Inzicht in centrale storage is volgens ProLion cruciaal

Ransomware is voor veel bedrijven een serieus risico. Securityspecialist ProLion gaat die strijd vol overtuiging aan. Maar de leverancier zorgt daarnaast ook voor meer inzicht in het totale storagelandschap, legt Mark Slagmolen uit.

Een paar maanden geleden vertelde Mark Slagmolen (Regional Manager van ProLion in de Benelux, de Nordics en Frankrijk) over het gat dat zijn bedrijf opvult. “Veel organisaties hebben een firewall, antivirus op de laptops en de werkstations en wellicht security op het netwerk en denken dat alles dan goed beveiligd is. Maar ze vergeten de security op de centrale file storage, dus de directe beveiliging van bestanden op het storageplatform”, zei hij toen.

“Centrale storage is voor veel bedrijven een soort black box”, verduidelijkt hij nu. “Er zit wel een bepaalde structuur in, maar IT-mensen weten toch vaak niet waar ze moeten zoeken wanneer iemand een bestand of folder kwijt is.” Dat gebrek aan inzicht is extra problematisch wanneer er op securityvlak iets misgaat. “Als er sprake is van een zogeheten ‘insider threat’, dus een bewuste of onbewuste aanval van binnen de organisatie, dan wil je precies kunnen zien wat er gebeurt en gebeurd is.”

Het product CryptoSpike van ProLion zorgt daarvoor, vertelt hij. “Het heeft een mechanisme dat alle transacties tussen een gebruiker en de data inzichtelijk maakt. Als er een ransomware-aanval plaatsvindt op een omgeving zonder CryptoSpike, dan kom je daar pas na een aantal dagen, weken of zelfs maanden achter, en dan weet je nog steeds niet wie het heeft veroorzaakt. Met CryptoSpike zie je meteen wie de initiator is geweest en welke bestanden hij of zij heeft aangeraakt. Het zorgt voor zichtbaarheid en transparantie.”

Interne audit
Maar CryptoSpike helpt niet alleen bij aanvallen, geeft hij aan. Het extra inzicht is ook om andere redenen zeer nuttig. “Als je bestanden hebt die maar voor een klein aantal mensen zijn bedoeld, dan kan het heel zinvol zijn om erachter te komen wie er allemaal iets mee doet. Dat maken we ook inzichtelijk, allemaal met maar een paar drukken op de knop. Stel dat een medewerker een organisatie gaat verlaten, maar nu nog wel toegang tot de systemen heeft… Dan is het toch fijn om te kunnen zien of die persoon misschien data weggooit, of juist kopieert en meeneemt naar, bijvoorbeeld, zijn nieuwe werkgever. Normaal gesproken zijn dat soort acties op zulke gegevens niet zichtbaar. Dat inzicht is heel belangrijk. Je kunt dat een interne audit noemen. We zeggen zeker niet dat we hetzelfde doen als de KPMG’s van deze wereld, maar we kunnen organisaties wel veel informatie geven die ze achteraf vaak heel goed kunnen gebruiken.”

“We werken veel met lokale en landelijke overheden en daar is dit soort inzicht erg belangrijk”, vervolgt Slagmolen. “Ze hebben alles over het algemeen vrij goed voor elkaar, bijvoorbeeld als het om de bescherming tegen ransomware-aanvallen gaat, maar missen vaak het inzicht in wat er met de files gebeurt. Wie doet er precies wat? Dat wordt alleen nog maar belangrijker. Daarom gebruiken meerdere overheidsorganisaties onze tools nu voor zowel ransomware-bescherming als voor auditing.”

Insider threat
De ‘insider threat’ waar hij over sprak, is volgens Slagmolen vandaag de dag een heel belangrijk aspect in de wereld van security. “De grootste dreiging voor organisaties zit vaak tussen het toetsenbord en de rugleuning van de stoel. Vaak is dat onbewust, soms bewust. Als organisatie kun je alles nog zo goed dichttimmeren, maar als de mensen die in jouw systeem werken daar niet op de juiste manier mee omgaan, dan kun je een aanval niet voorkomen. Dan gaat het erom dat je de juiste dingen op zijn plek hebt om de gebruiker snel te blokkeren, inzicht te krijgen in wat er is gebeurd en het probleem meteen op te lossen.”
Ransomware-aanvallers zoeken tegenwoordig vaak heel bewust het ecosysteem op rondom de organisaties die ze op het oog hebben. Zo komen ze ergens binnen. Slagmolen geeft een voorbeeld. “Stel: ik ben klant bij een organisatie, waar ik veel contact mee heb. Mijn mailadres wordt bij die organisatie door de systemen en de mensen herkend. Als een ransomware-organisatie daar binnen wil komen, dan kunnen ze dat via mij doen, zonder dat ik dat door heb. Zij besmetten mijn bestanden met ransomware en ik stuur vervolgens een bestand op naar de organisatie waar ik klant ben. Dat verwacht het bestand en opent het nietsvermoedend, met alle gevolgen van dien.”

Het product CryptoSpike kan zo’n aanval herkennen, geeft hij aan. “Wij kijken niet naar de inhoud van een bestand, maar puur naar de interactie tussen de gebruiker en het bestand. We kunnen met behulp van algoritmes heel snel, binnen een halve milliseconde, zien of het aantal interacties wel of niet normaal is. Als dat niet zo is, dan heeft de gebruiker bij wie de besmetting binnenkomt, meteen geen toegang meer tot het centrale systeem. De verspreiding wordt zo geblokkeerd. Ook gaan de alarmbellen af bij de IT-afdeling. Wij brengen precies in kaart wat er is gebeurd, zodat dat opgelost kan worden.”

Projecten
Het van origine Oostenrijkse ProLion is al een tijdje hard aan het groeien: binnen een paar jaar van ruim twintig tot bijna honderd medewerkers. In het vorige interview gaf Slagmolen aan dat uitbreiding van het team met een enthousiast persoon die op deuren gaat rammelen in de Benelux, meer dan welkom was. Die is inmiddels gevonden. “Adriaan Bouman, die bij NetApp vandaan komt, wordt accountmanager Benelux. Hij zal veel op pad gaan, richting bestaande en potentieel nieuwe partners en eindgebruikers.”

Daarnaast is op Europees niveau de marketingorganisatie flink uitgebreid. “Vanuit het hoofdkantoor ondersteunen we op lokaal niveau met algemene marketing. Partners profiteren daarvan, omdat we samen met hen dingen kunnen doen, zoals persoonsgerichte LinkedIn-campagnes, webinars, co-branding en het organiseren van events.

Slagmolen is trots op de projecten die ProLion in samenwerking met partners doet. Hij pikt er twee uit. “Samen met Telindus werken we bij een overheidsorgaan. Daar willen ze bescherming, maar ook meer inzicht. Met Proact hebben we een mooi project in de offshore-sector, waar de focus vooral op ransomware-bescherming ligt. Het zijn allebei grote en uitdagende projecten die heel soepel verlopen. Samen met de partners zorgen we ervoor dat de eindklant goed wordt geholpen.”

Auteur: Johan van Leeuwen