OutPost24: Continue assessments bieden inzicht voor goede cyber hygiëne

Cyber hygiëne is heel belangrijk. Pleister plakken met point-oplossingen heeft weinig zin zonder inzicht in het dreigingslandschap en de risico’s in je IT-omgeving. Security assessments zoals pentesten kúnnen het juiste inzicht bieden. Dan moet dat echter geen halfjaarlijkse snapshot zijn, maar een continu proces. Technologische ontwikkelingen en innovaties vanuit dreigingsactoren vinden namelijk steeds sneller plaats. Het dreigingslandschap verandert niet alleen bij de uitrol van nieuwe technologie of het bekend worden van een kwetsbaarheid, maar ook als een dreigingsactor nieuwe malware uitbrengt. Security assessment-aanbieder Outpost24 denkt hier als onafhankelijke aanbieder bij uitstek een rol in te spelen. Ook als het gaat om de groeiende vraag vanuit midmarket en mkb te beantwoorden via een MSSP-partnerkanaal.

Het van oorsprong Zweedse Outpost24 biedt al 22 jaar security assessments. Waar veel security-aanbieders zich richten op beveiliging zelf, onderzoekt Outpost24 onafhankelijk van securitybeheer of beveiliging (nog) voldoet en geeft inzicht in (mogelijke) kwetsbaarheden, zwakke punten en risico’s. Deze onafhankelijkheid is net zo belangrijk als die van een accountancy-auditeur.

Het SaaS-platform voor cyberrisicobeheer van Outpost24 ondersteunt meer dan 2.500 klanten in ruim 65 landen in de snel toenemende behoefte om hun cyberbeveiligingshouding te verbeteren. De oplossingen van Outpost24 onderzoeken ook de ‘white space’ tussen puntoplossingen die dreigingsactoren vaak misbruiken; zij scannen activa én externe gegevensbronnen om kwetsbaarheden en bedreigingen op potentiële aanvalsoppervlakken te ontdekken, te beoordelen en te prioriteren. Het bedrijf combineert daartoe cyberrisicobeheeroplossingen voor kwetsbaarheidsbeheer, applicatiebeveiliging, bedreigingsinformatie en toegangsbeheer in een centraal platform.

Meerderheidsbelang Vitruvian
Vitruvian Partners maakte in juli bekend een meerderheidsbelang in Outpost24 te hebben genomen. De investeringsmaatschappij investeerde eerder al in cyberbeveiligingsbedrijven zoals Bitdefender, CFC en Darktrace. Outpost24 is wereldwijd aanwezig met kantoren in Europa en de VS, met verdere plannen om de komende jaren te blijven investeren in internationale expansie. Het bedrijf wil met steun van Vitruvian de grootste onafhankelijke cybersecurity-aanbieder van Europa worden, vertelt Orlando Kliemert, managing director business unit Central Europe.

“Het kernwoord bij een betere cybersecurity is cyber hygiëne. Voordat je een beveiligingsstrategie, tooling en oplossingen ontwikkelt, moet je inzicht hebben in je technologie en waar jouw organisatie van afhankelijk is. Dat betreft interne en externe netwerken en alles dat daarop draait: applicaties, gebruikers die toegang tot systemen hebben. Om een cybersecurity-strategie vorm te geven, moet je je IT-omgeving kennen, maar ook weten wat daarin verandert. Dat is steeds meer en het gaat steeds sneller.”

Continue beweging
Er is sprake van continue beweging in het IT-landschap. Denk aan het verhuizen van workloads van een eigen datacentrum naar de cloud; het uitrollen van nieuwe of patchen van bestaande servers. Maar ook een nieuwe kwetsbaarheid of nieuwe malware kan die beweging veroorzaken.

De filosofie van Outpost24 is dat je alleen efficiënt met je security-budget en – resources om kunt gaan als je die beweging goed in kaart hebt en houdt. De scans van Outpost24 geven onder meer het inzicht in wat je aan IT hebt, waar je kwetsbaar bent en bieden ook threat intelligence.

“Daarmee laten we ook zien waar de hacker-community en cybercriminelen mee bezig zijn en van welke kwetsbaarheden zij het meest waarschijnlijk gebruik gaan maken binnen jouw omgeving. Dat biedt een holistisch beeld, waar je als organisatie al dan niet proactief actie op kunt ondernemen.”

Helaas is bij de meeste Nederlandse organisaties de cyber hygiëne niet op orde, extrapoleert Kliemert op basis van wat Outpost24 bij haar klanten ziet (overigens onderstreept Gartner dat cybersecurity na compliance gezien wordt als grootste business-risico). “Dat ligt niet aan security-afdelingen. Die doen hun best met de budgetten en resources die ze hebben. Maar het besef hoe belangrijk cybersecurity en het onderhoud hiervan is, is pas de afgelopen paar jaar doorgedrongen tot de top van veel bedrijven.”

Pleisters plakken
Sinds de pandemie en de digitaliseringsslag om thuiswerken mogelijk te maken is de aandacht wel gegroeid, maar nog altijd is er veelal sprake van pleisters plakken met point-oplossingen, ziet Kliemert. “Zero day kwetsbaarheden zoals Log4J eind 2021 zorgen voor paniek. Maar cybersecurity is geen project; het is een continu proces. De grootste gevaren zitten in kwetsbaarheden bij minder bedrijfskritieke toepassingen, waar men vaak onvoldoende geld of aandacht voor heeft qua beveiliging en het risico voor lief neemt. En dat is nou juist waar hackers gebruik van maken.”

Account Executive Benelux Robert Scholten begrijpt dat het lastig is voor bedrijven om te weten waar te beginnen. “De afgelopen twee jaar is er door het thuiswerken een shift geweest naar het applicatielandschap: werken op afstand en toegang tot informatie op afstand. De resources en specialisten om dit te beveiligen, zijn echter achtergebleven. Bovendien hebben steeds meer afdelingen in organisaties – zoals bijvoorbeeld HR – steeds meer te maken met het IT-landschap. Als er onvoldoende communicatie tussen hen en IT is, kunnen verwachtingen van elkaars rol uiteenlopen en ontstaan er gaten in de cybersecurity.”

Inzicht met continue assessments
Steeds meer organisaties beseffen dat zij met hun cyber hygiëne bij moeten blijven met best practices in de sector. Zij zoeken mogelijkheden om niet middels een snapshot af en toe een momentopname te krijgen, maar echt inzicht te krijgen met continue assessments. Dat is waar een onafhankelijke partij als Outpost24 volgens Scholten en Kliemert bij uitstek voor geschikt is.

“Voorheen was een assessment vaak een paar maal per jaar een pentest om een vinkje te zetten op je compliance-lijst”, stelt Kliemert. “Niemand maakte zich druk over vervolgstappen. Het volwassenheidsniveau van organisaties op cybersecurity-gebied groeit echter. Men omarmt steeds meer het security by design idee: assessments als integraal onderdeel van je security-strategie.”

Pentest as a service
Continue testen in plaats van enkele snapshots per jaar heeft wel tot gevolg dat de vraag naar onder meer pentesten snel groeit, terwijl de capaciteit achterblijft. Outpost24 heeft in dit kader een pentest as a service ontwikkeld, zodat organisaties het hele jaar door verzekerd zijn van deze vorm van cyber assessment.
Maar, benadrukt Scholten, dit moet je zien als deel van een groter geheel. “Je moet als organisatie weten waar je naartoe wil groeien, wat je uitdagingen zijn en hoe we daar continue assessments in kunnen meenemen. Dat is waar we als Outpost24 met klanten heen willen: het adresseren van de economics van cyber security assessments. Zodat we de juiste inzichten geven en organisaties direct kunnen ingrijpen. Een nieuwe term op dit gebied is external attack servicemanagement, waar wij een oplossing voor ontwikkeld hebben. Hiermee kunnen we organisaties helpen om, ook wanneer er nog niets gebeurd is, proactief actie te ondernemen. Zo kun je je cyber hygiëne steeds verder op orde brengen.”

Onderkant markt
Outpost24 is nu vooral actief bij grotere organisaties, maar ziet volgens Kliemert ook aan de onderkant van de marktmogelijkheden. “Grote organisaties hebben vaak een eigen SOC, een eigen securityteam. Bij dergelijke partijen zijn wij vooral een verlengstuk van hun security operations. Met technologie en soms diensten hieromheen.”
De roep om hulp bij het verbeteren van cyber hygiëne zie je echter bij organisaties van groot tot klein. Malware discrimineert niet; aanvallers kijken niet naar hoe groot het security-budget van een organisatie is. En midmarket en mkb-organisaties die hun automatisering vaak al hebben uitbesteed, leggen deze nieuwe vraag ook bij hun IT-leveranciers neer. Hier richt Outpost24 zich op via een groeiend partnerkanaal, vertelt Kliemert. “We hebben MSSP (managed security serviceprovider) -proposities ontwikkeld, met een set gebruiksvriendelijke tools. Niet zodat resellers die één op één doorverkopen, maar ze juist integreren in hun eigen MSSP-dienstverlening. Bijvoorbeeld als onderdeel van een managed SOC.”
Dat is niet altijd eenvoudig voor partijen die security voorheen wellicht beperkten tot het leveren van een firewall en backup. Security as a service leveren kan dan een grote stap zijn. “We ondersteunen dit soort partijen met training en support, zodat zij die stap kunnen zetten om de snelgroeiende vraag naar volledige ontzorging op security-gebied te kunnen beantwoorden.”

Aanbod op maat
Scholten voegt toe dat Outpost24 ook de rapportages kan verzorgen om uit assessments te halen wat voor security-tooling een organisatie nodig heeft. Zo kan een MSSP zijn aanbod op maat maken en kan een organisatie erop vertrouwen dat ze de juiste security-tools krijgen.
“Je kunt als reseller wel een lijst van tien endpoint fabrikanten hebben, maar wat je levert moet aansluiten bij wat je klant nodig heeft. Wij kunnen als onafhankelijke partij een brug bouwen tussen de reseller en de klant. Dat kan al met een soort quick scan die we onze Scout exercitie noemen: op basis van een domeinnaam een rapport opstellen waarin we middels publiekelijke informatie al de belangrijkste externe risico’s en kwetsbaarheden in kaart brengen.”

Dat kan confronterend zijn, beseft Scholten, maar het geeft wel de richting aan die je als organisatie in moet slaan om de cyber hygiëne van je IT-omgeving te verbeteren. Hij tekent daarbij aan dat Outpost24 niet iedereen als partner optekent. “We zoeken partijen die met dezelfde missie, visie en cultuur als Outpost24 op cybersecurity-gebied actief zijn. Zo kunnen we samen echt een succes van onze kanaalaanpak maken.”

Vinger aan de pols
De komende jaren zal Outpost24 nauwkeurig de vinger aan de pols houden van de ontwikkelingen op cybersecuritygebied, stelt Kliemert tot slot. “We onderhouden goede relaties met analisten van partijen zoals Gartner en Forrester en zullen ook onze overnamestrategie hierop aanpassen. Verder volgen we het NIST-raamwerk, dat de aandacht richt op identificatie van kwetsbaarheden. Daar zal onze focus op blijven liggen. Alleen door breed te kijken naar de hele IT-stack, kunnen we het holistische beeld houden dat we ook onze klanten willen bieden.”

Auteur: Martijn Kregting