'Met Controlled Autonomy SecOps pakken we cyberdreigingen direct aan'

Cybersecurityspecialist eSentire biedt al ruim 20 jaar SaaS-gebaseerde Managed Detection and Response (MDR) in combinatie met 24/7 SOC-ondersteuning dir klanten volledig voor hun cybersecurity ontzorgt.

AI heeft dit speelveld echter veranderd. Door deze technologie zijn het aantal meldingen niet meer bij te houden en lijkt traditionele MDR zijn langste tijd te hebben gehad. Dit betekent dat cybersecurityspecialisten hun strategie moeten wijzigen.

Controlled Autonomy SecOps

eSentire heeft aan dit veranderende speelveld zijn strategie aangepast naar ‘Controlled Autonomy SecOps’. Voor deze aanpassing waren er een aantal redenen, geeft Phil Skelton, Senior Director International Sales bij eSentire aan. “In de eerste plaats komt deze strategieverandering door feedback van onze klanten. Zij vroegen ons om bepaalde onderdelen van onze dienstverlening aan te passen. Daarnaast keken we ook goed naar het veranderende bedreigingenlandschap. We zien daar een explosieve groei van het aantal bedreigingen op basis van identiteits- en inloggegevens; tot 300 procent in het laatste jaar. Het misbruik van kwetsbaarheden nam ook flink toe”

“Vanuit deze feedback constateerden we dat traditionele MDR -het monitoren van klantomgevingen en reageren op alerts- niet meer voldoet. Daarom veranderden we de strategie. Vergelijk het met een voetbalwedstrijd. Je kan je verdediging trainen en dan kijken of het werkt. Maar je kan ook je team van tevoren trainen -tegen bedreigingen- en je eigen aanvalsteams inzetten om zwakke plekken in de defensie te zoeken. Kortom: niet alleen bedreigingen monitoren, maar ook proactief de verdediging testen voor het vinden van kwetsbaarheden.”

Drietal componenten

De Controlled Autonomy SecOps-strategie bestaat uit een drietal onderdelen die een complete levenscyclus vormen. Het eerste is preventie: pentesten, Red/Blue-teamoefeningen als ‘full-spectrum’-aanvallen, kwetsbaarhedenonderzoek en dark web monitoring.

De tweede component is detectie, het meer traditionele MDR-onderdeel, waarbij eSentire de aanvalspaden in klantenomgevingen analyseert, deze test en continu bewaakt. Het derde onderdeel, response, onderneemt actie bij gevonden kwetsbaarheden en incidenten.

Atlas AI-platform

AI speelt in deze hele levenscyclus een centrale rol. Skelton: “Door de hele cyclus, van alle loggegevens van endpoints en cloudomgevingen tot onderzoeken van kwetsbaarheden en de pentesten gebruiken we AI. Al deze data worden ingevoerd in ons Atlas AI-platform. Hiermee kunnen we sneller kwetsbaarheden detecteren en analyses uitvoeren.”

“AI helpt ook onze SOC-analisten, mensen beoordelen alle analyses, sneller hun taken uit te voeren. Ze krijgen zij alle informatie over alerts en kunnen daar sneller op reageren. AI doet op de achtergrond het werk voor onze SOC-analisten.”

Mens blijft in controle

Mensen blijven bij deze processen dus de controle houden, benadrukt Skelton. “Ons platform is getraind op 25 jaar aan data en we hebben ons model gecheckt tegenover de resultaten van onze SOC-analisten. In gevallen waarin er grote verschillen waren, hebben we dat aangepast en zo het aantal hallucinaties en false positives flink teruggebracht. Maar we kunnen altijd terugvallen op onze mensen om precies te checken wat de ervaring bij onze eindklanten is. Verder blijven we alle resultaten verifiëren.’

“Via de tool Findings kunnen klanten inzien wat er binnen de Atlas AI detectie-engine precies gebeurt als bedreigingen binnenkomen. Dit inzicht laat transparant zien wat de AI heeft uitgevoerd en welke ingrepen door onze SOC-analisten zijn uitgevoerd. Op deze manier verifiëren we constant de resultaten van het platform.”

Voordelen voor gebruikers

Skelton somt de voordelen van eSentire’s platform op. “Ten eerste natuurlijk vinden we op deze manier sneller gaten in bedrijfsomgevingen, zoals infrastructuur, cloudomgevingen en applicaties. Daarnaast worden klantenomgevingen continu getest, zodat zij deze kunnen verbeteren. Naast alerts geven we ook suggesties voor oplossingen en helpen hen deze door te voeren, zodat de omgevingen niet door bedreigingen worden getroffen. Hierdoor zijn we veel meer proactief bezig.”

“Verder helpen we klanten beter te voldoen aan de compliance- en wetgevingseisen die aan hen worden gesteld, zoals NIS2 en DORA. We helpen met al onze tooling hen hieraan te spiegelen.”

Skelton wijst ook op de 300+-integraties met andere (security)tools als belangrijk onderscheidend voordeel. “Zij kunnen deze tools blijven gebruiken, zonder een ‘rip-and-replace’- scenario uit te voeren. Hierdoor kunnen zij de maximale ROI en inzichten en diensten uit hun hele vorige stack halen.”

Partnerbeleid

De nieuwe strategie biedt vanzelfsprekend kansen voor IT-partners. eSentire werkt zowel direct met eindklanten als het partnerkanaal. “Onze strategie biedt vooral meerwaarde als zij al cybersecuritydiensten leveren. Met ons platform kunnen zij makkelijk nieuwe infrastructuur- en cloudomgevingen en applicaties beveiligen en uitrollen. Zonder zelf complete cybersecuritymogelijkheden te ontwikkelen. Verder kunnen ze ook op deze manier hun klanten beter aan zich binden door cybersecurity aan hun bestaande IT-diensten toe te voegen”, zegt Skelton.

eSentire richt zich op IT-service providers, MSP’s, datacenterbedrijven, tech vendors en leveranciers die naast firewallomgevingen of Microsoft-licenties ook graag extra cybersecuritydiensten willen toevoegen.

Implementeer driestappenplan

Phil Skelton waarschuwt verder dat cybercriminelen niet stil zitten. Ook zij gebruiken AI voor het bouwen van malware, het versnellen van aanvalsketens en het te gelde maken van malware LLM’s op het dark web. Bedrijven en IT-partners moeten daarom investeren in AI-mogelijkheden en daarbij tegelijkertijd een sterk en streng kwetsbaarhedenbeheer, patchingbeleid, oplosmogelijkheden en herstelbeleid opbouwen.

“Doe dit met een drietrapsstappenplan. Bouw als eerste een sterk preventief testbeleid op met kwetsbaarhedenbeheer, pentesten en het monitoren van het dark web. Als stap twee, zet een robuust detectie- en monitoringssysteem neer en zorg ervoor dat je dit continu test. Op deze manier kunnen nieuwe kwetsbaarheden snel worden gevonden. De derde stap is het voorbereiden van een getest ‘actieplan’ om incidenten op te lossen. Inclusief regelmatige oefeningen en simulaties zodat de verschillende teams precies weten wat ze tijdens incidenten moeten doen.”

“Het is echt belangrijk dat bedrijven hun pentesten en monitoringsactiviteiten niet als aparte handelingen uitvoeren, maar koppelen aan continu beheer van bedreigingen en kwetsbaarheden.”