Optimale security door integratie netwerk en endpoint

De voordelen van een geïntegreerde oplossing

Het feit dat endpoint- en netwerksecurity niet aan elkaar gekoppeld zijn, is voor veel organisaties een openbaring. Het klinkt zo logisch dat vrijwel iedereen er vanuit gaat dat deze koppeling gewoon bestaat. De realiteit is dat deze twee werelden zowel bij leveranciers als bij partners en klanten gescheiden zijn. Daardoor is optimale beveiliging nooit haalbaar. Het kostte een paar jaar, maar securityleverancier Sophos brengt beide werelden nu voor het eerst bij elkaar.

Vergelijk het met een bewaker die buiten de slagboom van de parkeerplaats bedient en een beveiliger die binnen in het pand zit om toegangspasjes uit te delen”, zegt managing director Pieter Lacroix. “Hoe makkelijk zou het zijn als de bewaker buiten de beveiliger binnen een seintje kan geven als er iemand op het terrein komt waar hij geen goed gevoel bij heeft? Dan is de beveiliger in het pand direct een stuk alerter.” Het klinkt zo logisch en voor de hand liggend, maar in de praktijk van security is dit niet aan de orde. Vendoren richten zich ofwel op de beveiliging van de gateway met onder meer firewalls, ofwel op de beveiliging van endpoints met onder andere antivirussoftware. “Binnen die silo’s worden steeds nieuwe oplossingen en verbeteringen op de markt gebracht, maar er is geen enkele leverancier die de netwerkbeveiliging koppelt met de security van de werkplek.”

Security in de boardroom                                                 

In 2012 kocht Sophos het gateway securitybedrijf Astaro. De hele industrie, inclusief vooraanstaande marktonderzoekers, verklaarde het bedrijf voor gek. “Men zag de synergie tussen die twee organisaties niet.” Maar de huidige toenemende cyberdreigingen veranderen hoe bedrijven over security denken. Waar het voorheen vooral een IT-aangelegenheid was, is security in toenemende mate een onderwerp voor de boardroom. “We zien steeds meer dat security een discipline is die aan de CFO rapporteert. Het grote voordeel daarvan is dat een CFO budgetten kan reserveren en meer overkoepelende besluitvorming kan toepassen”, zegt Lacroix. Hij ziet dat CFO’s niet worden gehinderd door bestaande referentiekaders waar veel ICT-professionals vaak mee te maken hebben. “Dat bedoel ik niet negatief”, haast hij zich te zeggen. “Maar als je als IT’er al twintig jaar met security bezig bent, heb je een bepaald beeld van wat wel en niet kan. Iemand die niet uit de industrie komt, denkt vaak minder in beperkingen, maar kijkt naar hoe de ideale situatie eruit zou moeten zien. Of dat technologisch mogelijk is, is dan vaak een tweede.”

Relevante integratie

Het kostte Sophos ruim drie jaar om de twee afzonderlijke security-werelden op een relevante wijze bij elkaar te brengen. “Je kunt wel twee dingen aan elkaar plakken, maar daarmee verbeter je de security niet. We hebben echt gekeken naar hoe we het netwerk en de endpoints relevante informatie met bijbehorende context kunnen laten uitwisselen. Dat was een complex traject, maar we zijn erin geslaagd.” Dat betekent dat de security van organisaties kan worden geoptimaliseerd. De werelden zijn afzonderlijk van elkaar namelijk nooit zo veilig te maken als dat ze geïntegreerd zijn. Door werkplekken met het netwerk en vice versa te laten communiceren, is zelfs een actuele uitdaging zoals ransomware voor een belangrijk deel te detecteren en zelfs voor te zijn.

“Vendoren richten zich of op de beveiliging van de gateway of op de beveiliging van endpoints”

Geen kans voor ransomware

“Bij ransomware klikt een medewerker op een link in een mailtje, waarna er verbinding wordt gelegd met de servers van de criminelen en er encryptiesoftware wordt geïnstalleerd. Daarmee worden de bestanden op de werkplek of het netwerk gegijzeld”, legt Lacroix uit. “Bij een zero day threat herkent de gateway het ransommailtje niet, waardoor die gewoon bij de gebruiker wordt afgeleverd. Heel veel van dit soort ransomware zet eerst de endpointclient uit en gaat vervolgens aan de slag met het versleutelen van allerlei data. Dat uitzetten wordt vrijwel nooit opgemerkt, omdat er geen signaal van de endpoint wordt afgegeven, die staat immers uit. Als er communicatie plaatsvindt tussen de gateway en het endpoint, ziet de gateway direct dat er iets aan de hand is en kan vervolgens automatisch het endpoint isoleren van het netwerk. Daarmee voorkom je dat de ransomware schade kan aanrichten.” Dit klinkt simpel, maar het kan alleen worden bereikt als het netwerk en de werkplekken met elkaar communiceren. Ransomware is voor veel organisaties een punt van zorg, omdat het vrijwel niet te stoppen is. En als cybercriminelen eenmaal doorhebben dat dit daadwerkelijk het geval is, is het hek van de dam. “Hoewel de geïntegreerde security-oplossing het grootste deel van ransomware kan ondervangen, hebben we niet de illusie dat we het 100 procent kunnen voorkomen. Dat is gewoon onhaalbaar. Iedere leverancier die dat wel claimt, houdt zijn klanten voor de gek.”

Voordelen geïntegreerde oplossing

Het grotendeels kunnen voorkomen van ransomware is een groot voordeel van de koppeling tussen endpoint- en netwerksecurity. “De veiligheid van de systemen stijgt noemenswaardig. Je geeft als het ware de bewaker bij de slagboom en de beveiliger in het pand walkie-talkies om met elkaar te kunnen communiceren.” Een ander groot voordeel is de TCO van securityoplossingen. Het is vanuit kostenoverweging voordeliger om een hele securityoplossing bij een vendor aan te schaffen dan verschillende pakketten bij verschillende leveranciers. “Die dan vaak ook nog niet met elkaar kunnen communiceren en al helemaal geen relevante, context-bewuste informatie kunnen delen.” Maar het gaat verder dan alleen klantenvoordeel. Doordat met policymanagement het beheer kan worden geïntegreerd, kan worden bespaard, ook tijd. Die gewonnen tijd kan worden vertaald in minder mensen, maar ook meer tijd voor een IT-afdeling om zich te richten op andere zaken. “Bovendien zijn er bij een geïntegreerde oplossing betere reporting en compliance mogelijkheden”, stelt Lacroix. “Als een organisatie door middel van rapportages inzichtelijk kan maken dat het voldoet aan wet- en regelgeving, kunnen boetes worden voorkomen, wat weer bijdraagt aan een gunstiger TCO.”

Hele keten veilig

De geïntegreerde oplossing maakt communicatie mogelijk tussen het netwerk, de cloud en werkplekken. Waarbij de werkplekken alle mogelijke devices kunnen zijn die zich overal ter wereld kunnen bevinden. Zodra ze internetconnectie hebben en een verbinding kunnen opbouwen met de firewall van het bedrijf, is de hele keten veilig en kan actief worden ingegrepen door het systeem. Of de werkplek zich nou in het pand bevindt, bij iemand thuis of in een trein in China. “Dat ingrijpen gebeurt eveneens automatisch. Als de gateway verdacht verkeer detecteert, kan hij de werkplek automatisch in quarantaine plaatsen, zonder dat daar beheerders voor uit hun bed gebeld hoeven worden. Dat verhoogt de beveiliging van de IT-systemen van een organisatie enorm.”