Sophos - Een brug tussen endpoint- en netwerkbeveiliging

De gehele IT-security-industrie staat aan het begin van een revolutie

“De gehele IT-security-industrie staat aan het begin van een revolutie”, zo stelt Pieter Lacroix, Managing Director bij Sophos Nederland. Aanstichter van de revolutie is Sophos dat met ‘Synchronized Security’ belooft netwerk- en endpointbeveiliging samen te brengen. Een eerste stap daarin is Security Heartbeat dat zorgt voor de communicatie tussen de beveiligingscomponenten.

Sophos – Een brug tussen endpoint- en netwerkbeveiliging

Lacroix illustreert de noodzaak van een hechte integratie van endpointsecurity met de netwerkbeveiliging aan de hand van een voorbeeld uit de wereld van de fysieke beveiliging. Want stel je eens voor dat een bewaker buiten je organisatie een verdacht persoon over het parkeerterrein naar de deur ziet rennen, en deze waarneming niet doorgeeft aan de bewaker die binnen naar de camerabeelden zit te kijken. Dat zou onaanvaardbaar zijn. Toch is dit volgens Lacroix precies wat er momenteel op het gebied van IT-security gebeurt, en met verstrekkende gevolgen.

“Als je puur vanuit de antivirus of puur vanuit de firewall denkt, dan glipt bepaalde malware door de beveiliging heen”, zo waarschuwt Lacroix. Als voorbeeld geeft de Managing Director een e-mailbericht met een link naar een kwaadaardige website die door de beveiligingsgateway nog niet als kwaadaardig wordt herkend.

“Na het klikken op de link zou een volgende stap kunnen zijn dat de endpoint wordt besmet met ransomware die de antivirussoftware uitschakelt.”

“Het uitschakelen van de antivirus is met een geïntegreerde beveiligingsaanpak, en een communicerende endpoint en firewall, echter heel eenvoudig op te merken”, stelt Lacroix. “Hierdoor kan de firewall proactief en automatisch ingrijpen en bijvoorbeeld de endpoint in quarantaine plaatsen zodat de ransomware gestopt kan worden voordat deze schade kan aanrichten. Bovendien kan de firewall hierdoor leren welke gebruiker, werkplek en proces dit probleem hebben veroorzaakt en actief ingrijpen zodat andere werkplekken hiertegen worden beschermd. Dit alles gebeurt automatisch en in realtime terwijl de securitybeheerder nog slaapt.”

Walkietalkies

“Binnen de security-industrie zijn we heel druk in de weer om de beveiliging binnen de silo’s steeds verder te verbeteren en helemaal state-of-the-art te maken”, vervolgt Lacroix. “Maar we moeten niet investeren in nog betere camerasystemen en nog betere slagbomen, maar in de communicatie tussen de silo’s zodat er een waarschuwingssignaal van buiten naar binnen en van binnen naar buiten kan gaan. We moeten de IT-bewakers walkietalkies geven.”

Sophos hamert al geruime tijd op een betere communicatie tussen de silo’s voor netwerkbeveiliging en de silo’s voor endpointsecurity. “Als ik daarover vertel, dan is toch vaak de reactie: ‘Is dat nou vernieuwend?”, zo is de ervaring van Lacroix. “Men verwacht eigenlijk dat er al sprake is van communicatie tussen de silo’s, maar dat is niet zo. Endpoint- en netwerkbeveiliging zijn gescheiden werelden en zijn dat altijd al geweest.” Volgens Lacroix zit deze scheiding zelfs ‘ingebakken’ in de security-industrie. Zo zijn er leveranciers die traditioneel netwerkbeveiligingsproducten verkopen, en leveranciers die zijn gespecialiseerd in endpointsecurity. “Naast Sophos is er geen enkele andere leverancier die op zowel firewall vlak als endpoint vlak Gartnerleader oplossingen biedt en met elkaar laat communiceren”, merkt Lacroix op. Ook de partners zijn vaak gericht op een van beide disciplines. De scheiding is vaak zelfs zichtbaar bij eindklanten, waar niet zelden een team verantwoordelijk is voor de netwerkbeveiliging en een apart team voor de endpointsecurity.

Heartbeat

Onder andere tijdens de druk bezochte Sophos Day deed Sophos uit de doeken hoe de beveiligingsspecialist een verdere integratie tussen de silo’s gaat bewerkstelligen. De ruim tweehonderd bezoekers kregen onder meer inzicht in hoe ‘Synchronized Security’ uiteindelijk moet zorgen voor zo’n zeventig tot tachtig ‘integratiefeatures’ die beschikbaar komen voor de klanten van Sophos. Een concreet voorbeeld van zo’n feature is Security Heartbeat die zorgt voor de communicatie tussen de firewall en de endpoint ‘die elkaar actief opzoeken’, vergelijkbaar met de bewaker buiten die via de portofoon contact opneemt met zijn collega binnen. “Security Heartbeat vraagt continu aan de endpoint: ‘ben je er nog?’”, zo schetst Lacroix. “Maar Heartbeat zorgt voor nog veel meer dan alleen een teken van leven; de functie biedt bijvoorbeeld ook informatie over wat er misgaat op de endpoint en op de securitygateway.” Als er bijvoorbeeld verdachte activiteiten op een endpoint worden gesignaleerd, dan kan de verdachte endpoint direct in quarantaine worden geplaatst om uit te zoeken wat voor de verdachte activiteiten heeft gezorgd. Die informatie kan vervolgens in realtime worden gecommuniceerd met de securitygateway en de andere endpoints. “Voor dit soort informatie ben je dus niet meer afhankelijk van een Security Incident and Event Management (SIEM)-systeem.”

Stroomversnelling

“De security-industrie staat aan het begin van een revolutie”, zo concludeert Lacroix. Volgens de Managing Director is Sophos er helemaal klaar voor om de brug te slaan tussen de silo’s voor endpoint- en netwerkbeveiliging, ‘en ook onze partners weten ervan’. “Al zijn we nooit helemaal klaar”, zegt Lacroix met een knipoog. “De ontwikkeling op het gebied van integratie maakt nu een stroomversnelling door, en iedereen zal in die ontwikkeling mee moeten gaan. Wie dat niet doet, mist de boot.”