Redactie - 13 februari 2018

Innovatieve endpoint beveiliging is volgens Exclusive Networks broodnodig

Innovatieve endpoint beveiliging is volgens Exclusive Networks broodnodig image

Exclusive Networks, dat vorig jaar TechAccess overnam, is behalve in networking, wireless, SDx en storage & servers met name erg actief op het gebied van security. Op dat vlak ziet de distributeur het belang van endpoint security verder toenemen. Innovatieve ‘next gen’ oplossingen zoals die van Palo Alto Networks en SentinelOne zijn volgens Exclusive Networks noodzakelijk voor elk bedrijf.

De consultants Renzo Stols en Clifford Knook van Exclusive Networks zien het belang van endpoint security groeien. Stols is vooral verantwoordelijk voor het portfolio van Palo Alto Networks en Knook voor dat van SentinelOne, twee vendoren met een innovatieve visie. Een firewall is volgens Stols en Knook nog steeds nodig, maar omdat iedereen overal en met elk type device wil kunnen werken en er door Internet of Things steeds meer apparaten een aansluiting op internet krijgen, is het beveiligen van het endpoint volgens hen cruciaal. Knook: “Als je naar de aanvallen van de laatste tijd kijkt, zie je dat 95 procent van de breaches op het endpoint plaatsvindt.”

Ransomware
Het gaat de laatste maanden, ook bij Exclusive Networks, vaak over ransomware. Stols: “We merken een groeiende vraag naar advanced endpoint oplossingen vanwege ransomware. Met traditionele beveiliging konden die aanvallen namelijk niet worden tegengehouden.” Maar volgens Knook is ransomware niet per se het grootste gevaar: “Bij ransomware zie je dat je gehackt bent en gaat het alleen om geld. De grootste bedreiging zit in aanvallen die je niet ziet. In virussen die niet als bestand binnenkomen, maar die in je geheugen worden geladen en pas later hun werk doen.”

Sandbox
Palo Alto Networks heeft volgens Stols een duidelijke strategie als het om endpoint beveiliging gaat. Het gebruik van een sandbox is daarbij heel belangrijk. “Het is een plek waar je een virus in een beveiligde omgeving kunt uitvoeren om te kijken wat de applicatie gaat doen. De integratie met zo’n sandbox is de meest krachtige manier om een virus te bestrijden, maar wordt door veel traditionele partijen niet aangeboden of is alleen als losstaande tool verkrijgbaar. Terwijl het juist gaat om de koppeling.”

“De sandbox van Palo Alto Networks, Wildfire, ziet precies wat er in de hele wereld gebeurt”, legt Stols uit. “Als bijvoorbeeld in Japan een virus wordt ontdekt heeft de sandbox dat binnen vijf minuten geanalyseerd en zit het in de database. Die snelheid van minder dan vijf minuten is echt een unieke eigenschap van deze oplossing. Er komen 15.000 duizend nieuwe virussen per uur uit. Als je een oplossing hebt die elke vier uur geüpdatet wordt, loop je dus al 60.000 virussen achter.”

Gereedschapskist
Daarnaast is de benadering van Palo Alto Networks anders dan van veel anderen, vertelt Stols. “Er zijn miljoenen inbrekers over de hele wereld. Je kunt bij wijze van spreken een fotoboek bijhouden om die inbrekers te herkennen, maar Palo Alto kijkt niet naar de inbrekers maar naar hun gereedschapskist. Daarin zitten, om de metafoor door te trekken, een schroevendraaier, een stanleymes en een hamer. Een fotoboek van criminelen zegt weinig over onbekende criminelen waar nog geen foto van is. Maar de kans is groot dat zij wederom een schroevendraaier, een stanleymes of een hamer bij zich hebben. Dus ligt de focus van Traps op herkenning van de tools die inbrekers inzetten en niet op de inbrekers. Cybercriminelen hebben de beschikking over 25 verschillende tools en gebruiken bijna altijd een combinatie van een aantal daarvan. Er komen af en toe nieuwe technieken bij, maar dat gebeurt heel weinig en dan altijd in combinatie met gereedschap dat we al wel kennen.”

“Bij veel geslaagde ransomware-aanvallen zien we dat als Traps gebruikt zou zijn, er zes of zeven verschillende detectiemethodes, die de aanval allemaal zouden hebben herkend, omzeild hadden moeten worden om te kunnen slagen”, vervolgt Stols. “De kracht van Traps zit in de totale set van moderne technieken.”

Gedrag
De endpoint-oplossing van SentinelOne heeft een iets andere benadering, maar focust bij aanvallen ook op het gedrag van software, legt Knook uit. “Om een simpel voorbeeld te geven: wanneer je een printer installeert, installeer je ook een driver die zichzelf kopieert. Daar is niets mis mee. Maar als zo’n driver bestanden gaat aanpassen, dan weet je meteen dat dat geen normaal gedrag is. Dat detecteert de engine van SentinelOne meteen.”

Bovendien is er de koppeling met statische anti-virus. “Aan de hand van signaturen bekende virussen herkennen en blokkeren zorgt er nog altijd voor dat er veel wordt tegengehouden. De koppeling met dynamische beveiliging voor onbekende virussen is daarbij heel belangrijk. Daarnaast maakt de oplossing van SentinelOne na een eventuele aanval precies inzichtelijk wat er gebeurd is. Dat is, ook in het kader van de nieuwe GDPR-wetgeving, noodzakelijk. Ook is het in dat geval mogelijk om een rollback te doen en gegevens weer terug te draaien.”

En dat allemaal vanuit één management portal en met één licentie, vertelt Knook. “Daarin zit de kracht van SentinelOne: het is doodeenvoudig om mee te werken. Er zijn ook niet allerlei smaken van deze oplossing, maar iedereen krijgt dezelfde optimale bescherming.”

Realistisch
Bovendien werkt SentinelOne samen met een verzekeringsmaatschappij. “Die keert, uiteraard onder bepaalde voorwaarden, uit wanneer het mis gaat. Volgens sommigen is dat een zwaktebod, maar dat is natuurlijk onzin. Het geeft juist aan hoe sterk de oplossing is, want anders zou een verzekeraar nooit zijn vingers eraan branden. Die realistische benadering vind ik heel sterk bij SentinelOne. We moeten niet naïef zijn: in cybercrime gaat meer geld om dan in de complete drugshandel. Die strijd win je niet zomaar en dus loop je altijd gevaar. Waar het om gaat is de kans zo klein mogelijk te maken en de schade beperken voor het geval dat je getroffen wordt.”

Combinatie
Met Palo Alto Networks, SentinelOne en veel andere vendoren in het portfolio - waaronder qua endpoint-oplossingen ook Symantec - wil Exclusive Networks resellers helpen om met een goed securityverhaal bij eindklanten aan te komen. Stols: “Wij kunnen daarnaast ook ondersteunen met implementatie en trainingen. In een demoportaal kunnen we laten zien wat er gebeurt bij een aanval.” De kracht, zo zegt Knook, zit hem in de combinatie van oplossingen. “Net zoals kastelen vroeger werden beveiligd met een slotgracht met ophaalbrug, binnen- en buitenmuren en kanonnen. Daarin ligt onze rol als distributeur.”

Door: Johan van Leeuwen

Dutch IT Security Day BW tm 15-10-2024 ALSO BW tm 16-10-2024
Gartner BN en BW tm 03-11-2024

Wil jij dagelijkse updates?

Schrijf je dan in voor onze nieuwsbrief!