Jeremy van Doorn, Palo Alto Networks: zicht op complex security landschap

Klanten van Palo Alto Networks hebben diverse uitdagingen. Jeremy van Doorn, Senior Director Systems Engineering Northern Europe bij Palo Alto Networks: “Een daarvan is de wetgeving. Banken hebben onder andere te maken met DORA, en we zien dat onze klanten toch wel behoorlijk wat uitdagingen hebben om zich daar echt goed aan te houden. Dat heeft verschillende redenen. De eerste is dat de eisen van al die compliance-regelingen steeds grondiger worden. Dat is goed, want daardoor kunnen we allemaal op een veilige manier zaken blijven doen met een bank. Maar het is voor hen wel een uitdaging om dat goed te krijgen.”

Daarnaast neemt het aantal bedreigingen snel toe. ‘Die bedreigingen komen steeds sneller en kunnen gevaarlijker worden. Om een voorbeeld te geven: wij hebben begin dit jaar een aantal critical vulnerabilities bekeken. We zagen 40.000 scans per dag op die vulnerabilities. Stel dat een vendor een vulnerability heeft die mijn klanten gebruiken, dan kan ik er wel van uitgaan dat één van die 40.000 scans mijn vulnerability zal vinden. Dan ben ik dus gelijk een mogelijk doelwit.”

Complexiteit

Door de complexiteit van regelgeving en de versnelling van aanvallen zijn bedrijven op zoek naar manieren om dit beter te managen. “Daarmee komen ze dan vaak bij ons. In de cybersecuritymarkt zie je dat iedere zwakte of aanval een nieuwe oplossing brengt, vaak door een nieuwe vendor. Dit heeft als gevolg dat veel klanten, zoals een grote bank in Nederland, zomaar 60 of 70 vendors kan hebben om hun securityportfolio goed te kunnen managen. Dat maakt het alleen maar moeilijker. Als je meer vendors hebt, moet je dat allemaal gaan samenvoegen.”

“Het nadeel is dat je door zoveel oplossingen als bedrijf ook ontzettend veel meldingen krijgt, waardoor je door de bomen het bos niet meer ziet. Dat betekent weer dat je moeite zult hebben om het juiste personeel te vinden en te houden. Als je een security analist bent bij een bank en je krijgt op een dag 20.000 meldingen binnen die je moet onderzoeken, van een werknemer die iets verkeerd heeft gedaan tot een aanval van buitenaf, dan zul je zien dat die 20.000 meldingen nooit allemaal te onderzoeken zijn. Dus loop je op dag één 10.000 meldingen achter, en op dag twee 20.000. Er is eigenlijk geen winst te behalen.”

Veilig

Daarom ziet hij dat klanten op zoek zijn naar een oplossing om die hoeveelheid meldingen te verminderen. “Klanten vragen naar twee dingen. Eén is een vendor die een platform kan neerzetten waardoor je niet 60 of 70 verschillende vendors nodig hebt, maar misschien zes, zeven, of acht. Je zult er altijd wel meer dan één nodig hebben, maar in ieder geval dat aantal terugbrengen. Hierdoor kun je sturen op de tweede eis, namelijk meer automatisering. Klanten willen een systeem dat efficiënt omgaat met meldingen en ervoor zorgt dat ze volledig veilig zijn, met zo min mogelijk handmatige acties.”

“De automatisering kan door zo'n platform naar een hoger niveau worden getild, bijvoorbeeld door het gebruik van machine learning. Hierdoor kunnen meldingen automatisch worden afgehandeld. Klanten willen dit zodat hun medewerkers ontlast worden en meer kunnen focussen op de strategie rondom cybersecurity, in plaats van continu achter de feiten aan te lopen.”

Plezier

Het verhogen van de automatisering door machine learning zorgt ervoor dat medewerkers meer plezier in hun rol krijgen. “Tegenwoordig worden negen van de tien keer vrij jonge mensen aangenomen die net van hun studie komen. Ze beginnen enthousiast aan cybersecurity, maar zitten al snel in een race die niet te winnen is. Als ze vervolgens een betere aanbieding krijgen, vertrekken ze.”

“Als bedrijf moet je dan weer opnieuw beginnen met het zoeken en opleiden van nieuwe mensen. Wij proberen voor onze klanten steeds meer te automatiseren, zodat medewerkers een leuke rol krijgen en over een jaar nog steeds goed bezig kunnen zijn met proactief cybersecuritybeheer.

Board

De CISO is nog steeds één van de belangrijkste contactpunten hiervoor, maar hij ziet ook dat dit langzaam omhoog gaat richting de CIO en zelfs af en toe de COO. “Dit heeft ook weer met regelgeving te maken. Als je niet voldoende doet aan cybersecurity, kun je persoonlijk worden aangepakt. Ook de board is vaak geïnteresseerd in of er voldoende wordt gedaan op het gebied van cybersecurity.”

Ook steeds meer afdelingen raken betrokken bij cybersecurity. “Applicatieontwikkelaars moeten hun applicaties niet alleen bouwen, maar ook beveiligen. Vroeger werd eerst de applicatie gebouwd en daarna pas beveiligd, een zogenoemde ‘bolt-on solution’. Tegenwoordig denken bedrijven van tevoren al na over hoe ze hun applicaties veilig kunnen bouwen, een belangrijke verandering.”

Ook het netwerkteam is vaak betrokken. “Vroeger maakten bedrijven veel gebruik van VPN's, maar een VPN is niet meer voldoende wanneer de helft van je applicaties in de cloud draaien. Dan komt het concept van Secure Access Service Edge (SASE) om de hoek kijken, wat betekent dat je de security zo dicht mogelijk bij het eindpunt hebt. Hierdoor kunnen we zeggen dat we de hele datastroom kunnen beveiligen, of deze nu naar een datacenter of naar de cloud gaat. Daarnaast werken we met storage-teams die zich bezighouden met waar de logging plaatsvindt, bijvoorbeeld in de cloud of on-premise.”

Autonoom

“Palo Alto Networls is bekend als leverancier van producten als hardware firewalls en diverse softwareoplossingen, maar ik noem ons ook wel een databedrijf. Wij krijgen ongeveer 7,5 petabyte aan data per dag binnen. We zien onder andere 2,3 miljoen nieuwe aanvallen per dag die we nog nooit eerder hebben gezien. Dit laat zien dat kwaadwillenden bestaande aanvallen een klein beetje aanpassen, waardoor ze nieuw worden. Tweeënhalf miljoen stuks per dag is onmogelijk handmatig te verwerken, dus ook wij maken daarom al jaren gebruik van AI.”

“Mijn verwachting is echt dat autonome beslissingen nemen ontzettend belangrijk gaat worden binnen cybersecurity en dat het verwerken van data steeds belangrijker wordt. Je krijgt steeds meer securityinformatie binnen van allerlei punten in jouw netwerk. Die moeten allemaal bekeken en goed gecontroleerd worden en daarop moeten beslissingen genomen worden. De twee belangrijkste zaken zijn dus automatisering en autonome acties die door de omgeving genomen kunnen worden.”