SecureMe2 ziet op het netwerk elke aanval

23-12-2020 | door: Teus Molenaar

SecureMe2 ziet op het netwerk elke aanval

Natuurlijk dragen firewalls, goed beleid en bewustwording bij aan IT-beveiliging. Maar wie wil weten waar criminelen hun pijlen op richten, houdt het IT-netwerk nauwlettend in de gaten. Dat is precies wat SecureMe2 doet. “Wij zien meteen elke afwijking en kunnen direct handelen”, zegt Aad van Boven, CEO van SecureMe2.

Hij praat, samen met Alexander Zwiep (medeoprichter en CCO van SecureMe2) vol verve over hun Next-Gen Network Intrusion Detection System (SAM Cyber Alarm). Met dit systeem helpt elke organisatie zich te beveiligen tegen ongewilde gasten. Het idee is in 2016 ontstaan uit onvrede met de bestaande technieken én uit onvrede met de prijzen die gevestigde IT-security-leveranciers voor hun producten en diensten vragen. “Daar hebben grote ondernemingen, met diepe zakken en veel IT-kennis in huis, niet zo veel moeite mee, maar de kleinere bedrijven schrikken daarvan terug. Die willen liever eerst nog een extra machine kopen; daar zien ze wel meteen het nut van in. Niet van zoiets als cyberbeveiliging; daar produceer je niks mee. Dus de prijsstelling was destijds voor ons ook een aanleiding om aan de slag te gaan. Overigens is ons product nu ook klaar voor het hele grote werk en kunnen de enterprise-ondernemingen ook de vruchten plukken van onze innovatie. Zonder dat ze trouwens hoeven te desinvesteren in reeds bestaande toepassingen en zonder in hun diepe zakken te hoeven tasten”, zegt het tweetal.

Eenvoudig houden

Beschikbaarheid en prestatie golden lang als de parameters van een goed IT-systeem. Allengs is beveiliging daar bijgekomen. “Velen hadden het over preventie, maar dat dekte de lading niet meer. Destijds werkte ik als programmamanager en ik zag dat bijvoorbeeld malware en misconfiguraties onopgemerkt bleven”, vertelt Van Boven.

Wat het duo ook opviel was de complexiteit van geïnstalleerde beveiligingssystemen. “Om die overvloed aan gegegevens te kunnen analyseren heb je Hogeschool Security nodig. Bij het MKB geven beheerders – als die er al zijn - dan al snel de moed op; het zegt ze niets en handelen na een alarm dat verdrinkt in een zee van gegevens blijft dan ook uit.”

Voor SecureMe2 was dat aanleiding om de interactie met beheerders eenvoudig te houden. “Zij willen alleen relevante informatie zien. Vandaar onze naam: Cyber Alarm. Wij laten alleen iets zien als direct actie is vereist. We vergelijken onszelf graag met een inbraakalarm of een brandalarm; die werken ook alleen maar als er iets moet gebeuren. Daarbij komt dat wij ook nog eens aangeven wát er moet gebeuren. Ook al weer om het eenvoudig te houden.”
Om eraan toe te voegen dat SAM staat voor Scan, Analyse, Manage. En dat is precies wat de oplossing van SecureMe2 doet.

As-a-service

De twee vertellen hoe het werkt: “Wij plaatsen een sensor op een geijkte plaats in het netwerk. Dat is een kastje (bij hele grote netwerken de grootte van een server) waar alle netwerkverkeer doorheen gaat. Dat verkeer analyseren wij op ons platform. We houden in de gaten wie de afzender is, wie de geadresseerde is, aan welke poorten wordt gerammeld, welke sleutels worden uitgewisseld tussen wie, welke scans er op het netwerk worden uitgevoerd, of de bedrijfsregels wel worden nageleefd, hoe lang bepaald verkeer blijft hangen. Kortom: als er afwijkingen zijn, dan zien we dat meteen. En daarmee kunnen klanten dan ook meteen handelen. Bijvoorbeeld een deel van het gesegmenteerde netwerk afsluiten, poorten dicht doen. Nou ja, gewoon wat op dat moment zinvol is. En daarmee kunnen wij met een aan zekerheid grenzende waarschijnlijkheid stellen dat dat geen enkele aanval aan onze sensoren kan ontsnappen. Het alarm gaat overigens af bij de klant of bij zijn IT-dienstverlener. Wat de klant wil. We volgen zijn proces zoveel als mogelijk.”

De gebruiker hoeft eigenlijk niets te doen; de security-oplossing werkt als een dienst: security-as-a-service.
De IT-beveiligingsspecialist heeft ervoor gekozen een sensor op het netwerk te plaats en niet met agents te werken. “Want die moet je weer onderhouden en we willen het juist eenvoudig houden”, verklaren ze.

Heel snel

Er zijn het afgelopen jaar zo’n 1800 security-aanbieders bijgekomen; in allerlei vormen, vertellen Van Boven en Zwiep. “Het is een actueel onderwerp, vooral nu velen gedwongen thuis werken. En vooral na een incident als bij de gemeente Hof van Twente. Dat helpt de bewustwording enorm.”

Waarin onderscheidt SecureMe2 zich dan ten opzichte van al die andere aanbieders? Dan roemt het tweetal vooral focus en de snelheid. “Wij zien heel snel wat er aan de hand is en kunnen meteen in actie komen als het nodig is.”

Daarnaast geven ze aan voor continuïteit te zorgen. “Voor implementatie van ons systeem is geen downtime nodig; je prikt de sensor erin en je bent klaar. Nu we vooral ook actief zijn bij de grotere ondernemingen, zoals omvangrijke ziekenhuizen, krijgen we vaak de vraag of onze oplossing eerst in de testomgeving moet draaien. Wat wil je dan testen? Onze oplossing werkt meteen, er valt niks te testen. We staan niet in-line en vormen dus zelf geen risico voor omvallende bedrijfsprocessen.”
Nederlandse bedrijven hebben gemiddeld 124 uren nodig om een cybersecurity-incident op te sporen. Dat is fors langer dan het wereldwijde gemiddelde van 117 uren. Dit blijkt uit recent onderzoek van Crowdstrike. “Wij zien extreem vroeg of er iets mis is binnen het netwerk. Wij hebben echt geen 124 uren nodig”, gniffelen ze. “Ons doel is om binnen één minuut na herkenning van verdacht verkeer een alarm bij de klant af te leveren.”

Forensische informatie

Het alarm dat uit het analyseplatform van SecureMe2 komt, is ook eenvoudig gehouden. Geen strings met voor leken onbegrijpelijke ‘prompt-tekens’, maar een mededeling in begrijpelijke taal. “We vertellen wat er is gebeurd, wanneer het is gebeurd en welk apparaat daarvan de veroorzaker was. Bijvoorbeeld of we ransomware hebben ontdekt. Via een webapplicatie beschikken de gebruikers over een dashboard. Ook dit is een toonbeeld van eenvoud. We hebben nog wel de meeste inspanning verricht om te bepalen wat je wel en wat je niet laat zien. Keep-it-Simple is de strategie in alle communicatie.”

Ze geven aan dat veel gemeenten en ziekenhuizen nu aankloppen om informatie over hun toepassing. “Er is veel belangstelling; niet meer alleen bij het MKB, maar ook de grote ondernemingen en organisaties.”
Dat komt, denken ze, ook omdat SecureMe2 ook veel forensische informatie geeft. “Wij vangen alles af en slaan onze informatie versleuteld op. Wij kunnen achteraf precies nagaan wat er is gebeurd. Reken maar dat verzekeringsmaatschappijen daar belangstelling voor hebben. In toenemende mate.”

Foto: SecureMe2-team met Aad van Boven, achterste rij helemaal links en Alexander Zwiep, achterste rij midden

Door: Teus Molenaar

Terug naar nieuws overzicht
Security