidelijker. How to eat an elephant? Piece by piece.


Auteur: Marcel van Eemeren
CEO en oprichter van ON2IT

Zo voorkom je een hack

Overal kunnen werken waar je wilt, geeft vrijheid. Maar het kan ook risico’s met zich meebrengen. “Net als inbrekers kiezen hackers voor locaties met de slechtste beveiliging. Je moet het hackers dus moeilijk maken.”

Cybercriminaliteit is ‘hot’. Het nieuwe kabinet stelt 26 miljoen beschikbaar om het te bestrijden. En volgens het Openbare Ministerie zal in 2021 de helft van alle misdaad te herleiden zijn naar cybercrime. Het wordt steeds meer erkend als een bedreiging voor particulieren, bedrijven en organisaties. Of cybercrime toeneemt, is lastig te onderzoeken zegt Lieuwe Jan Koning, oprichter en CTO van cybersecurityspecialist ON2IT. “Wel kun je stellen dat de impact van aanvallen groter is: de schade neemt toe. Daardoor staat het ook meer in de belangstelling.” Een aantal factoren speelt daarin een rol, denkt Koning. “Hackers worden slimmer, ook omdat het loont om in te breken op systemen. Denk aan de opkomst van ransomware. Tegelijkertijd zorgt flexibel werken ervoor dat data steeds meer buiten het ‘fort’ van het traditionele bedrijf komen, wat de kwetsbaarheid vergroot. Tot slot worden veel organisaties wakker geschud door de wet GDPR (AVG), strengere wetgeving op het gebied van het beschermen en verwerken van persoonsgegevens. De wet is al in werking getreden, maar vanaf mei 2018 worden bedrijven geacht volledig hieraan te voldoen.”

Werkplekken beveiligen

Reden genoeg dus om na te denken over bescherming van data, zeker in combinatie met flexibel werken. De werkplek staat daarin centraal. Koning: “Je kunt grofweg een verdeling maken in werkplekken met en zonder data: bevinden de gegevens waarmee je werkt op je laptop en/of mobiel of in de cloud? In alle gevallen is het zaak aandacht te besteden aan de veiligheid van onlineverbindingen. Openbare wifinetwerken zijn handig, maar ook onveilig. Dat kun je ondervangen door het device meteen na het inloggen op zo’n netwerk onderdeel te maken van het bedrijfsnetwerk. Daarmee sla je als het ware een veilige brug naar je organisatie. Maar ook zaken als wachtwoordbeheer en diskencryptie zijn belangrijk om te voorkomen dat gegevens van gestolen laptops of smartphones kunnen worden gehaald.”

Net als inbrekers

“Werkplekken met data hebben een betrekkelijk hoog risiconiveau”, vervolgt Koning. “Daarom kiezen veel organisaties voor werkplekken zonder gegevens. Daarbij is het belangrijk om aandacht te besteden aan het authenticatieproces: hoe loggen medewerkers veilig in op het bedrijfsnetwerk? De veiligste optie is multifactorauthenticatie. Dat kennen we allemaal van internetbankieren.”

“Net als inbrekers kiezen hackers doorgaans voor locaties met de slechtste beveiliging.”

In de praktijk betekent flexibel werken vaak een combinatie van beide werkplekken: je werkt bijvoorbeeld meestal in de cloud, maar bent ook weleens offline aan het werk aan een document, bijvoorbeeld op een locatie zonder wifi. Daarom is het zaak om op verschillende fronten maatregelen te treffen. Honderd procent veiligheid is onmogelijk – en onwerkbaar, zegt Koning. Wel kun je het percentage van veiligheid zo hoog mogelijk maken door continu te innoveren op het gebied van veiligheid. “Net als inbrekers kiezen hackers doorgaans voor locaties met de slechtste beveiliging.”

Zero Trust: geen blindelings vertrouwen

Het klinkt allemaal heel logisch. Waarom gaat het dan soms toch zo spectaculair mis? Koning: “De grote hacks die in het nieuws komen, zijn vaak begonnen op relatief onbelangrijke systemen. Veel organisaties kiezen er namelijk voor om het erg lastig te maken om binnen te komen op het netwerk. Maar als je eenmaal binnen bent, dan kun je alles. Dat is een gevaarlijke benadering.” Koning gaat liever uit van het Zero Trust-model. Gevoelige datasets worden dan separaat afgeschermd, zodat niet iedereen toegang heeft tot bijvoorbeeld de financiële bedrijfsgegevens of medische gegevens van patiënten. “Net zoals de watermanagement van Nederland niet alleen afhangt van sterke dijken langs de kust, maar ook een netwerk van dijkringen kent, zo moet je ook de beveiliging van je netwerk regelen”, aldus Koning.

Maak van veiligheid een prioriteit

Hoewel de aandacht voor veiligheid groeit, speelt het in de meeste bedrijven nog geen centrale rol in de bedrijfsvoering. Daardoor wordt er soms pas echt aandacht aan besteed als het al te laat is en het kwaad al is geschied. “Dat is alleen al vanwege de hogere kosten doodzonde”, zegt Koning. Hij is er dan ook een groot voorstander van om veiligheid een vaste plek te geven in de organisatie, door middel van security oppositie. “Benoem hiervoor iemand die meekijkt en op de rem trapt als de organisatie omwille van snelheid of kosten veiligheidsprocedures even in de ijskast dreigt te zetten. maar ook een gespecialiseerd bureau, dat volledig op de hoogte is van de laatste ontwikkelingen. Vreemde ogen dwingen immers. Dan is veiligheid up to date en top of mind. En hoef je achteraf nooit te zeggen: ‘We wisten niet dat dit kon gebeuren!’”


Interview met Lieuwe Jan Koning
CTO ON2IT
Uitgave van Vodafone (partnerpagina) op NRC.nl, november 2017

Efficiënt en effectief data beveiligen

De wereldwijde ransomware aanvallen van afgelopen zomer lieten zien hoe kwetsbaar het bedrijfsleven is voor cybercriminaliteit. In enkele gevallen duurde het langer dan een week voordat de getroffen organisaties hun bedrijfsactiviteiten konden hervatten.

“Je kunt een hack niet altijd uitsluiten”, stelt Lieuwe Jan Koning, founding partner van de Nederlandse cybersecurityspecialist ON2IT. “Maar je kunt wel de kans en vooral de impact ervan aanzienlijk beperken. Het is een kwestie van een goede risicoanalyse en het vervolgens nemen van de juiste maatregelen om die risico’s zoveel als mogelijk uit te sluiten en in ieder geval de gevolgen daarvan in te dammen. Wij noemen deze strategie: Zero Trust.”

Hoe kun je het risico en de impact van zo’n hack beperken.

“IT-security heeft veel weg van watermanagement. Het grootste deel van Nederland ligt onder zeeniveau. Dat risico is onderkend en er zijn maatregelen genomen om ons te beschermen tegen het water. Nederland is verdeeld in een aantal stukken en om al die stukken zijn dijken gebouwd. In enkele gevallen, als het gaat om heel kwetsbare delen en/of een heel kostbare inhoud, is een extra dijk gebouwd. De dijken zijn niet overal even hoog. Bij het bepalen van de hoogte is rekening gehouden met het lokale risico. In feite is voor alle delen van ons land een risicoanalyse uitgevoerd en zijn op basis daarvan maatregelen genomen. Als nu een dijk doorbreekt, blijft de schade beperkt tot dat ene deel. In de IT-security noemen wij die stukken securityzones of segmenten. Hoe uitgebreid die beveiliging van een segment is, hangt af van de kwetsbaarheid en de waarde van de data in dat segment. Het draait, net als bij de dijken, om een goede analyse en een doordachte strategie.”

“Er hoeft maar één iemand te zijn die in een mailtje op een verkeerde link klikt en je bent de sigaar.”

Wat is het uitgangspunt bij die strategie?

“Wij gaan uit van het Zero Trust principe. Geen enkel mailtje, geen enkele site, geen enkele verbinding buiten een securityzone is te vertrouwen. Je zegt in feite tegen alles nee. En vervolgens bepaal je in welke gevallen en onder welke voorwaarden een ‘nee’ een ‘ja’ kan worden. Verder leg je om ieder stukje een slotgracht. Data binnen die slotgracht is alleen toegankelijk voor wie binnen die slotgracht werkzaam is en alleen voor wie een speciale pas heeft en na inspectie. Bijkomend voordeel van zo’n grondige aanpak is dat je als organisatie ook impliciet voldoet aan wet- en regelgeving, zoals de GDPR die mei 2018 van kracht wordt.”

In hoeverre is die wetgeving strenger?

“Je moet kunnen aantonen dat je alles hebt gedaan om een datalek te voorkomen en dat je state-of-the-art technologie gebruikt. Als bedrijf moet je dus echt onderzoek hebben gedaan naar de risico’s van datalekken en naar de mogelijke gevolgen daarvan. Gaat het bijvoorbeeld om patiëntgegevens of financiële gegevens van particulieren en ondernemers dan moet je hele goede maatregelen hebben genomen. En je moet ook doorlopend evalueren of er na verloop van tijd wellicht aanleiding is om aanvullende maatregelen te nemen en het beleid aan te scherpen.”

Zijn al die maatregelen niet enorm kostbaar?

“Het is inderdaad heel makkelijk om heel veel geld te besteden aan allerlei beveiligingsmaatregelen. Dat moet je dus niet zomaar doen.  Voor een optimaal resultaat gaat het erom dat wat je doet ook daadwerkelijk het cyberrisico aantoonbaar vermindert. Verder is het de kunst om met zo min mogelijk kosten een zo goed mogelijke beveiliging te realiseren. Daarom werk je bij Security Risk Management met een aantal stappen: Eerst bepaal je welke data je beheert of verwerkt en in hoeverre de GDPR daarop van toepassing is. Daarna beoordeel je hoe belangrijk en kwetsbaar die data zijn. Dan onderzoek je hoe je de risico’s en de gevolgen van een datalek kunt beperken. En tot slot ga je over tot implementatie van de gekozen maatregelen. Vervolgens evalueer je op regelmatige basis de genomen maatregelen en neem je indien nodig nadere stappen. Als je dat slim aanpakt, kun je zelfs een besparing op je IT-securitykosten realiseren De security zit dan al in het ontwerp en wordt er niet achteraf ‘opgeplakt’. Bij een aantal relaties zijn dankzij onze Zero Trust aanpak de compliance kosten gehalveerd. Ook hebben zij hun TCO aanzienlijk kunnen verlagen door niet zelf alle kennis in huis te halen, maar dit via Managed Services uit te besteden.”

“Je kunt een hack nooit 100% voorkomen. Maar je kunt wel de impact daarvan beperken.”

Is er nog voldoende tijd om voordat de wet van kracht wordt maatregelen te nemen?

“Als het goed is, hebben veel grotere bedrijven een Data Security Officer die verantwoordelijk is voor het Security Risk Management. Toch zijn er nog maar weinig bedrijven die kunnen aantonen dat ze de juiste maatregelen hebben genomen om hun gegevens te beschermen en dat die maatregelen effectief zijn. Daarom is het ons advies de deskundigheid in te roepen van een externe specialist. Vreemde ogen dwingen en leiden tot nieuwe inzichten. En je hebt liever dat iemand die je daartoe opdracht geeft je SRM beoordeelt, dan dat een hacker dat doet.”

Hoe beoordeelt een expert als ON2IT het SRM van een organisatie?

“Daarvoor hebben wij het ON2IT Security Framework ontwikkeld, een strategie om van beleid tot operationeel niveau te komen. Die aanpak, waarbij wij onder meer gebruikmaken van de meest innovatieve technologie die op dit moment beschikbaar is, is bewezen succesvol. Wij investeren sinds onze oprichting veel in de ontwikkeling van ons managementplatform. Dit geeft onze relaties inzicht in risico’s en speelt een belangrijke rol bij het beschermen van gegevens en het naleven van regels en wetten. Onlangs hebben wij voor die manier van werken een Global Award ontvangen. Palo Alto Networks, een Amerikaanse cybersecurityexpert, heeft 5.500 organisaties beoordeelt en slechts acht daarvan ontvingen een Global Award. Daar zijn wij enorm trots op.”

Werkt die aanpak ook als een bedrijf ‘in de cloud’ werkt?

“Onze aanpak werkt in de cloud net zo goed als on-premise. De security van de cloud infrastructuur zelf is goed beveiligd. Maar voor de data en dus ook de security in de cloud blijf je zelf verantwoordelijk. Je moet dus je data op dezelfde manier beoordelen en beveiligen als wanneer je die in een datacentrum onderbrengt.”


Auteur: Lieuwe Jan Koning
CTO ON2IT

Extreme Networks neemt Brocade over: security speerpunt in strategie

Leveranciers van netwerk-infrastructuur ervaren al langere tijd dat hun grote klanten het liefst in complete end-to-end oplossingen denken. Aanbieders die het hele palet van high-speed switch fabrics tot connectivity aan de buitenkant van het netwerk kunnen integreren, zijn tegenwoordig in het voordeel. Dat is dan ook de belangrijkste reden voor de overname van Brocade door de wereldspeler Extreme Networks.  

Klik voor vergroting

De analisten van Gartner kozen Extreme Networks onlangs nog uit tot de meest visionaire aanbieder in de top drie belangrijkste wereldwijde netwerk fabrikanten. Brocade is vooral bekend van zijn marktleidende datacenter-oplossingen die gebruikt worden door enterprises en serviceproviders: de SLX, VDX en MLX ethernet-switches en routers, de Workflow Composer software en verschillende andere datacenter gerelateerde producten.

Volgens Sander Bakker, die vanuit zijn vorige functie bij Brocade sinds kort de Nederlandse salesmanager voor de datacenter producten van Extreme Networks is, verbetert de overname de huidige datacenteroplossingen van Extreme. Die datacenteroplossingen worden gebruikt door grote ondernemingen en serviceproviders in branches als het onderwijs, hospitality, gezondheidszorg, retail, transport en logistiek, manufacturing en de overheid.

Voordelen voor klanten

Volgens Bakker is Extreme Networks door de overname van Brocade, en eerder Zebra en Avaya, nu een nog belangrijkere speler geworden in de enterprise-networkingbranche. Hij verwacht dat Extreme wereldwijd nog meer klanten kan helpen met end-to-end software-driven oplossingen die hun initiatieven op het gebied van digitale transformatie ondersteunen. “Extreme was vanouds al sterk in het kunnen aanbieden van een heel breed palet van connectivity oplossingen voor bijvoorbeeld campussen, ziekenhuizen of fabrieken. Met de Brocade producten vult Extreme zijn portfolio aan met in de praktijk bewezen oplossingen die over de hele wereld tot in de allergrootste data centra worden gebruikt.”

Van het perspectief van IT-security ziet Bakker voor klanten een aantal voordelen door het samengaan van Extreme en Brocade. “De WorkFlow Composer software is een steeds belangrijker onderdeel van onze productlijn geworden door de trend naar software networking. De WorkFlow Composer kan een groot deel van de meest voorkomende IT-werkzaamheden in het netwerk, maar ook in in virtual machines, storage en applicatie omgevingen, geheel automatiseren. Niet alleen met Brocade producten, maar met producten van veel andere leveranciers. Automation is eveneens een noodzakelijke stap in de volgende fase van cybersecurity. Op basis van de informatie van bijvoorbeeld een SIEM of threat prevention software, is het mogelijk om realtime kritieke configuratiewijzigingen door te kunnen voeren van het datacenter tot de endpoints met behulp van de WorkFlow Composer.

Bakker wijst er ook op dat de Extreme switches uitgebreide voorzieningen hebben om honderd procent zichtbaarheid van alle dataverkeer te hebben. “Die informatie kan in het SOC worden gecombineerd met de informatie van andere bronnen zoals servers, firewalls, intrusiondetection. Daardoor is het mogelijk om in een SIEM omgeving een geheel geïntegreerd end-to-end beeld van het hele netwerk te hebben.”

De mens als zwakste schakel

Op 19 maart 2016 opent John Podesta zijn e-mail-box en treft een berichtje van Google. Denkt hij. Of ie z’n e-mailaccount wil herbevestigen. In het campagne-hoofdkwartier van de democratische presidentskandidaat Hillary Clinton in Brooklyn is het die zaterdag hectisch. Er is minder dan acht maanden te gaan tot de Amerikaanse verkiezingen.  

Een oplettende medewerker ruikt onraad en stuurt een mailtje naar de it-afdeling, of het in orde is dat Podesta herbevestigt en krijgt per kerende post dit berichtje terug: “This mail is legitimate. John must immediately change his password.” Dus dat doet Podesta met enkele muiskliks en toetsaanslagen… die hun stempel zullen drukken op de wereldgeschiedenis. Waarschijnlijk reeds de minuten daarna wordt Podesta’s e-mailbox leeggeroofd en verdwijnt een vracht aan vertrouwelijke informatie naar Rusland. Zonder deze voor Clinton desastreuze lek had zij nu hoogstwaarschijnlijk in het Witte Huis gezeten, en niet Donald Trump.

Catastrofe verborgen in een klein hoekje

Zeker, aan de cybersecurity in Clintons campagne-organisatie viel technisch veel te verbeteren maar de waakzaamheid van Podestas staf was voorbeeldig. Dat het toch mis ging lag aan it-medewerker Charles Delavan die de verwarrende mail terugzond. Tegenover de Times verklaarde hij later in de haast een typefout te hebben gemaakt. Er had moeten staan: “This mail is illegitimate…” De toevoeging dat Podesta zijn wachtwoord moest aanpassen was standaard bij elk veiligheidsincident. In de digitale samenleving kan een catastrofe verborgen zitten in een klein hoekje.

Neurobiologisch probleem

Van kwaadaardige attachments heeft meer dan 99 procent menselijke interactie nodig. Voor URL’s in kwaadaardige mails is dat 98 procent, zo schat de Amerikaanse producent van beveiligingssoftware Proofpoint. Cybersecurity is daarmee behalve een technisch vooral een menselijk… een neurobiologisch probleem. Toetsenborden en computermuizen worden meer en meer het verlengstuk van onze handen. We typen en klikken zo routinematig dat het bericht al is verzonden en het malafide attachment al is aangeklikt voor we er bewust toe hebben besloten. Het zijn niet gedachten maar vingers die de beslissing nemen.

Reptielenbrein

Die routine danken we hersenstem en kleine hersenen, ons ‘reptielenbrein’, dat vaak uitgevoerde handelingen overneemt, net als bij traplopen en fietsen. Op het reptielenbrein ligt het zoogdierenbrein gestapeld, dat het veiligheidsrisico nog eens vergroot. Deze zogenoemde ‘middenhersenen’, die onze emoties reguleren, laten zich namelijk gemakkelijk hacken. Phishing mails spelen daar massaal op in. Zo suggereerde Podesta’s Google-mailtje dat er haast geboden was. Angst blokkeert kritisch oordeelsvermogen. Het wekte tegelijkertijd vertrouwen (met de naam Google) en de helpende hand (met hulpvaardige taal). Onze middenhersenen zijn ontvankelijk voor bekende gezichten en logo’s en voor aardigheid. Voor cadeautjes en attentie. Volgens het voor-wat-hoort-wat-principe moeten we iemand die aardig doet ter wille zijn. Tenslotte suggereerde de mail dat herbevestiging van het account nodig was om de vijand buiten de deur te houden. Heel slim want de vijand van je vijand die voelt als je vriend.

Verizon

Zo laten we ons manipuleren, en gaan gemakkelijk in de fout. En dan? Ja, dan maakt datzelfde zoogdierbrein de zaak nóg erger door ons een gevoel van gêne te bezorgen: we hebben iets stoms gedaan. En bij gêne willen we ons verbergen. IT-bedrijf Verizon analyseerde wat er gebeurd was met 636 duizend gesanctioneerde phishing mails die in 2015 binnen allerlei bedrijven aan medewerkers waren gestuurd om de risico’s in kaart te brengen: dertig procent werd geopend, in twaalf procent werd op het attachment geklikt. En hoeveel van deze medewerkers deden een melding? Dat was drie procent. Drie procent! De rest stak gegeneerd zijn kop in het zand of dacht: waait wel over.

Open foutenmentaliteit

Daar hebben we het grootste risico te pakken: de gêne van medewerkers over hun fouten. De kop in het zand is fnuikend voor beveiliging én voor het leerproces van de medewerker. De kans dat hun vingers dezelfde fout weer maken zou veel kleiner zijn als medewerkers durfden uit te komen voor hun fouten, blijkt uit onderzoek. Dat vergt een bedrijfscultuur die ervan is doordrongen dat fouten maken erbij hoort en dat erbij stilstaan dé manier is om samen te leren. Veel kwetsbare bedrijven als vliegtuigmaatschappijen, banken en procesindustrie investeren al jaren in zo’n open foutenmentaliteit.

De mens als zwakke schakel

Bovenop ons reptielen- en zoogdierenbrein ligt de cortex gedrapeerd: “het mensenbrein”. Dit is de plek waar medewerkers verantwoordelijkheid nemen. En dat gaat het best, zo blijkt uit onderzoek, wanneer ze trots zijn op hún bedrijf en op hun rol daarbinnen. Er is geen complete technische oplossing tegen digitale bedreiging. Daarom vraagt de veilige organisatie van de toekomst om oplettende, trotse, zelfbewuste, lerende en gelukkige medewerkers. Want die leren sneller, maken daardoor minder fouten en nemen meer verantwoordelijkheid. Ze botsen bijvoorbeeld ook minder deuken in bedrijfsauto’s. Dat de mens de zwakke schakel is, dwingt bedrijven om cybersecurity als een strategisch vraagstuk te zien.

Mark Mieras is wetenschapsjournalist gespecialiseerd in hersenen en leren. Hij was een van de sprekers op Bright & Cloudy 2017.

Elimineer de menselijke factor uit de security operatie

Cybersecurity is niet langer het domein van nerds en it-professionals. Dat danken we vooral aan nieuwe Europese wetgeving. Met de zogeheten GDPR op komst, is gegevensbescherming ook het zorgenkind geworden van de CEO en de raad van commissarissen. De hoofdelijke aansprakelijkheid in de verordening schudt velen goed wakker. Dat merkt beveiligingsexpert ON2IT aan de veranderende houding van klanten en prospects.

We spreken met Lieuwe Jan Koning, CTO en medeoprichter van ON2IT. Hij legt uit dat hun beveiligingsfilosofie uitgaat van het zogeheten ‘Zero Trust principe’. “Wanneer het aankomt op it-security is vertrouwen een kwetsbaarheid. Het gaat er niet om dat je mensen niet zou vertrouwen, het gaat erom dat je netwerkverkeer a priori niet kunt vertrouwen. Tegen alle mail, websites en social mediaverbindingen zeggen we aanvankelijk ‘nee’ en vervolgens bepalen we in welke gevallen en onder welke voorwaarden dat ‘ja’ kan worden.

Dat Zero Trust concept werkt vooral goed in combinatie met segmentatie, waarbij we om ieder logisch samenhangend deel van de infrastructuur een slotgracht leggen. Ieder groot onoplosbaar probleem hakken we in kleine stukjes. Omgevingen waarin een datacenter de mailomgeving en het financiële pakket naast elkaar staan, trekken wij los van elkaar. En al die losse zogeheten microperimeters beveiligen we individueel. Door een aantal kleine behapbare problemen op te lossen, bereik je veel meer dan wanneer je je blijft blindstaren op een groot onoplosbaar probleem.” Dat lijkt kostbaar, maar het tegendeel is waar. Het leeuwendeel is software, een infrastructuur ontwerpen vanuit security zorgt voor lagere kosten en de compliance wordt eenvoudiger en dus ook voordeliger.

Het SOC-probleem

Het Security Operations Center (SOC) is het zenuwcentrum van waaruit de security-infrastructuur die Koning beschrijft 24/7 beschikbaar moet zijn. Het is voor bestuurders niet eenvoudig om het goede SOC te kiezen. Er zit in die markt veel kaf tussen het koren. Wanneer is it-security goed? IT-security volgens Zero Trust heeft een dubbel effect: het verminderen van de kans op infectie en het zoveel mogelijk verkleinen van de impact bij een lek of hack. De focus ligt vaak op het verkleinen van de kans op infectie en dat is een gemiste kans. Koning brengt de beruchte hack in herinnering op de Amerikaanse retailer Target in 2013. “Hackers kwamen toen binnen via een managementsysteem voor de klimaatbeheersing, waar de beveiligingsmaatregelen van Target zich niet op concentreerden. De hackers konden vervolgens ongehinderd ‘binnendoor’ doorlopen naar het datacenter waar de buit lag: creditcardgegevens van miljoenen klanten. Door segmentatie en individuele beveiliging van elk segment voorkom je deze vorm van ‘lateral movement’.”

“Je kunt beter enkele kleine problemen oplossen dan je te blijven blindstaren op een groot onoplosbaar probleem”

De beveiligingsexpert legt uit dat het aanpakken van it-security als één geheel bovendien te traag werkt. “Het geheel aanpakken is letterlijk onbegonnen werk voor een menselijke analist. Je zoekt naar een speld in een hooiberg, terwijl je niet eens weet of er een speld is, en evenmin dat als je er één hebt gevonden, je ze daarmee allemaal hebt gevonden. Dat is in het kort het probleem van een SOC. Het is arbeidsintensief, de tijd tussen detectie en maatregel is daardoor te groot, en het schaalt niet. Een bedrijf dat SIEM (Security Information & Event Management) echt goed wil inrichten, heeft al minstens acht mensen nodig. Dergelijke schaalgrootte is alleen haalbaar voor grote bedrijven, zoals Philips of ING. Toch moeten ook kleinere ondernemingen een goede it-security hebben, omdat ook zij uiteindelijk GDPR-compliant moeten zijn.”

Security Automation & Orchestration Platform

Om dit probleem van te weinig mankracht op te lossen heeft ON2IT haar eigen ‘Security Automation & Orchestration Platform’ ontwikkeld. Uiteraard op basis van het Zero Trust principe. Hier zit ruim twaalf jaar aan ervaring in. “Om een SOC effectief te maken zetten we onze intelligentie anders in”, vertelt Koning. “Analyse wordt waar mogelijk geautomatiseerd. Door toepassen van kunstmatige intelligentie, door gebruik te maken van externe kennis (Threat Intelligence Feeds) en door het anders gebruiken van de intelligentie van de analist. Traditionele SOC-tools, zoals een SIEM, zijn gemaakt om de analyse door mensen te vereenvoudigen. Onze tools helpen om intelligente maatregelen ineens voor al onze klanten te definiëren. Als je bedenkt dat ons mailfilteringsysteem iedere minuut veertien zero-day-bedreigingen tegenhoudt, wordt het duidelijk: we moeten automatiseren en maatregelen orkestreren. Zo is er meer tijd en focus voor de speciale events die aandacht en manuele analyse behoeven. Alleen zo blijft ons SOC slim en snel – superlage responstijden – en betaalbaar.”

Van detectie naar preventie

Koning noemt als voorbeeld een infectie op een werkstation. “Iemand heeft ondanks alle awareness toch op een link geklikt en de antivirus heeft dat niet tegengehouden. Deze malware veroorzaakt ‘command & control traffic’ op netwerkniveau, zodat de malware van afstand bestuurd kan worden door de hacker. Next generation firewalls zien dit, maar kunnen de infectie niet ongedaan maken. In een traditioneel SOC ziet iemand via de logging dat die desktop geïnfecteerd is geraakt. Hij gaat ernaar kijken, belt met systeembeheer en overlegt over de beste aanpak. Dat kan anders en vele malen sneller. Zodra ons platform verdacht verkeer detecteert, wordt een zogeheten ‘playbook’ afgespeeld. Deze initieert zo snel mogelijk een preventieve actie, afhankelijk van de correlaties binnen een situatie. De desktop wordt uitgezet, de gebruiker wordt geblokkeerd of wat dan ook. In ieder geval is het: prevention first. Vervolgens komt er automatisch een alarm, met daarin een samenvatting van de chain of events. De bedreiging is afgewend, zonder menselijke tussenkomst. Het grote effect dat dit heeft is dat wij detectie omzetten naar preventie.”

Security improvement advisories

Koning: “Een belangrijke focus van onze analisten is om voortdurend te leren, aan te passen en beter te worden, door bijvoorbeeld die playbooks te blijven tunen. Wij streven ernaar om het gedrag van alle soorten malware, inclusief gewenste respons, volledig in kaart te brengen. Dat is een illusie, want hackers zitten niet stil. Door reeds bekende zaken te automatiseren in playbooks, kunnen we ons voornamelijk richten op nieuwe soorten aanvallen. En op het verbeteren van de situatie van individuele klanten. Bijvoorbeeld door bepaalde segmenten nog verder te segmenteren. Wij prioriteren die actie en rapporteren daar maandelijks over in onze ‘security improvement advisories’, een to-do-lijst met structurele verbeteringen op ieder vlak waar de CISO direct mee aan de slag kan.”

Daarmee is de cirkel van GDPR naar security en weer terug naar GDPR rond. In onze portal ziet de gebruiker precies wat er allemaal in de gaten wordt gehouden, welke eventuele lekken er zijn geweest en welke acties daarop zijn uitgevoerd. Koning: “Hiermee kan een bedrijf ruimschoots aantonen dat ze aan hun plicht hebben voldaan. Geloof mij, je hebt echt liever dat wij een zwakheid rapporteren dan dat een hacker dat doet.”


Interview met Lieuwe Jan Koning
CTO ON2IT
Uitgave ICT Magazine oktober 2017

Hacker’s Playbook – A Ransomware Special Edition

Wat is de meest voorkomende ransomware? Wat zijn veel voorkomende breach methods voor infiltratie? Onze partner SafeBreach heeft op basis van real world simulaties de ransomware best practices van al haar klanten wereldwijd geanalyseerd. Lees de bevindingen in deze Hacker’s Playbook, een Ransomware Special Edition.

,

ON2IT wint Global Partner Award van Palo Alto Networks

Waardenburg, 11 september 2017 – De Nederlandse cybersecurityspecialist ON2IT heeft in Las Vegas tijdens de jaarlijkse interne saleskick-off van Palo Alto Networks de Global Partner Award voor Traps™ ontvangen. De awards werden uitgereikt aan een selecte groep van partners op basis van hun bewezen expertise op het gebied van het Palo Alto Networks Next-Generation Security Platform. ON2IT werd in 2015 en 2016 ook al onderscheiden, maar ontving nu voor het eerst een Global Award. Palo Alto Networks reikte in totaal acht Global Awards uit onder 5.500 partners.

Toen Palo Alto Networks in 2014 Cyvera overnam en omdoopte tot Traps™, was ON2IT een van de eerste partijen die de endpoint-oplossing Traps™ adopteerde. Als onderdeel van het Next-Generation Security Platform profiteert Traps™ van alle voordelen, zoals de threat intelligence cloud WildFire, en nieuwe ontwikkelingen als het recent aangekondigde API-framework. Als eerste wereldwijd lanceerde ON2IT bovendien een Managed Traps Service, waarmee het Traps™ aanbiedt als Managed Security Service (MSS) in de vorm van een abonnement.

“Palo Alto Networks gebruikt de manier waarop ON2IT haar managed security services heeft ontwikkeld en uitgerold als blauwdruk voor alle andere partners in de wereld. Dit geldt ook voor Traps™, ON2IT is de eerste wereldwijde partner die Traps™ als managed dienst aanbiedt aan haar klanten.” zegt René Bonvanie, CMO van Palo Alto Networks.

“Het in ontvangst nemen van de award was een waar kippenvelmoment. Ik ben zeer trots op alle overtuiging en inzet die het ON2IT-team tentoon heeft gespreid. Inmiddels is Traps™ een volwassen next-generation endpoint-oplossing met de beste protectie, die voorkomt dat hackers malicieuze activiteiten kunnen starten. En de dit jaar geplande nieuwe releases zullen de lat voor hackers nog hoger leggen,” aldus Marcel van Eemeren, CEO van ON2IT.

Traps™ is een revolutionair securityproduct en onderdeel van het Palo Alto Networks Security Platform. Het beveiligt endpoints op preventieve wijze, in tegenstelling tot traditionele antivirus-scanners die reageren op het resultaat van een hack.

ON2IT Filer 3.0: het veilige alternatief voor WeTransfer

Applicaties waarmee u grote bestanden kunt versturen zijn er genoeg. Maar gebeurt dat ook veilig? Steeds meer organisaties zijn zich bewust van het belang van databescherming. Zeker als data met derden worden gedeeld. De behoefte aan een applicatie waarmee men grote bestanden op een veilige manier kan versturen groeit. Daarom hebben we bij ON2IT een eigen applicatie ontwikkeld: Filer 3.0.

Met Filer 3.0 verstuurt u eenvoudig grote en vertrouwelijke bestanden beveiligd met een wachtwoord. Én Filer 3.0 draait in uw eigen datacenter. Zo weet u precies waar uw bestanden zich bevinden.

Waarom kiezen voor Filer 3.0

  • Enorme capaciteit

    Verzend onbeperkt bestanden per bericht tot maar liefst 20 GB per bestand!

  • Optimale beveiliging

    – Verplichte SSL-encryptie tijdens transfers
    – Opslag van alle bestanden altijd versleuteld op de storage
    – Automatische aanvraag, installatie en verlening van SSL-certificaten
    – Beveiliging met een extra wachtwoord voor elke data-transactie
    – Er is een audit log beschikbaar van elke actie

  • Gepersonaliseerde interface

    – Pas de gebruikersinterface voor verzender en ontvanger aan met uw eigen bedrijfsnaam en logo
    – Elke gebruiker kan een eigen signature instellen

  • Flexibiliteit per bericht

    Geef per bericht aan of een wachtwoord gewenst is en wanneer de bestanden verwijderd moeten worden.

  • Gemak voor de verzender

    Stuur een kopie naar uzelf. Zo houdt u overzicht in wat u verstuurd heeft, aan wie en wanneer.

  • Niet alleen veilig versturen, maar ook ontvangen

    Met de request-optie laat u veilig bestanden naar uzelf versturen.

Snel aan de slag met Filer 3.0

Starten met de Filer? U ontvangt de software als virtual appliance die u eenvoudig in uw eigen infrastructuur activeert. Wij activeren de Filer in uw portal en u kunt direct aan de slag. Pas de gebruikersinterface aan met naam en logo van uw organisatie en veilig verzenden kan beginnen!

Filer 3.0 heeft nog meer voordelen:

Disrupting IT-security again

Service en cloud zijn de rode draad in de revolutionaire vernieuwingen die Palo Alto Networks heeft aangekondigd. Met als grootste innovatie het Application Framework. We moeten nog even geduld hebben tot de daadwerkelijke productlancering, maar hier alvast een tipje van de sluier.

Disruptie

Start-ups die security applicaties ontwikkelen schieten als paddenstoelen uit de grond. En er wordt flink in geïnvesteerd. De reactie van Palo Alto Networks op deze ontwikkeling was bijzonder, om niet te zeggen onverwacht: ze stellen hun framework open voor third parties. Waarom? In de strijd tegen cybercrime kun je niet als enige de beste zijn. Als er 80 nieuwe start-ups zijn, zullen ze niet alle 80 succesvol zijn. En kun je als organisatie nog een goede keuze maken met zoveel aanbod en de kosten binnen de perken houden?

Het Application Framework biedt security niet meer aan als opeenstapeling van technologieën. Het wordt een plek waar klanten security als service afnemen (niet te verwarren met Software as a Service, oftewel SaaS). Gewoon zelf kiezen welke applicaties je wanneer nodig hebt. Nu kiezen voor threat intelligence en IOT-security en volgende maand een automation app erbij. Bevalt die niet, dan zet je hem weer uit. Een soort cafetariamodel, al klinkt dat misschien wat oneerbiedig.

Wat vindt u straks allemaal in het Application Framework

  1. Uiteraard de cloud-based applicaties van Palo Alto Networks zelf. Denk bijvoorbeeld aan AutoFocus, waarmee security teams sneller kunnen reageren op kritieke aanvallen door contextuele threat intelligence. Of het recent toegevoegde LightCyber, dat gebruik maakt van kunstmatige intelligentie voor gedragsanalyse.
  2. Tweede pijler in het framework zijn de security-applicaties van meer dan dertig third party partners. Hieronder bevindt zich ook onze partner SafeBreach, het geautomatiseerde testplatform dat 24/7 hacks uitvoert in een veilige omgeving.
  3. In de laatste pijler kunnen klanten zelf applicaties toevoegen. Ontwikkelt iemand een interessante security app, dan kan die na goedkeuring worden aangeboden in het Application Framework.

Kortom, Palo Alto Networks is een van de eerste partijen die zijn framework openstelt voor derden. En daar worden we allemaal beter van. Meer keuze voor de klant en meer data om te delen. Niet meer allerlei technologieën on premise implementeren en continu updaten. Je haalt alles uit Palo Alto Networks’ (veilige) cloud

Wat is er nog meer nieuw

Data-logging: de onmisbare basis

De nieuwe Cloud-based logging service voorziet het Application Network van een sterke basis. Om je als organisatie te wapenen tegen aanvallen en dreigingen, heb je namelijk inzicht nodig in wie en wat je aanvalt. En daarvoor is analyse nodig van grote hoeveelheden data. Maar meer data loggen betekent meer opslagruimte, dus meer hardware. Palo Alto Networks lost dit op met Cloud-based logging service.

De voordelen:

  • Analyse en inzicht in grote hoeveelheden data
  • Geen beperking meer door hardware en beschikbare capaciteit
  • Makkelijker inspelen op veranderende behoeften binnen de organisatie

Overal dezelfde security

Iedereen dezelfde beveiliging; op kantoor, onderweg, op een extern netwerk. Klinkt dat niet als muziek in de oren? Geen operationele barrières meer om externe netwerken en mobiele gebruikers tegen cyberaanvallen te beschermen. Eén consistent beveiligingsbeleid voor uw hele organisatie.

De nieuwe Global Protect cloud service maakt het mogelijk. Door de cloud-gebaseerde beveiligingsinfrastructuur wordt de hardware vervangen door software. Het wordt centraal beheerd in Panorama voor consistentie en optimaal gebruikersgemak. Panorama is het security managementsysteem van Palo Alto Networks. Eén centrale plek om al uw firewall verkeer te bekijken, firewallconfiguraties en policies te beheren en rapporten te genereren.

Policy Automation: de ervaringen van een security architect

14 Juni – Palo Alto Networks Ignite 2017, de grootste Cybersecurity Conference ter wereld. Bezocht door meer dan 4.000 bezoekers en podium voor tientallen sprekers. Zo ook onze eigen Security Architect Johan Bogema. Zijn presentatie Policy Automation as a Service, a deep dive werd enthousiast ontvangen door zijn toehoorders (inclusief Zero Trust goeroe John Kindervag).

Waarom firewall policies automatiseren?

Tijdens het automatiseren van een private cloud voor een internationale financiële instelling kwamen we bij ON2IT voor een onverwachte uitdaging te staan. Geen technisch detail, maar meer een menselijke factor. Tegenwoordig is elke security engineer verantwoordelijk voor de firewall policy. Maar die persoon heeft geen kennis van de applicatie, noch van de data. Is het daarom niet logischer om de eigenaar van de applicatie verantwoordelijk te maken voor de firewall policy?

En daar ontstaat meteen de volgende uitdaging: een security engineer kan een policy uitvoeren, hij spreekt immers ‘firewall taal’. Een DevOps die de applicatie ontwikkelt spreekt ‘gewone mensentaal’. Hoe gaat hij in ‘gewone mensentaal’ een firewall rule implementeren? Niet. Daarom hebben we firewall automation bedacht. Hiermee maken we als het ware de vertaling van ‘gewone mensentaal’ naar ‘firewall taal’. Gewoon in de eigen portal van de klant. Op deze manier kunnen regels veel sneller aangemaakt worden zonder de security principes en vereisten los te laten. Om maar eens wat te noemen, de delivery time is teruggebracht van drie weken naar 15 tot 20 minuten per rule.

Klinkt eenvoudig?

“Dat klinkt allemaal wel heel eenvoudig” horen we u denken. Dat klopt, althans gedeeltelijk. Firewall automation maakt het beveiligen van applicaties een stuk eenvoudiger. De implementatie is dat uiteraard niet. Johan vertelt uit eigen ervaring welke uitdagingen hij tegenkomt bij het automatiseren van policies. Waar je aan moet denken als je hiermee aan de slag gaat en wat het uiteindelijk oplevert. Zowel qua gebruikerservaring als in harde cijfers.

“Delivery time is teruggebracht van drie weken naar 15 tot 20 minuten per rule”

Benieuwd naar Johans complete verhaal? Op 26 september krijgen ook de bezoekers van Bright & Cloudy de kans om zijn presentatie bij te wonen. Inclusief cijfers, (veel) technische details, sheets vol code én Stephen Hawkins.

ON2IT partner SafeBreach uitgeroepen tot ‘Gartner Cool Vendor’

Op 12 juni maakte Gartner bekend dat ze SafeBreach zien als Cool Vendor. Het toonaangevend onderzoeks- en adviesbureau kijkt elk jaar welke bedrijven het digitale kader veranderen. Deze Cool Vendors omschrijven ze als organisaties die een technologie of dienst bieden die:

  • Gebruikers in staat stelt om dingen te doen die ze voorheen niet konden
  • Impact heeft op organisaties (het gaat niet alleen om de techniek ‘an sich’)
  • De afgelopen zes maanden de aandacht van Gartner heeft getrokken

Dit jaar sprong SafeBreach bij Gartner in het oog.

Wat doet SafeBreach

SafeBreach stelt securityteams in staat om hun IT-securitycontroles veilig en geautomatiseerd te valideren. Dat doen ze met behulp van breach en attack simulatietechnologieën. Die technologieën zijn gebaseerd op basis van duizenden werkelijke aanvallen die verzameld worden in het Hacker’s Playbook. In tegenstelling tot pentesten of red teams, valideert SafeBreach continu. Het maakt gebruik van hackmethoden, maar dan zonder de bijbehorende risico’s voor gebruikers, gegevens of systemen. Op deze manier kun je de veiligheidshiaten in het netwerk, de cloud of op de endpoints vinden en mitigeren.

Wat maakt SafeBreach cool?

Het test continu

Volgens de SafeBreach benadering is risk assessment niet een periodieke activiteit, maar zou het continu moeten zijn.  Door geautomatiseerd te testen wordt validatie een continu proces.

Het test de complete attack cyclus

Door cloud, netwerk en endpoint simulators te combineren test SafeBreach de complete attack cyclus, van herkenning tot data-exfiltratie. Het platform correleert en analyseert de resultaten van elk breachscenario. De gebruiker krijgt inzicht in de kill-chain en aanbevelingen om de IT-security te verbeteren.

Het test zonder impact op de bedrijfsvoering

‘Risicobeoordeling en het vinden van beveiligingslekken in productie-omgevingen moet gebeuren zonder impact op de beschikbaarheid van de diensten of de gebruikerservaring. Breach en attack simulatietechnologieën kunnen leiders helpen zich voor te bereiden op aanslagen op kritische assets.’ [1], aldus Gartner. SafeBreach simuleert aanvallen in een veilige omgeving en heeft daardoor geen impact op beschikbaarheid en gebruikers.

Als partner van SafeBreach kan ON2IT de conclusie van Gartner alleen maar onderschrijven. Ook wij zijn van mening dat de toegevoegde waarde van SafeBreach met name ligt bij de automatisering en continuïteit van risk assessment.

[1] Gartner – Cool Vendors in Monitoring and Management of Threats to Applications and Data, 2017

,

Petya/Goldeneye ransomware uitbraak

In diverse nationale en internationale media wordt momenteel wederom gewaarschuwd voor een grootschalige ransomware aanval. Het betreft een variant van de Petya/GoldenEye/Mischa ransomware. Deze ransomware gebruikt dezelfde exploit als WannaCry: de zogenaamde EternalBlue exploit. Dit is een kwetsbaarheid in Microsoft Windows die in maart dit jaar bekend is geworden.

Reeds voor de uitbraak van WannaCry blokkeerde Palo Alto Networks deze exploit al [1]. Evengoed blijft het ON2IT SOC waakzaam. Indien het ON2IT SOC uw security apparatuur beheert, kan het zijn dat wij aanwijzingen hebben of binnenkort krijgen dat u getroffen bent door deze malware of dat aanvullende maatregelen noodzakelijk zijn. Is dat het geval, dan bent of wordt u uiteraard direct persoonlijk door ons benaderd, zoals u dat van ons gewend bent in dergelijke situaties.

Ondanks deze maatregelen adviseren wij u om met spoed eventueel kwetsbare systemen zo snel mogelijk van de MS17-010 patch te voorzien, en aanvullend gebruikers te informeren over de gevaren van ransomware. Zie ook [1] en [2] voor meer informatie.
Onlangs was er een zeer vergelijkbare aanval in het nieuws: WannaCry. Zover we nu kunnen overzien, zijn de maatregelen tegen Petya exact dezelfde als bij WannaCry. Voor een uitgebreide analyse én methoden om u tegen deze vorm van ransomware te wapenen, hebben wij u onlangs een publicatie gestuurd in een blogpost. Zie deze blogpost door onze CTO, Lieuwe Jan Koning. [4]

Daarnaast is het in het algemeen verstandig gebruikers periodiek erop te attenderen e-mail vanuit niet vertrouwde bronnen niet te openen.

Vanzelfsprekend houden wij deze ontwikkelingen nauwlettend in de gaten en informeren u waar nodig verder.

Bronnen:
[1] https://researchcenter.paloaltonetworks.com/2017/06/unit42-threat-brief-petya-ransomware
[2] https://www.ncsc.nl/actueel/nieuwsberichten/wereldwijd-nieuwe-ransomwarebesmetting.html
[3] Palo Alto Networks Threat Identifiers: 32494, 32393, 32422, 32424, 32427, 32716
[4] https://on2it.net/wannacry-ransomware-een-slimme-organisatie-is-voorbereid/

Mocht u vragen hebben naar aanleiding van deze aanval of andere aanvallen, neemt u dan contact op met het ON2IT SOC. Wij zijn 24×7 bereikbaar via 088-2266201, servicedesk@on2it.net en https://portal.on2it.net.

Secure cloud met Zero Trust – deel 2: SaaS

In deel 1 van deze serie hebben we het beveiligen van een private cloud uitgebreid besproken. Deze keer gaan we het hebben over Software as a Service (SaaS). En vergeleken met SaaS is de beveiliging van de private cloud kinderspel.

Bij een private cloud zou je kunnen zeggen dat je alles in eigen hand hebt. Bij SaaS is eigenlijk het tegenovergestelde het geval. Vergelijk het met het bakken van een pizza. In het eerste geval bereidt u de pizza helemaal zelf. U maakt zelf het deeg en bakt de pizza in uw eigen oven. U weet dus precies wat er in de pizza zit en dat u de enige bent die erbij kan.

In het andere geval gaat u met het pak meel naar de pizzabakker en vraagt hem een pizza te bakken. Natuurlijk doet hij dat, maar u mag er niet bij blijven als hij aan het werk is. Weet u dan nog wat er precies in zit? Wie er allemaal bij kunnen, er iets in kunnen stoppen of wat van meenemen? Zo werkt het ook met een SaaS-applicatie. Je geeft alles uit handen. Het netwerk, besturing, software én je data. Maar je blijft wel verantwoordelijk voor die data, terwijl je voor de beveiliging daarvan afhankelijk bent van je leverancier. Geen prettig idee als je bedenkt wat de gevolgen van onvoldoende beveiliging zijn:

  • Misbruik of diefstal van data
  • Inbreuk op de vertrouwelijkheid van data
  • Verspreiding van malware
  • Compliance risico’s

Kortom: geen of beperkte controle, maar wel verantwoordelijkheid en mogelijk nadelige gevolgen. Vertrouw daarom niet zomaar op de veiligheidsmaatregelen van de SaaS-leverancier. Maar wat kun je daaraan doen?

SaaS-beveiliging: hoe pak je dat aan?

1. Zorg voor inzicht

We roepen het te pas en te onpas, maar inzicht is altijd de eerste stap naar een goede beveiliging. Je kunt iets pas controleren en beveiligen als je weet wat er gebeurt. Het SaaS Risk Assessment Report biedt hier uitkomst. Dit rapport laat onder andere zien welke SaaS-applicaties er worden gebruikt en door wie en hoeveel data er naar die applicaties gestuurd wordt.

2. Bepaal wat wel en niet mag

Als u weet welke applicaties er gebruikt worden, kunt u onderscheid maken tussen applicaties die wel en niet toegestaan zijn. Een veelgebruikte indeling is:

Unsanctioned apps

Unsanctioned apps zijn het meest risicovol. Deze komen vaak voort vanuit shadow-IT. Zakelijk gebruik van deze applicaties is zeer onwenselijk. Via firewall policies kun deze apps worden uitgesloten van gebruik.

Tolerated apps

Tolerated apps zijn apps die je liever ook niet zou gebruiken, maar vaak zijn ze zo ingeburgerd in de organisatie dat verbieden geen optie meer is.

Sanctioned apps

Over de categorie sanctioned heb je de meeste controle. Je kiest als organisatie een applicatie voor een bepaald doel en stelt daar ook voorwaarden aan.

3. Classificeer je data

Bepaal wat wel en niet mag binnen de toegestane applicatie. Dit kan onder meer door data te classificeren. Leg in uw beleid bijvoorbeeld vast dat een juridisch document wel gedeeld mag worden in OneDrive zakelijk, maar niet in OneDrive persoonlijk.
Als deze functionaliteit niet in de applicatie zelf zit, biedt Aperture van Palo Alto Networks uitkomst. Aperture classificeert data automatisch op basis van de content (Engels en Duits zijn inmiddels beschikbaar). Daarnaast blokkeert het bestanden, ook als ze al gedeeld zijn, of stuurt het naar WildFire (sandbox) als er sprake is van een unknown threat.

Waar moet je nog meer rekening mee houden

Veel problemen kunnen ook voorkomen door een goede voorbereiding. Let daarom bij het kiezen van een SaaS-leverancier op de volgende punten:

Eerst beleid, daarna cloud

Zoals we al zeiden blijf je zelf verantwoordelijk voor je data. Reduceer de risico’s en de impact van cyberdreigingen daarom tot het minimum. Hoe? Op basis van Zero Trust. In ons vorige artikel legden we uit hoe je risico en impact kunt beperken door te segmenteren. Segmentatie zorgt ervoor dat niet alle verbindingen zomaar open staan (risico beperken). En als er onverhoopt toch iets misgaat, dan blijft de schade beperkt tot dat ene segment (impact beperken).

Een SaaS-applicatie is ook (onderdeel van) zo’n segment. En bij een segment hoort een specifiek beleid. Op basis van dat beleid kunt u bepalen welke functionaliteiten vereist zijn en toetsen welke cloud provider daaraan voldoet.

Voorkom vervelende gevolgen
Wie een leverancier kiest zonder eerst de functionaliteiten te checken, kan achteraf in een lastige situatie terechtkomen. Stel dat het beleid niet uitvoerbaar is, wat dan?

  1. Het beleid wordt aangepast. In dit geval wordt beleid ondergeschikt aan functionaliteit en doe je in feite concessies aan de veiligheid. En als het beleid voortvloeit uit een wettelijke eis, dan kun je je serieus afvragen of een beleidsaanpassing überhaupt een optie is.
  2. Met de leverancier om tafel om de functionaliteit af te stemmen op het beleid. (En hoogstwaarschijnlijk valt dit niet onder de noemer ‘service’)
  3. Opzeggen en op zoek naar een andere leverancier. Ook dat is geen aantrekkelijke en voordelige optie.

Het kostenplaatje

Voor veel organisaties is het kostenplaatje een van de belangrijkste redenen om SaaS-applicaties te gebruiken. Heel begrijpelijk, want lage aanschafkosten zijn natuurlijk gemakkelijker te verantwoorden dan hoge. Alleen blijft het hier vaak niet bij. SaaS-providers halen hun inkomsten uit de abonnementskosten. En die kunnen nogal eens hoog uitvallen. Veel organisaties worden gelokt met een laag starttarief, wat na de eerste abonnementsperiode flink wordt verhoogd.

 Alles op één plek: is dat safe?

Bij een SaaS-applicatie heeft u alles op één plek. Klinkt lekker overzichtelijk en dat is het ook, maar er kleeft ook een risico aan. Als er iets mis gaat, gaat het ook goed mis. Alles is tenslotte bij dezelfde provider ondergebracht. Bij downtime ligt de complete applicatie plat en wordt de data onbereikbaar. Het is dus niet zo’n gek idee om data bijvoorbeeld over meerdere providers te verdelen. Werkt u met data met een hoge BIV-rating, bewaar ze dan op verschillende plekken (liefst ook on premise) én zorg dat u de controle behoudt. Het is goed om over een multi-cloud strategie na te denken, maar deze levert ook extra risico’s op. Als data op twee plaatsen staan, zijn er ook twee plaatsen waar een aanval op de data kan plaatsvinden.

Zorg dat je een exit-strategie hebt

“Weggaan bij onze cloudprovider. Waarom zouden we dat willen?”
Het klinkt misschien als een onwaarschijnlijk scenario, maar er kan een moment komen waarop u afscheid wilt nemen van uw cloudprovider. Wanneer?

  • De cloudprovider past de voorwaarden aan, waardoor uw beleid niet meer overeenkomt met de functionaliteit.
  • De cloudprovider verhoogt -na een periode met een aantrekkelijk welkomsttarief- de maandelijke kosten aanzienlijk.
  • Een wetswijziging verplicht u om het securitybeleid aan te scherpen en de cloudprovider kan daar niet aan voldoen.

Kortom, genoeg aannemelijke redenen om een plan B klaar te hebben.

Kun je op een veilige manier gebruik maken van SaaS-applicaties?

Bezint eer ge begint, daar komt het kortgezegd op neer. SaaS-applicaties bieden talloze voordelen, maar verlies daardoor de keerzijde niet uit het oog. U blijft tenslotte zelf verantwoordelijk voor uw data.

  • Stel beleid vast, voordat u een cloudprovider kiest
  • Houd rekening met redundantie en back-up (zeker in het geval van gevoelige data)
  • Zorg voor een exit-strategie

Inzicht krijgen in wat er binnen uw organisatie al gebeurt op SaaS-gebied? Vraag een SaaS Risk Assessment Report aan. De eerste stap richting veilig gebruik van Saas-applicaties.

Aanvragen boek ‘Navigating the Digital Age’

CEO’s een risico? Lees verder in het boek `Navigating the Digital Age’. Marcel van Eemeren vertelt hierin over de cyberrisico’s die u als CEO loopt.

In het hoofdstuk ‘The CEO is a serious source of cyber risk. How to adopt a Zero Trust Security.’ vertelt Marcel hoe je je als CEO kunt beschermen tegen cyberrisico’s.

DigiD: minder complexiteit, betere IT-security

De overheid laat het faciliteren van online dienstverlening in publiek-private samenwerkingsconstructies gedeeltelijk vrij. Hierdoor ontstaat keuzevrijheid en marktwerking, wat een bewuste keuze van de overheid is. In gesprekken met relaties uit de gezondheidszorg merk ik dat dit in praktijk echter voor meer complexiteit zorgt. En dat heeft gevolgen voor de IT-security. Dit levert de vraag op: is keuzevrijheid in het belang van de burger?

Wie spelen een rol?

Binnen het BSN-domein onderkennen we meerdere partijen en belanghebbenden: de rijksoverheid, de burger en de zorgverleners en overheidsinstanties. De openheid ten opzichte van de burger levert binnen het BSN-domein vaak een spanningsveld op: hoe deel je die gegevens met de burger en niet minder belangrijk, hoe bescherm je ze?

De rol van de overheid

De overheid heeft een veelal initiërende en bepalende mening die zich op meerdere vlakken doet gelden. De overheid wil immers dat we steeds vaker zaken online (kunnen) regelen.

De rol van de zorgverleners en lagere overheden

Aan het toevoegen van keuzevrijheid voor de burger (lees: meerdere inlogmethodes) kleven aan de kant van overheden en zorginstellingen ook bezwaren. Meer compliance en normering en een extra securitylast. Per slot van rekening moet men meerdere erkende identificatie- en authenticatiestelsels beheren, monitoren en certificeren. Diensten zoals iDIN en Idensys vormen een “broker-laag” om de keuzevrijheid te faciliteren. Het ontslaat de organisatie er niet van om compliance te toetsen en aansluiting met de eigen interne systemen te borgen. Dit levert een ongewenste beheerlast op voor IT-afdelingen. Er wordt namelijk complexiteit toegevoegd. En het verleden heeft geleerd dat complexiteit vaak de voedingsbodem is voor security incidenten.

De rol van de burger

De burger is uiteindelijk de spil in het BSN-domein. En die heeft een relatief eenvoudige wens: inzicht in zijn of haar persoonlijke gegevens of patiëntendossier.

Is keuzevrijheid gewenst?

Wil een zorgverlener of overheidsinstantie meerdere keuzes? Daar kun je vraagtekens bij stellen. De overheid kiest zelf als login methode DigiD. Een keuze die breed gedragen wordt in onder andere de zorg. Aan DigiD is een normenkader verbonden waaraan toetsing door Logius plaatsvindt. Logius (dienst digitale overheid van het ministerie van BZK) laat de betrouwbaarheid van systemen regelmatig testen door onafhankelijke, professionele partijen. Daarnaast gaat Logius zelf continu de naleving van technische- en organisatorische maatregelen en de betrouwbaarheid van systemen na door middel van interne controles. Op deze manier zorgt de overheid ervoor dat de betrouwbaarheid van DigiD zo hoog mogelijk is en blijft.

Het gevolg van meerdere inlogmethodes

Het Logius normenkader en de DigiD zijn voor veel organisaties op dit moment al reden om de toetsing en compliance als dienst af te nemen en externe security partijen in te schakelen. Bij meer keuzevrijheid zal de vlucht naar beheerde diensten alleen maar toenemen om security incidenten te voorkomen.

Voorkomen is beter dan genezen

Ik pleit er dan ook voor om een opeenstapeling aan identificatie- en authenticatiestelsels te voorkomen. Zelfs wanneer deze gefaciliteerd worden via een secure broker-laag. Een systeem als DigiD heeft grote voordelen:

  • Gemak voor de gebruiker: iedere burger is bekend met DigiD
  • Minder effort nodig: Logius controleert continu de betrouwbaarheid van DigiD
  • Kostenefficiënt: het is een bekend en beproefd systeem en dus eenvoudiger te implementeren

Eenvoud is doorgaans nog steeds de beste methode om ongewenste beheerlast te voorkomen en security beheersbaar te maken. Met DigiD is deze methode er al.

Kortom, soms is keuzevrijheid niet nodig om een goede keuze te maken.

Adrian Ariese, Salesmanager Healthcare bij ON2IT

Komt een man bij de dokter

Stel, er staat een man voor uw balie met een bijzonder verzoek: hij wil zijn dossier laten wissen. Kan dat?

Als we strikt naar de regels kijken kan dat inderdaad. In de Global Data Protection Regulation (GDPR) is namelijk ‘het recht om vergeten te worden’ opgenomen. Klinkt misschien romantisch, maar of het verstandig is daar kun je vraagtekens bij zetten. Voordat u enthousiast gaat wissen, kunt u beter eerst onderzoeken of zo’n verzoek in het belang van de patiënt is. Met andere woorden, is het verzoek proportioneel. Is het antwoord daarop nee? Vraagt u zich dan serieus af of u aan dat verzoek wilt voldoen.

Iemand kan namelijk verschillende redenen hebben om zo’n verzoek te doen. Stel dat je medisch verleden je belemmert in je carrière. Dan heb je een legitieme reden om je van je medische historie te ontdoen. Kampt een patiënt met ernstige psychische problemen en kan hij de gevolgen van zijn verzoek niet overzien, dan is het een ander verhaal. Op deze ethische kwestie gaan we hier niet verder in, dat is tenslotte niet onze business. Voor hier gaan we er even vanuit dat de patiënt in kwestie er goed over nagedacht heeft en de gevolgen van zijn verzoek overziet.

Maar hoe nu verder?

Op het eerste gezicht klinkt het als een eenvoudig verzoek. Je zoekt het dossier op en je vernietigt het. Maar dat blijkt in de praktijk makkelijker gezegd dan gedaan. Om het dossier volledig te kunnen wissen, heb je nogal wat inzicht nodig:

Welke gegevens hebben we?

We zijn vaak geneigd om zoveel mogelijk gegevens te verzamelen en te bewaren. Zeker in de gezondheidszorg kan tenslotte elk klein detail van belang zijn. Maar gegevens over gezondheid zijn ‘speciale data’ en daar gelden volgens de Autoriteit Persoonsgegevens (AP) de strengste regels voor. Al voordat je deze gegevens bewaart, moet je jezelf de vraag stellen: hebben we deze gegevens wel nodig en hoe gaan we ze beschermen?

Waar staan de gegevens?

Deze vraag is misschien nog wel lastiger te beantwoorden dan de eerste. Want waar begin je? Veel dossiers zijn ooit begonnen op papier. Worden die centraal bewaard of ligt er ergens in een bureaulade misschien ook nog wat? En dan de digitalisering. In een ideale situatie is er één elektronisch patiëntendossier. Maar hoe zit het met gegevens die in een e-mail hebben gestaan? Of die via een Dropbox of OneDrive zijn gedeeld? Daarnaast worden steeds meer dossier gedeeld met andere zorginstellingen. Het RIAGG deelt gegevens met een praktijk voor psychologie, het ene ziekenhuis deelt een dossier met het andere voor een second opinion. Heeft u er nog zicht op waar uw dossiers zich bevinden?

Wie zien de gegevens in?

De laatste vraag sluit aan bij de tweede vraag. Zolang je niet weet waar de gegevens staan, is het onmogelijk om te bepalen wie er inzage in hebben.

Wilt u in staat zijn om een dossier volledig te wissen, dan moet u antwoord kunnen geven op de eerste twee vragen: welke gegevens heeft u en waar staan ze. En die antwoorden krijgt u alleen als u continu en consequent vastlegt waar welke gegevens staan. Onbegonnen werk? Wat ons betreft niet. Data-overzicht is namelijk niet alleen nodig bij het verwijderen van dossiers. Het is volgens ons de basis om data goed te beschermen.

Efficiënt inzicht creëren

Om op een slimme manier inzicht te creëren en te behouden hebben wij het ON2IT Security Framework (ONSF) ontwikkeld. Dit framework laat zien dat data loggen geen onbegonnen werk is. Het geeft u inzicht, zodat u weet welke data u heeft en waar ze zich bevinden. Het ONSF is een overzichtelijk vier-stappenplan om van beleid tot operationeel niveau te komen.

De vier onderdelen van het ON2IT Security Framework:

1. Programma

In de eerste fase stellen we het beleid vast op strategisch niveau. We beginnen met een nulmeting en bepalen onder andere het maturity-niveau van uw organisatie. We inventariseren de risico’s waarbij dataclassificatie een belangrijke rol speelt. Welke data gaan er in de organisatie om? Hoe belangrijk zijn ze? Welke risico’s loopt u?

2. Bestuur

Tijdens de tweede fase stellen we het tactisch beleid vast en vertalen dat naar standaarden, richtlijnen en procedures. Met andere woorden: we bepalen de principles en policies van uw organisatie en het bijbehorende auditproces. 

3. Architectuur

In de architectuurfase ontwerpen we de beveiligingsarchitectuur en beleidsmatige beveiligingsprocedures. We maken de koppeling tussen het vastgestelde beleid en de technische uitvoering ervan. Een specifieke procedure in deze case is bijvoorbeeld het terugzetten van back-ups. Als (een deel van) uw systeem vannacht crasht, wordt er morgen een back-up geplaatst. En daar staan wellicht persoonsgegevens in die in de tussentijd gewist waren. Een procedure voor zo’n geval is dus essentieel.

4. Operatie

In de laatste stap voeren we de vastgestelde beveiligingsprocessen in. Dit doen we in het Security Orchestration & Automation Platform in. Hiermee heeft u één centraal punt voor monitoring, detectie, response en rapportage. De basis van uw IT-securitybeleid.

Patiëntendossiers volledig wissen? Dan is weten waar de betreffende data staan de eerste stap. Of de gegevens ook daadwerkelijk gewist kunnen worden, blijft de vraag.

WannaCry Ransomware: een slimme organisatie is voorbereid

Er is sinds vrijdag veel media-aandacht voor cybersecurity. En niet voor niets: een autofabriek die noodgedwongen de productie stillegt, een telecom multinational die zijn medewerkers oproept alle computerapparatuur uit te zetten en voorlopig niet meer te gebruiken, parkeergarages die niet meer functioneren. En misschien wel het ergst van allemaal: een ziekenhuis waar zich levensbedreigende situaties voordoen, omdat cruciale computersystemen platliggen. Bij het grote publiek rijzen terecht vragen: hoe kan het zijn dat we anno 2017 zo kwetsbaar zijn? Wiens schuld is dit? Krijgt cybersecurity wel voldoende aandacht en financiële middelen [1]? Of is het tijd voor een Cyber Security Delta Plan?

Wat is er gebeurd?

In maart dit jaar wordt bekend dat alle computerapparatuur die op het Windows operating system draait een kritisch lek [2] bevat: de zogenaamde Eternal Blue-kwetsbaarheid [3]. Dit lek is door Microsoft naar buiten gebracht en “opgelost” door het uitbrengen van een patch [4]. Men vond dit lek dermate ernstig dat zelfs voor Windows XP een patch is uitgebracht. Het was voor het eerst sinds 2015 dat dit stokoude, uitgefaseerde operating system aandacht kreeg.

Vervolgens zijn de details publiek gemaakt door The Shadow Brokers. Een hackersgroep waarvan algemeen wordt aangenomen dat ze putten uit de kennis die de NSA heeft ontwikkeld. Kortom: een kwetsbaarheid die het leger van de USA gebruikt om haar digitale leger in positie te brengen (Cyber Warfare). Cybercriminelen gaan aan de slag. Nu het moeilijke werk door de NSA is gedaan, proberen ze voordat die patch overal geïnstalleerd is een virus te schrijven en te verspreiden.

Op 12 mei hebben cybercriminelen inderdaad de malware WannaCry (ook WanaCryptOr genoemd) ontwikkeld en verspreid, die gebruik maakt van dit lek: gijzelsoftware, oftewel ransomware, die binnenkomt via email. Het openen van een PDF-bijlage activeert de malware. Deze versleutelt documenten, op praktisch onkraakbare wijze, zodat ze alleen nog met een wachtwoord te openen zijn. Een slachtoffer kan dat wachtwoord kopen van de cybercrimineel. Het bedrag is relatief schappelijk: meestal tussen de 300 en 600 dollar. Ook cybercriminelen snappen prijselasticiteit en maximaliseren zo hun winst.

Is zo’n aanval eenvoudig uit te voeren?

Ja, helaas wel. Op kleine schaal is het uitbuiten van een dergelijke kwetsbaarheid gemakkelijk te leren voor een gemiddeld opgeleide IT-techneut. Bij ON2IT organiseren we regelmatig workshops waarin een IT-er in één middag bewust wordt van de eenvoud van een hack. Het op grote schaal toepassen van deze technieken is wel ingewikkelder, maar voor cybercriminelen kinderspel: die hebben de taken goed verdeeld. Er is een weelderige ondergrondse handel in stukjes van techniek die nodig zijn om succesvol aan te vallen.

Had dit voorkomen kunnen worden?

Ja. Met name de schaal waarop organisaties nu last hebben van deze aanval is onnodig. Het is bekend waar de kwetsbaarheden zitten in onze systemen. Zo is Windows (SMB/RPC) regelmatig kwetsbaar. Preventieve maatregelen tegen dit soort aanvallen zijn beschikbaar. In het geval van WannaCry zijn maatregelen als een juist gepositioneerde en geconfigureerde firewall met IPS, een mailfiltersysteem dat zero-days tegenhoudt en een moderne anti-malware oplossing op windows werkstations en -servers afdoende om deze aanval te weerstaan.

Zelfs voordat Microsoft het lek bekend maakte, was deze bescherming al aanwezig. Dit verklaart ook waarom ons SOC het afgelopen weekend weliswaar extra controles heeft uitgevoerd, maar verder eigenlijk geen ander werk heeft verricht dan normaal. Aanvallen als deze zijn aan de orde van de dag. Het verschil is dat dit een uiterst breed opgezette aanval is en daardoor de pers haalt. Bij organisaties waar de beveiliging op orde is, is geen reden tot paniek, wel tot waakzaamheid.

Vaak wordt gezegd dat een degelijk patchmanagementproces dit probleem moet oplossen: installeer updates van software doorlopend zo snel mogelijk. Als cybersecurity industrie hebben we deze strategie van het oplossen van lekken min of meer opgegeven, het is niet haalbaar. Je loopt altijd achter de feiten aan. Frequent updates installeren brengt veel werk en beschikbaarheidsvraagstukken met zich mee. En soms kun je een patch eenvoudigweg niet installeren zonder andere zaken defect te maken. Wat is bijvoorbeeld het gevolg van het patchen van een MRI-scanner? Verder weten we dat lang niet alle ontdekte lekken gedicht worden. Maar nog veel belangrijker: lekken zijn pas te dichten als het lek ontdekt is. Veel succesvolle aanvallen gebruiken zogenaamde Zero Day lekken: lekken die pas ontdekt worden op het moment dat er een succesvolle aanval plaatsvindt.

Dat wil niet zeggen dat patchen geen zin heeft. Maar in de praktijk blijkt dit slechts een deel van de oplossing. Lekken kun je ook oplossen door een andere maatregel te nemen die ervoor zorgt dat het lek geen kwaad kan.

Neem de juiste maatregelen op basis van Zero Trust

De juiste cybersecurity-maatregelen treffen is geen sinecure. Maar wat zijn die maatregelen dan? Om hier een antwoord op te geven gebruiken we een security framework [5]: een structurele manier om eisen en toepasselijke wetgeving, in de specifieke omstandigheden van een organisatie, om te zetten naar beleid. Vervolgens vertalen we beleid naar architectuur, architectuur naar maatregelen en maatregelen naar compliance. Belangrijk fundament hieronder is de Zero Trust-strategie. Deze is bij Forrester Research ontwikkeld door John Kindervag. De redenering bij Zero Trust is altijd dat je in beginsel niets of niemand vertrouwt en iemand alleen toegang verschaft wanneer dat nodig is. Default deny. Twee systemen die nooit hoeven te communiceren, kunnen ook niet communiceren. Verder kiezen we ervoor dat we zo veel mogelijk controleren wat er gebeurt. Bijvoorbeeld dat het opslaan van een bestand (wat toegestaan is) ook daadwerkelijk het opslaan van een bestand betreft, en niet het verspreiden van malware. Dat een email ook echt een email is en niet een exploit. Het is daarbij niet een gebrek aan vertrouwen in medewerkers of klanten, maar wel gebrek aan vertrouwen in de apparaten die ze op het bedrijfsnetwerk brengen, de websites die ze bezoeken, de email die ze openen, enzovoort.

Volgens dit principe krijgen gebruikers dus alleen toegang tot gegevens die ze voor hun dagelijkse werk nodig hebben. Door rechten in te stellen binnen applicaties, door services in systemen uit te zetten die niet nodig zijn (hardening) en vooral door al op infra-niveau te zorgen dat toegang alleen mogelijk is indien nodig: het opdelen van het netwerk in segmenten met een firewall ertussen. Als zich dan toch een infectie voordoet, is de impact ervan beperkt tot één zo’n segment. En uiteraard blokkeren en rapporteren we alles waarvan we weten dat het niet in orde is: virussen, netwerkaanvallen, verdacht gedrag, etc.

In dit filmpje wordt Zero Trust verder uitgelegd. [6]

Need-to-know

  • Geen open verbinding tussen verschillende systemen

    In de praktijk komen wij te vaak een open verbinding tegen tussen verschillende systemen. Een succesvolle inbraak op een relatief onbelangrijk systeem heeft daardoor direct enorme gevolgen. Denk maar aan een intern helpdesksysteem wat in hetzelfde netwerk is geïnstalleerd als een systeem met patiëntgegevens of financiële data. En dat zonder firewall die alle communicatie tussen deze systemen simpelweg verbiedt, of op zijn minst controleert. Het bekendste voorbeeld hiervan is de hack bij Target in de VS, al in 2013 [6]. Hier stond een beheerserver voor een koelsysteem in hetzelfde datacenter als de creditcardgegevens, zonder firewall ertussen. Geen segmentatie. Een inbraak op het koelsysteem via een externe beheerpartij, zorgde voor een enorme schade doordat cybercriminelen zich eenvoudig in het datacentrum konden verplaatsen. Dit resulteerde in enorme verliezen. En voor de eerste keer in de geschiedenis is een CEO ontslagen vanwege een datalek.

  • Beperk onnodige gebruikerstoegang

    Regelmatig zien we dat historische gegevens op fileservers toch voor veel personen beschikbaar zijn. Zoals oude projectdata waar de meeste mensen voor hun dagelijkse werk niet (meer) bij hoeven te kunnen. Of gegevens van één afdeling die door meerdere afdelingen geopend kunnen worden. Ook dit vergroot de impact wanneer een enkel systeem onder controle van cybercriminelen is. Maar ook voor hele applicaties komen we dit tegen. Bijvoorbeeld een financieel systeem dat alle gebruikers van een organisatie kunnen openen, terwijl alleen de financiële afdeling daar iets te zoeken heeft. Ook als daadwerkelijk inloggen alleen is voorbehouden aan een kleine groep gebruikers, krijgen gewone gebruikers vaak toch het inlogscherm te zien, waardoor ze kunnen proberen in te loggen. Een cybercrimineel die zichzelf toegang heeft verschaft tot een systeem van een willekeurig iemand, kan dus ook proberen in te loggen. En het omzeilen van het inlogscherm is vaak eenvoudiger dan je zou verwachten.

In het geval van WannaCry is dit allemaal van toepassing: bijna nergens in een datacenter is het nodig dat toegang tot SMB/RPC naar Windows servers openstaat. En al helemaal niet zonder inspectie van dat verkeer. Wanneer een goede segmentatie is doorgevoerd, kan dit virus hooguit op een aantal systemen problemen veroorzaken. Maar niet het hele bedrijf platleggen.

Blijf innoveren

Naast een strategie en een architectuur die tot een robuustere IT-omgeving leiden, zijn er ook veel technologieën die infectie kunnen voorkomen. De eerder benoemde wedloop tussen de cybercriminelen en de cybersecurity industrie zorgt ervoor dat er steeds nieuwe, innoverende technieken ontwikkeld worden. En daarin dient continu geïnvesteerd te worden om de vruchten hiervan te plukken. Maar onbekend maakt onbemind, zeker bij techneuten die eerder voor een andere strategie of oplossing kozen. Zo stuit netwerksegmentatie vaak op bezwaren, bijvoorbeeld vanwege vermeende performance impact of beheersbaarheid. Bij de juiste aanpak zijn dat in de praktijk juist nooit problemen, maar we zien wel dat dit vermoeden de weerbaarheid van organisaties soms in de weg staat.

Daarnaast is de verleiding om cybersecurityprojecten uit te stellen groot. De drukke IT-agenda en beschikbare resources maken dat cybersecurity te vaak een sluitpost is, omdat ze niet direct aanwijsbaar functionaliteit opleveren.

Het is dus van belang een open blik te hebben, goed geïnformeerd te zijn over nieuwe technologieën en deze goed in de praktijk te testen en door te voeren.

Investeer in preventie

Preventie heeft de voorkeur. Altijd. Wanneer we een infectie kunnen stoppen zullen we dat doen. Twee voorbeelden van recente innovaties zijn in het geval van WannaCry van belang:

  1. Moderne endpoint protection

Kort gezegd: de opvolger van antivirus op werkstations en servers is beschikbaar. En deze is wél effectief gebleken tegen elke vorm van ransomware in de afgelopen maanden. Deze innovaties komen, anders dan je wellicht zou verwachten, niet van traditionele antivirusmakers.

We zien gelukkig een grote verschuiving van budgetten voor antivirussoftware naar dit soort oplossingen. [8]

  1. Security Orchestration and Automation

Aanvallers hebben hun wapens geautomatiseerd. Onze verdediging moet ook automatisch zijn. En dat bereiken we met Security Orchestration and Automation. We noemen dit “Rules of Engagement”, naar analogie van wat in militaire kringen gebruikelijk is. Wanneer we ergens een indicator zien van verkeerde zaken, grijpen we geautomatiseerd in. Een voorbeeld: zien we een apparaat op het netwerk dat zich gedraagt als een geïnfecteerd systeem? Dan blokkeren we dat apparaat zodat het niet verder kan communiceren en blokkeren we de accounts van gebruikers die op dat systeem ingelogd zijn. En daarna bellen we u om het probleem definitief op te lossen.

Kortom, neem de juiste maatregelen en wees voorbereid op de toekomst.

[1] https://tweakers.net/nieuws/124659/nederland-heeft-geld-en-coordinatie-nodig-voor-verbeteren-digitale-beveiliging.html
[2] https://www.ncsc.nl/actueel/nieuwsberichten/actief-misbruik-van-shadowbrokers-exploits.html
[3] https://www.theregister.co.uk/2017/05/12/spain_ransomware_outbreak/
[4] https://technet.microsoft.com/en-us/library/security/ms17-010.aspx
[5] https://on2it.net/richt-uw-it-security-beter-in-met-behulp-van-het-on2it-security-framework/
[6] https://youtu.be/D7dlxg0F4F8?t=159
[7] http://www.computerworld.com/article/2487425/cybercrime-hacking/target-breach-happened-because-of-a-basic-network-segmentation-error.html
[8] https://www.Traps.nu

Secure cloud met Zero Trust – deel 1

We bewegen met z’n allen richting de cloud. Dat veel organisaties hier bedenkingen bij hebben qua veiligheid is begrijpelijk. De cloud roept namelijk ook vragen op: waar staan mijn data, wie kunnen erbij, zijn wij nog wel in staat om onze data te beschermen? Dat je data op basis van Zero Trust kunt beschermen ongeacht waar ze zich bevinden gaan we u de komende maanden laten zien.

In dit eerste deel bespreken we de beveiliging van de private cloud oftewel het virtuele netwerk. In de volgende delen komt ook de public cloud in de vorm van IaaS, PaaS en SaaS aan bod.

Was vroeger alles beter?

Nee, maar wel overzichtelijker. Je had een intern netwerk en je had internet. Dreigingen kwamen van buitenaf en tot op zekere hoogte kon een firewall je daartegen beschermen. Dat men van binnenuit net zoveel te vrezen heeft, is de laatste jaren steeds duidelijker geworden. Berichten over datalekken halen bijna dagelijks het nieuws. Het antwoord hierop is Zero Trust.

De Zero Trust aanpak heeft een aantal uitgangspunten, maar de belangrijkste leidraad is volgens ons:

‘Er mag vooraf geen enkele aanname worden gedaan over de mate waarin je een netwerk of een deel daarvan kunt vertrouwen.’

Dat klinkt mooi in theorie, maar hoe vertaal je dit naar de praktijk? Laten we het netwerk vergelijken met Nederland en de dreiging van water. Nederland ligt laag en we hebben daarom altijd oplossingen moeten zoeken om onze voeten droog te houden. De makkelijkste oplossing is een dijk rond het hele land. Maar wat gebeurt er als er een breuk ontstaat in die dijk? Het water stroomt van het ene naar het andere gebied en in no-time heeft het hele land wateroverlast.

De betere oplossing is segmenteren op basis van assets. In het geval van Nederland kijk je naar belangrijke plaatsen. Rondom elke belangrijke plaats (asset) bepaal je een segment en daar bouw je een dijk omheen. Ontstaat er ergens wateroverlast, dan blijft de schade beperkt tot dat ene segment. Op deze manier creëer je controle en overzicht. En het mooie is: deze methode werkt overal, dus ook bij de beveiliging van een virtueel netwerk.

Virtueel netwerk beschermen? Verdeel en heers

Je begint dus met het bepalen van segmenten. Zo’n segment kan bijvoorbeeld persoonsgegevens bevatten of alle e-mailverkeer. Vervolgens bepaal je de BIV-rating van elk segment (beschikbaarheid, integriteit en vertrouwelijkheid). Op basis van die BIV-rating kun je voor elk segment de juiste securitypolicies bepalen en een passende security-oplossing.

Maar ben je dan safe? Tot op zekere hoogte wel, want je hebt je security afgestemd op het type data. Binnen een segment is nog steeds vrij dataverkeer mogelijk. In sommige gevallen kan het daarom verstandig zijn om nog een stap verder te gaan. Bijvoorbeeld als het gaat om high-risk data of als data verspreid is over verschillende locaties of diensten. Denk aan persoonsgegevens van burgers binnen een gemeente. Die staan vaak niet alleen on premise, maar ook in een SaaS-applicatie. De volgende stap in zo’n geval is microsegmentatie. Elk segment deel je op in kleinere segmenten. Je voegt als het ware controlepunten toe aan je segmenten en zo creëer je overzicht en controle over het totale dataverkeer.

  1. Segmenteer op basis van assets
  2. Bepaal de BIV-rating voor elk segment
  3. Verdeel elk segment in kleinere segmenten

De oplossing ligt dus bij microsegmentatie, maar dat vraagt wel een enorme capaciteit van de interne firewalls. Daarnaast is microsegmentatie vaak zeer lastig te implementeren in bestaande omgevingen. Om het verkeer bij de interne firewalls te krijgen moet er namelijk IP-omnummering plaatsvinden. En dan hebben we het nog niet eens over het beheren van alle policies.

En toen was er VMware NSX

Microsegmentatie is volgens ons de optimale uitvoering van de Zero Trust principes binnen een virtueel netwerk. Maar zonder vergaande automatisering is het een zeer kostbare oplossing. Niet alleen qua investering in hardware, maar ook in kennis. Met VMware NSX kun je microsegmentatie invoeren zonder die hoge investering.

Hoe werkt dat? In een virtueel netwerk bevindt zich tussen de VM en de hardware een laag (kernel). In deze laag zet VMware NSX een virtuele firewall in. Zo kun je het verkeer tussen de VM’s controleren voordat het op het fysieke netwerk of bij andere VM’s terecht komt. Dit levert een enorme snelheidswinst op.

  • Minder investering nodig
  • Soepele integratie met bestaande omgevingen (geen IP-omnummering nodig)
  • Snellere detectie van dreigingen

Zijn mijn data veilig nu elke VM een eigen firewall heeft? In ieder geval een stuk veiliger dan voor de toepassing van microsegmentatie. Maar het is niet genoeg. De firewall van VMware NSX is naar onze maatstaven een zeer beperkte firewall. VMware NSX detecteert alleen van welke VM een datapakket afkomstig is en waar het naartoe gaat. Het belangrijkste deel – wat zit er in het datapakket – wordt niet gecontroleerd.

Extra veiligheidslaag van Palo Alto Networks

Om ook die laatste securityslag van volledige contentinspectie te maken is er de Palo Alto Networks VM-series voor NSX. Deze virtuele firewall integreert met VMware NSX en controleert de content van het dataverkeer. Contentinspectie is niet eenvoudig, maar het is een expertise die Palo Alto Networks als beste beheerst.

De belangrijkste voordelen van microsegmentatie met VMware NSX en PAN VM-series voor NSX:

  • Zero Trust is geïntegreerd in uw netwerk
  • Securitypolicies zijn gekoppeld aan uw VM’s
  • Securitypolicies verhuizen mee met de VM
  • Geavanceerde contentinspectie (App-ID, threat detectie en preventie)
  • One single pane of glass (centraal dashboard met alle policies, logging en rapportage)

Vertrouw op Zero Trust

Als je de Zero Trust principes consequent naleeft en controleert of iedereen dat doet, kun je je data overal beschermen. Bij de beveiliging van een virtueel netwerk is microsegmentatie de sleutel.

De Zero Trust principes zijn in 2011 door John Kindervag ontwikkeld. IT-security pioniers als we zijn bij ON2IT hebben we Zero Trust destijds direct omarmd. Als eerste in Nederland pasten we IT-securityoplossingen toe op basis van deze principes. Inmiddels bouwen we complete netwerk- en IT-infrastructuren op basis van Zero Trust.

Kijk mee met een hacker

Nieuwsgierig hoe een cyberaanval eruitziet? Kijk dan mee over de schouder van een ‘hacker’. Tijdens een demo endpoint beveiliging maakt u (op een veilige manier) kennis met de wereld van hackers en laten we zien hoe u zich hiertegen kunt beschermen. En heeft u al op de pijnlijke manier kennis gemaakt met een hacker of ransomware? Kom dan zeker kijken hoe u dit in de toekomst voorkomt.

Kijk mee met een ‘hacker’

Aan de hand van een live-hack ‘die iedereen die zich er een paar uurtjes in verdiept zelf kan doen’ ziet u wat de gevolgen van een cyberaanval kunnen zijn. Van het vrij onschuldige overnemen van een webcam tot het achterhalen van alle wachtwoorden op een endpoint. Het gaat zelfs zover dat de ‘hacker’ zichzelf meer rechten toekent dan een system administrator heeft. Met andere woorden: als gebruiker word je compleet buitenspel gezet.

Bezoekers van onze demo’s geven regelmatig aan dat ze te maken hebben gehad met ransomware. De ene keer vrij onschuldig, de andere keer met serieuze gevolgen. De problemen ontstaan meestal op de endpoints:

  • Een gebruiker klikt een geïnfecteerde mail aan of bezoekt een besmette website.
  • Iemand gebruikt een kwetsbare applicatie (bijv. Adobe, Flashplayer).
  • Een medewerker heeft privé een verdachte mail ontvangen en besluit die even ‘op het werk’ te proberen, omdat gedacht wordt dat de beveiliging daar beter is dan thuis.

Antivirus vs. TRAPS

Maar wat kun je daartegen doen? Met antivirussoftware houd je slechts 40% van alle exploits en malware tegen. Onbekende aanvallen komen ongemerkt binnen. In de demo laten we dit zien door een aanval van een cyptolocker te simuleren. We doet dit zowel in een situatie waarbij antivirussoftware aanstaat als in een situatie met endpoint solution TRAPS. Hierbij wordt duidelijk dat de gebruiker ondanks antivirus ransomware binnenhaalt. Bij de simulatie met TRAPS krijgt de gebruiker bij de eerste poging direct een melding en wordt de aanval geblokkeerd. 

Voor veel bezoekers is de demo een eye-opener: traditionele antivirus biedt onvoldoende bescherming tegen exploits en malware. TRAPS is de oplossing voor een optimale beveiliging van endpoints.

Ook zien hoe een hacker werkt en TRAPS beschermt? Meld u aan voor een van onze demo’s.

Meer grip op SaaS

De toepassing van SaaS-applicaties in het bedrijfsleven neemt in razend tempo toe. Dat is niet zo vreemd, want ze maken het je makkelijker. Documenten delen met collega’s via Dropbox, werken in de trein of thuis met OneDrive. Maar hoe houd je de controle over die applicaties?

Aan de kant van de gebruiker zorgen SaaS-applicaties voor meer efficiency en meer productiviteit. Maar aan de kant van security blijken ze vaak ongrijpbaar en leveren ze vooral vragen op. Waar bevinden onze data zich? Wie heeft toegang tot onze gegevens? Voldoen we nog aan privacywetgeving?

Inzicht in SaaS-applicaties

Het gebruik van SaaS-applicaties brengt een aantal serieuze risico’s met zich mee: malware, onopzettelijk blootstellen van data aan onbekenden en vijandige data-exfiltratie. Hoe zorg je er dus voor dat je (gevoelige) data ook in de cloud veilig zijn. Breng daarvoor eerst een aantal zaken in kaart:

  • Welke SaaS-applicaties staan wij toe?
  • Wie maken er gebruik van?
  • Welke data gaan er naartoe?

Houd grip op je data

Het beveiligen van SaaS-applicaties gebeurt in principe door de firewall. Deze controleert echter alleen het verkeer tussen de gebruiker en de cloud. Niet wat er met de data gebeurt als ze eenmaal in de cloud staan. En het probleem met apps is dat het ze de gebruiker erg gemakkelijk maken om gegevens te delen. Als dat eenmaal is gebeurd, raak je als organisatie de grip op data kwijt.

Palo Alto Networks Aperture is een tool die de SaaS-applicatie controleert. Het is een extra securitylaag bovenop de firewall en werkt op basis van dataclassificatie. De tool geeft inzicht in users, folders én files.

Een voorbeeld: documenten met de classificatie ‘legal’ mogen niet gedeeld worden via OneDrive. Zodra een medewerker toch probeert om een ‘legal’ document op zijn privé laptop te openen via OneDrive, wordt dit geblokkeerd door Aperture. Het classificeren van documenten kon tot voor kort alleen met Engelstalige documenten, inmiddels is dit ook mogelijk voor Duitstalige documenten.

Door Aperture ondersteunde SaaS-applicaties:

BoxSalesforce
DropboxSecure Data Space (SDS)
GitHubServiceNow
Google DriveSlack for Enterprise
JiveYammer
Microsoft Office 365

Met Aperture krijgt u meer controle over SaaS-applicaties. U krijgt inzicht in wie ze gebruiken en waar uw data zich bevinden. Meer inzicht, meer veiligheid.

  • Dataclassificatie in Engels en Duits.
  • Inzicht in waar uw data zich bevinden.
  • Inzicht in wie uw data gebruiken.

De eerste stap naar safe SaaS

Wilt u ook inzicht in uw SaaS-applicaties? Begin dan met onze Security Traffic Scan. Deze scan geeft u inzicht in wat er echt gebeurt in uw netwerk, zoals:

  • Welke applicaties worden er gebruikt (inclusief schaduw-applicaties).
  • Wat zijn de high-risk applicaties en hoe vaak worden ze gebruikt.
  • Welke potentiële risico’s loopt u.

Naast inzicht in de risico’s geeft het rapport ook aanbevelingen om de geïdentificeerde risico’s te beperken. Met andere woorden, de Security Traffic Scan is de eerste stap naar een veilig gebruik van SaaS-applicaties.

 

P.s. Goed nieuws voor Europa

Tot voor kort werkte Aperture alleen vanuit een datacenter in de VS. Voor Europese organisaties minder aantrekkelijk, omdat hun data naar een Amerikaanse cloud werden gestuurd. Met de komst van een nieuw Palo Alto Networks datacenter in Duitsland lost Palo Alto Networks dit punt op. De data van Europese gebruikers blijven in Europa. Dat maakt het eenvoudiger om te voldoen aan privacywetgeving zoals de Global Data Protection Regulation (GDPR).