‘Kennis van IT-dreiging raakt achterop’’
“Binnen organisaties is te weinig kennis van nieuwe digitale gevaren. Organisaties moeten kunnen vertrouwen op producten die het netwerk en alle apparaten geïntegreerd beveiligen, zelfs tegen nog onbekende dreigingen”, zeggen sales manager Florian Brouwers van IT security specialist GroupSecure en Harm van Koppen van Sophos.“
Netwerken, laptops, smartphones en domotica: tegenwoordig is alles vatbaar voor digitale aanvallen”, vertelt Brouwers. Zijn onderneming verzorgt de beveiliging van IT-systemen bij middelgrote en grote bedrijven, de zorg en overheidsinstellingen. Hij constateert dat IT-afdelingen zich vooral met algemene zaken bezighouden, terwijl de beveiliging van IT juist specialistische kennis vergt.
“Het is zorgwekkend dat de kennis van security achterop raakt, terwijl iedereen alerter dan ooit moet zijn. Met name zero-day malware komt steeds vaker voor. De code is lastig te herkennen, doordat hij uniek is op het moment hij uitkomt. Hierdoor vallen niet alleen individuen, maar ook vele bedrijven en instellingen ten prooi aan computervirussen en ransomware.” Malware komt vaak binnen via links in e-mails en bijlagen zoals zip-bestanden en pdf-documenten. Of bestanden die zich voordoen als deze typen bestanden, legt Brouwers uit.
Intercept
Harm van Koppen, distribution channel manager bij Sophos, vertelt dat het IT-securitybedrijf vanaf oktober een nieuw wapen inzet in de strijd tegen zero-days. “Vanaf dan verschijnt Sophos Intercept, de volgende stap in de beveiliging van endpoints. Daarbij kijken we niet zo zeer naar reeds bekende malware en gedragingen, maar vooral naar de processen die de kwaadaardige code in gang zet. Dit doen we onder meer door toevoeging van de technologie van SurfRight, het bedrijf achter Hitman Pro.” Sophos nam deze Nederlandse IT-beveiliger, eind 2015, over voor bijna 32 miljoen dollar.
Intercept is sneller en grondiger dan eerdere antivirusproducten, meent Van Koppen. De tool raadpleegt namelijk niet telkens een enorme database met miljoenen records, maar observeert verdachte processen erachter. “Er verschijnen jaarlijks zo’n anderhalf miljoen nieuwe malwarecodes die gezamenlijk ongeveer duizend verschillende vormen van exploits uitbuiten. Wanneer de malware weet binnen te dringen door middel van een exploit zijn er eigenlijk maar cumulatief 24 verschillende gedragingen die gestart worden. Met de techniek die SurfRight ontwikkeld heeft kunnen we deze 24 processen herkennen en direct stoppen. Op deze manier kunnen wij nieuwe malware onderscheppen en zorgen dat het niet wordt uitgevoerd. Ook herkennen wij ransomware die data razendsnel versleutelt. Wij kunnen dit direct stoppen en een real-time backup terugplaatsen. Dat is maar goed ook. Ransomware is één van de vervelendste en vasthoudendste infecties die nu plaatsvinden.”
Voor systeembeheerders biedt Intercept na elk incident een zogeheten ‘threat analysis’. Deze maakt onder meer grafisch inzichtelijk hoe de gedetecteerde malware het systeem binnenkwam en hoe hij zich kon verspreiden. Welke netwerkshares en welke bestandsmappen waren het doelwit? Maakte de code misbruik van te ruime toegangsrechten van gebruikers? “De organisatie kan er van leren en bepaalde maatregelen treffen om herhaling te voorkomen”, legt Van Koppen uit.
Brouwers, de sales manager van dienstverlener GroupSecure, heeft hoge verwachtingen van Sophos Intercept. “De nieuwe tool kijkt op een andere manier naar onbekende bestanden. Het biedt de mogelijkheid om zero-day malware het hoofd te bieden, snel te detecteren en op te ruimen. Het is niet het enige wat de acquisitie van SurfRight heeft opgeleverd. Het zorgde ook voor een enorme uitbreiding van de database van informatie over malware. Helaas heb je toch nooit een 100%-garantie tegen infectie.”
Organisaties kunnen wel een extra beveiligingslinie optrekken door Intercept te combineren met klassieke antivirusoplossingen, ongeacht of dit van Sophos is. “Daarnaast is er Sophos Sandstorm”, vervolgt Brouwers. “Deze clouddienst onderzoekt onbekende downloads op schadelijke code, voordat de firewall ze door laat.” Sandstorm is een nieuwe functionaliteit die betrekkelijk eenvoudig als uitbreiding beschikbaar is op Sophos UTM.
Sophos Central
Sophos speelt volgens Brouwers goed in op nieuwe trends in de wereld van IT-beveiliging. Dat blijkt niet alleen uit de slimme overname van SurfRight. “Ze hebben het ook goed aangepakt door het nieuwe XG Firewall platform te koppelen met de cloud.” XG Firewall, dat de netwerktoegang en de diverse endpoints met elkaar laat communiceren en zo onregelmatigheden snel blootlegt, kan vanaf binnenkort worden beheerd vanuit clouddienst Sophos Central.
Sophos Central is het centrale managementplatform voor security, legt Van Koppen uit. “Endpoints, servers, mobiele apparaten, draadloze verbindingen, cloud-based e-mailbeveiliging, cloud-based webbeveiliging, firewall en de encryptie van harde schijf en data: met Sophos Central regel je de beveiliging van al deze IT-onderdelen vanuit één centrale plaats in de cloud. Het is uitermate geschikt voor bedrijven met tussen de vijf en vijfduizend werkplekken. We proberen IT security gemakkelijk en inzichtelijk te houden voor systeembeheerders en andere gebruikers.”
Organisaties kunnen het beheer ook uit handen geven aan hun reseller. Die krijgt namelijk via het cloudplatform de mogelijkheid het beheer van klantorganisaties en bijbehorende eindgebruikers te regelen. In overleg met hun klant kan de reseller bijvoorbeeld policies en alerts instellen, rapportages inzien en malware opmerken.
Flexibel afrekenen
Niet alleen het beheer van zijn IT-beveiligingsproducten probeert Sophos zo eenvoudig en inzichtelijk mogelijk te maken. Van Koppen vertelt dat in de markt veel vraag is naar flexibele afrekenmodellen, waarbij organisaties betalen naar gebruik. Om die reden introduceerde de securityleverancier kortgeleden MSP Connect Flex. Dit programma stelt resellers in staat het Sophos-portfolio op basis van een maandelijks afrekenmodel aan te bieden.
Organisaties hoeven dus vooraf geen grote investering te doen om de producten van Sophos te gebruiken. In plaats daarvan betalen ze per maand en per gebruik. Het bedrag verandert bovendien mee met het aantal medewerkers binnen de organisatie. Volgens Van Koppen slaat het nieuwe afrekenmodel vooral in de Verenigde Staten aan: daar stapten sinds de introductie in april 2016 al ruim 350 resellers over op het nieuwe afrekenmodel voor hun klanten. In Nederland zijn dit er veel minder, “maar er zit wel veel in de pijplijn”.
Securityspecialist
GroupSecure, de IT-dienstverlener met Brouwers als sales manager, is gespecialiseerd op het gebied van IT-beveiliging. De onderneming was een jaar reseller van netwerkbeveiliger Astaro toen dat bedrijf in 2011 werd ingelijfd door Sophos. Die bracht de firewallproducten onder in Sophos UTM (Unified Threat Management). Inmiddels voert GroupSecure het volledige productportfolio van Sophos, naast enkele andere merken, in combinatie met een uitgebreid dienstenportfolio. De security specialist heeft veel middelgrote en grote bedrijven als klant. Bovendien vertrouwt ongeveer een kwart van de Nederlandse gemeenten op de expertise van het Almelose bedrijf.
In vergelijking met andere softwareleveranciers biedt Sophos zijn partners een gemiddeld tot goede marge en een hoge mate van ondersteuning, zegt Brouwers. “Sophos werkt bijvoorbeeld met Incumbency, wat inhoudt dat er bepaalde mate van partnerbescherming is bij verlengingen van licenties van bestaande klanten. Dat is een goede zaak. Verder ervaren wij de samenwerking met Koen Moesman, onze Channel Accountmanager, als zeer prettig.”
Er is voorlopig genoeg werk aan de winkel, zowel voor Sophos als voor GroupSecure. De kwetsbaarheden van IT-systemen blijven toenemen terwijl de bewustwording in veel IT-afdelingen traag verloopt. “Wij zien dat bij veel nieuwe IT-projecten de beveiliging als sluitpost wordt gezien, terwijl het juist vanaf de start een belangrijk onderdeel zou moeten zijn”, besluit Van Koppen. Aan de leverancier en dienstverlener de taak om de drempels voor goede IT security zo laag mogelijk te houden en het beveiligingsniveau zo hoog mogelijk.
Door: Diederik Toet
