Martijn Kregting - 22 augustus 2024

Brian Schippers: Sophos MDR diensten maken blinde vlekken in je netwerk zichtbaar

Het is voor organisaties een steeds complexere legpuzzel: het volledig beschermen van hun netwerken, systemen en data. Sophos biedt daarom nieuwe mogelijkheden voor een platformachtige end-to-end bescherming, stelt Brian Schippers, manager sales engineering bij de security-aanbieder. Zo maakt samenwerking met partijen zoals backup-leverancier Veeam (backup) en Tenable (exposure management) de MDR-dienstverlening van Sophos steeds completer.

Brian Schippers: Sophos MDR diensten maken blinde vlekken in je netwerk zichtbaar image

“Ook wij hebben niet alles in huis voor een overkoepelende security-oplossing”, benadrukt Schippers. “Samenwerking op het gebied van managed risk en vulnerability assesment met Tenable, of eerder met Veeam op het gebied van secure backup, maakt ons MDR-aanbod veel breder. En daar profiteren zowel onze partners als hun klanten van.”

Bij Tenable gaat het onder meer om external attack surface management (EASM): het scannen van je netwerken en je domeinen van buitenaf om te kijken of er daar gevaren schuilen. Tenable levert dit als een dienst, maar als klant zul je dan zelf voor het scannen moet zorgen en er opvolging aan moet geven. Neem je het via Sophos MDR af, dan valt dat onder ‘managed risk’. Sophos verzorgt dan het scannen, levert een rapport met conclusies, en geeft adviezen over de zaken die de klant van de MSP of reseller moet opvolgen. “Ook bij directe nieuwe dreigingen, voeren we een scan uit bij onze Managed Risk klanten om zo pro-actief te kunnen handelen indien nodig.”

Extra beveiligingslaag

“Natuurlijk begint de basis van security met endpoint-oplossingen en firewalls”, weet Schippers. “Ik hoop dat 100 procent van alle organisaties zich hiervan inmiddels wel bewust is. Maar die extra beveiligingslaag om hackers met EASM buiten de deur te houden, is heel belangrijk. Die hacker kan eenvoudig van buitenaf kijken wat er bij een organisatie draait en of er iets is om misbruik van te maken.”

En dat ‘iets’ wordt vaak gevonden. Uit recent Sophos-onderzoek komt naar voren dat RDP (remote desktop protocol) nog steeds vaak open staat aan de buitenkant. Dat betekent dat ook een hacker via internet met een bedrijfsserver verbinding kan leggen via remote desktop.” Eigenlijk is dat een nog-go, er zouden bijna boetes op moeten staan. Alles dat wordt ingevoerd, is platte tekst. Heb je een ‘Man in the Middle’, dan kan die alle credentials zo lezen en misbruiken.”

Verder blijkt uit de studie dat kwetsbaarheden nog altijd een van de meest gebruikte methoden zijn voor hackers om binnen te komen. Een firewall die niet de laatste update heeft. Of een probleem bij iemands cloud-leverancier, want ook daar kan het misgaan. Schippers: “Dat soort zaken kunnen wij als Sophos aanduiden via Managed Risk. Dat is de extra, menselijke laag die we bovenop de Tenable-producten leggen met onze MDR-dienstverlening.”

Belang van samenwerking

Veel van de partners van Sophos zoeken ook deze extra beschermingslaag voor hun klanten, vervolgt Schippers. “Daarom vinden wij deze samenwerking zo belangrijk. We bieden onze MDR-diensten aan zodat je als eindklant of als MSP niet zelf een SOC/SIEM op hoeft te zetten, en dagelijks 40.000 logregels hoeft te analyseren. En nog belangrijker, er iets mee moet en kunt doen. En datzelfde geldt voor het opnemen van integraties in ons MDR-portfolio.” “We hebben een volwaardige marketplace, met integraties op diverse segmenten; endpoint, firewall, maar ook identity en e-mail, allen te koppelen aan onze MDR-dienst.”

Daarbij kan Sophos als mondiale vendor makkelijker de 24/7 dienstverlening aanbieden die bij MDR hoort, dankzij toepassing van het ‘follow the sun’-principe. Mensen zijn het meest efficiënt gedurende de dag, schetst Schippers. Door wereldwijd datacentra en SOC’s te hebben – onlangs ging een zevende SOC in Hawai open – kan Sophos 24/7 overlappend de meest optimale en efficiënte MDR-dienstverlening bieden.

Schippers: “Dat geldt dus ook voor de extra menselijke expertiselaag die we over de Tenable-producten heen leggen. We hebben hiervoor 600 medewerkers wereldwijd die van analyses een rapport met duidelijke conclusies, follow ups en adviezen maken. Elke maand bieden we een review aan van die rapporten, wat er uit te leren is, om te kijken hoe jouw security zich ontwikkelt. Visibiliteit is voor ons MDR team dus essentieel.

Secure backup

Op het gebied van backup levert Sophos deze vorm van dienstverlening al sinds vorig jaar aan. Want hoe goed je endpoint- en firewall bescherming ook is, er kan altijd wel ergens een endpoint zijn waar die bescherming niet op staat. Denk aan een connected device in een fabriek met een verouderd OS, of een stagiaire die zijn laptop in het netwerk hangt.

Via die route kan een hacker ook een backup besmetten of onbruikbaar maken. En elke security-leverancier kan het volgens Schippers beamen: als een hacker die route gebruikt, dan zie je dat met je preventietools niet. Vervolgens kan die hacker zaken gaan uitschakelen zoals MFA of een onoverschrijfbare backup, en dan aan de slag gaan.

Meer zichtbaarheid

“Via de samenwerking met Veeam krijgen wij ook al deze informatie en kunnen onze MDR-mensen er mee aan de slag”, vertelt Schippers. “Daarbij passen we het MITRE ATT&CK-raamwerk toe. Dat richt zich onder meer op technieken genoemd in “inhibit system recovery”. Door alarmsignalen zoals een reeks mislukte en gelukte pogingen om een backup te verwijderen tegen dit raamwerk aan te houden, kunnen onze MDR-mensen constateren of er sprake is van een aanval. Wij waarschuwen dan onmiddellijk onze IT-partner of de organisatie waar het om gaat.”

En, voegt Schippers toe: Sophos kan achterhalen waar een hacker bijvoorbeeld is binnen gekomen, om zo een volledig plaatje te leveren richting partner of klant wat er gebeurd is, en hoe dat kan worden voorkomen een volgende keer. “Die zichtbaarheid is key, ongeacht of het gaat om de binnenkant – zoals de backup-omgeving – of de buitenkant. En je hoeft echt niet alleen oplossingen van Sophos te gebruiken. Maar door het gebruik van onze integration blocks kunnen wij ook informatie van een firewall van vendor A of e-mail security van vendor B gebruiken, om zo de zichtbaarheid van een IT-omgeving te vergroten en zo daadkrachtiger te kunnen ingrijpen.”

24/7 monitoring is een must

Organisaties zoeken steeds vaker 24/7 dienstverlening zoals Sophos die zelf of via kanaalpartners biedt met zijn MDR-diensten. Het besef groeit dat de gemiddelde dwell time – tussen inbreken en activeren van malware – steeds korter wordt. Gemiddeld vijf dagen, maar soms zelfs al binnen een uur. Wie pas op maandagochtend weer inlogt op zijn IT-systemen, kan al op vrijdagavond geïnfecteerd zijn.

“Dus dringt het besef door dat je data op dezelfde wijze 24/7 beschermen moet als je pand is. En endpoints en firewalls zijn slechts de basis. Wij kunnen helpen via onze MDR-dienstverlening om nu ook aan de buitenzijde en voor je backup aan de binnenkant in kaart te brengen wat kwaadaardig, maar ook wat ‘slechts’ verdacht verkeer is. Want juist dat verdachte verkeer valt vaak niet op, het is vaak een blinde vlek.”

Blinde vlek zichtbaar

Met 600 MDR-medewerkers wereldwijd kan Sophos die blinde vlek zichtbaar maken. Via samenwerkingen zoals met Veeam en Tenable kan Sophos die blinde vlek verkleinen. En, stelt Schippers tot slot als vraag: “Heb je zelf inzichtelijk wat er allemaal bereikbaar is aan de buitenkant van je netwerk?”

Door: Martijn Kregting

Gartner BW tm 02-11-2024 Dutch IT Security Day BW tm 15-10-2024
ALSO BN + BW tm 16-10-2024