Johan van Leeuwen - 05 december 2022

MDR brengt Sophos in onderscheidende positie

MDR brengt Sophos in onderscheidende positie image

De aanwezigen bij de Road Show van Sophos, vorige week in Hoofddorp, luisterden de hele ochtend meer dan aandachtig. Partners en klanten kregen een interessante update van wat de securityspecialist in de markt ziet en waar het zelf mee bezig is. Eén van de sprekers was Dave Mareels, directeur productmanagement en SecOps bij Sophos. Hij vindt dat het bedrijf aan een nieuw hoofdstuk is begonnen.

Mareels sloot het inhoudelijke deel van het ochtendevent af. Voor hem stond onder andere John Shier, senior security advisor van Sophos, op het podium. Hij nam aan de hand van het nieuwste Threat Report van Sophos door wat de dreigingen zijn. Niet verrassend komen die voor een groot deel uit Rusland en China. De oorlog in Oekraïne speelt een grote rol in het landschap van aanvallen. Shier gaf vooral een interessant inkijkje in hoe professioneel cybercriminelen zijn. Hun marketing verbetert en ze gaan op normale bedrijven lijken met aangeboden producten op speciale marktplaatsen en vacatures voor personeel.

Lawaai
Daarna was het de beurt aan Mareels: een naar Londen verhuisde Australiër met een Vlaamse vader. Hij was een paar jaar geleden medeoprichter van SOC.OS. Daarmee ging het snel: in 2018 startte het met de bouw van een product, in 2020 ging het live en dit jaar werd het overgenomen door Sophos. Mareels legde dat succesverhaal kort voor zijn presentatie vol enthousiasme uit. “We constateerden dat er overal steeds meer securityoplossingen worden ingezet. Allemaal maken ze, in figuurlijke zin, veel lawaai. Mensen worden moe van alle meldingen. Daarnaast zijn er ook veel SIEM-platformen op de markt die bedoeld zijn voor grondige analyse van dreigingen. Maar ze zijn vaak erg complex en kostbaar. Voor veel bedrijven zijn ze daardoor niet geschikt. Het is als Formule 1-auto’s: mooi om naar te kijken, maar je hebt een heel team en veel ervaring nodig om ze goed te kunnen besturen. In dat landschap wilden wij een product maken dat toegankelijk en begrijpelijk is.”

Mareels heeft het over triage: zoals in de zorg aan triage wordt gedaan om de ernst van een hulpvraag in te schatten, zo werkt het in de cybersecurity ook. “Nu zit er regelmatig één persoon die tegelijkertijd naar een stuk of vijf schermen kijkt. Ons doel was om al het geluid dat binnenkomt te vertalen naar zinvolle informatie, zodat ook een klein team weet welke dreigingen ze echt in de gaten moeten houden.”

Nieuwe MDR-dienst
Het product werd populair bij een steeds grotere groep gebruikers. Toen kwam de belangstelling vanuit Sophos, wat uiteindelijk resulteerde in een overname. “Dat was voor ons een logische stap. Sophos heeft een grote hoeveelheid klanten en een distributienetwerk. Door dit huwelijk combineren we hun producten met onze technologie en profiteren we bovendien van de schaalgrootte die Sophos heeft. Het volledige team van 13 personen is meegegaan naar Sophos.”

Hij vindt het ook vanuit zijn nieuwe werkgever gezien, een logische stap. “In zijn geschiedenis heeft Sophos een reis gemaakt van een product, naar een platform, naar het leveren van diensten. Nu gaan we met Sophos eigenlijk een volgende fase in en bieden we een vendor-agnostische dienst. Want de realiteit is dat veel klanten niet alleen Sophos gebruiken, maar ook andere securityoplossingen. Soms wel tien of vijftien in totaal. Klanten vroegen Sophos steeds vaker om ook hun andere securityproducten te monitoren. Met deze integratie is die mogelijkheid er nu en dus beginnen we echt aan een nieuw hoofdstuk. Het brengt ons in een heel interessante en onderscheidende positie.”

Op 30 november lanceert Sophos zijn nieuwe MDR-dienst (Managed Detection and Response). Het bevat unieke nieuwe mogelijkheden voor het detecteren van en reageren op bedreigingen. “Sophos is de eerste endpoint security leverancier die vendor-agnostische telemetrie van derde partijen in zijn MDR-aanbod integreert”, zegt Mareels trots. “Dat levert ongekende zichtbaarheid en detectie op, in diverse besturingsomgevingen. Sophos introduceert ook de Sophos Marketplace en de ‘Breach Protection Warranty’ die tot 1 miljoen dollar aan responskosten dekt.”

“De afgelopen zes maanden zijn we heel druk geweest met de integratie”, vervolgt hij. “Dat begint nu met MDR. De gebruiker kan op buttons klikken met de namen van andere leveranciers. De meldingen van die leverancier gaan door het systeem, dat je kunt zien als een soort middleware. Uiteindelijk komt er waardevolle informatie in de vorm van een verhaal uit.” Er is nu een integratie met twintig vendoren, gespecialiseerd in firewalls, email security, identity, cloud security en networking security, vertelt Mareels. “Begin volgend jaar komen er nieuwe vendoren bij. We hebben nog een lange wensenlijst.”

Correlaties
Sophos beoordeelt het belang van alle verschillende meldingen en legt daarnaast ook verbanden. “Data verzamelen via verschillende connectors is niet moeilijk. Het gaat om de volgende stap: de vertaling naar waardevolle informatie. Daar zorgen wij voor. Wij maken de data vanuit al die stromen schoon en standaardiseren de verschillende manieren waarop de vendoren de meldingen rangschikken. Daarna zoeken we naar de correlatie. Die is belangrijk om het verhaal te kunnen vertellen. Vergelijk het maar met 10.000 stukjes van een puzzel die je op tafel gooit. Dan zoek je naar groepjes. We maken groepen van alle meldingen die met elkaar te maken hebben. Daarna kijken we welke van al die gegroepeerde verhalen het belangrijkst zijn om meteen aan te pakken. Vervolgens heb je menselijke expertise nodig. De analisten moeten nog steeds goed en getraind zijn, maar hun werk wordt wel overzichtelijker.”

Die menselijke expertise kan vanuit bedrijven zelf komen, maar ook worden uitbesteed aan Sophos. “Daarin zijn we superflexibel. We vragen eigenlijk aan klanten wat ze precies willen, hoe hun omgeving eruit ziet en wat ze van ons verwachten. Grote bedrijven kunnen dit misschien helemaal zelf. Maar Gartner voorspelt dat de helft van alle bedrijven hun MDR in 2025 heeft uitbesteed en ik denk persoonlijk dat het er nog meer gaan zijn. Mensen in allerlei verschillende sectoren willen geen cybersecurity-expert zijn. Ze willen zich op hun eigen corebusiness richten. En om als bedrijf een analist aan te nemen, op te leiden en vervolgens te behouden is vreselijk moeilijk. Een ambitieuze analist zal vaak de overstap maken naar werken in SOC’s zoals dat van ons, waar gewoon meer gebeurt.”

Kort na het interview betrad Mareels het podium. Hij sloot zijn presentatie daar af door te zeggen: ‘Ik hoop dat jullie het ermee eens zijn dat dit heel waardevol is’. Vanuit de zaal werd instemmend geknikt.

Door: Johan van Leeuwen

Copaco | BW 25 maart tm 31 maart 2024 Trend Micro BW BN week 10-11-13-14-2024
Copaco | BW 25 maart tm 31 maart 2024