Martijn Nielen, WatchGuard: ‘Met NDR en MDR kunnen we klanten én partners ondersteunen’

“Zo kunnen we bijvoorbeeld het groeiende gevaar van evasive malware ondervangen, malware die onder de radar probeert te blijven om dan op een later moment toe te slaan. Uit ons recente ISR-rapport blijkt dat dit soort malware - gecombineerd met zero trust malware-applicaties - met 168 procent groeide in het tweede kwartaal van dit jaar.”

Hoewel deze data gebaseerd zijn op de WatchGuard Firebox firewalls, zal het volgens Nielen weinig anders zijn voor bijvoorbeeld endpoints. En om evasive malware aan te pakken, zijn nieuwe security-methoden nodig. “Zo hebben we binnen de firebox een sandbox-gebaseerde security-service waar we machine learning in toepassen om vreemde gedragingen vast te stellen die evasive malware signaleren. Zo kunnen we dit groeiende gevaar aanpakken ook zonder dat al bekend is waar het precies om gaat.”

Ook endpoints moeten anders beveiligd worden voor het onbekende gevaar van evasive malware. WatchGuard hanteert zero trust op haar endpoints, waarbij pre-execution ingegrepen wordt als een toepassing mogelijk een security-gevaar is. Nielen: “Pas wanneer bepaald is dat een toepassing ongevaarlijk is, geven we die geautomatiseerd vrij, zonder tussenkomst van een IT-beheerder van de eindklant of security-aanbieder. Een volgende keer weet onze firebox dat deze toepassing gewoon opgestart kan worden. Het mooie van deze Zero-Trust functionaliteit is dat die volledig geïntegreerd is met onze EPDR-oplossing, zonder dat er een extra agent of configuratie voor nodig is.”

Bredere aanpak

WatchGuard verbreedt zijn security-aanpak ook door optimaal de grote hoeveelheid informatie te gebruiken die uit netwerken en cloudapplicaties te halen zijn. “Via Network Detection & Response (NDR) proberen wij dan de vertaalslag te maken naar wat we als normaal beschouwen en welk verkeer of gedrag hiervan afwijkt”, legt Nielen uit. “Dit is onze netwerkgebaseerde zero trust-oplossing, waarmee wij de strijd met evasive malware en advanced persistent threats beter aan kunnen gaan.”

Deze NDR-oplossing biedt onder meer smart alerts die afwijkend gedrag van ogenschijnlijk legale of vertrouwde toepassingen of netwerkverkeer signaleren. Hetzelfde geldt voor combinaties van verschillende soorten gedragingen die los van elkaar niet verdacht zijn.

“Denk aan DNS tunneling gecombineerd met een poort-scan. Apart hoeft dit ‘gedrag’ niet altijd een probleem te vormen, maar gecombineerd is het aannemelijk dat het kwaadaardig is. Zo kunnen we ook spontane RDP (remote desktop protocol)-connecties vaststellen, of een sterke groei in het aantal SSH-achtige connecties die we eerder niet zagen, en daarom verdacht zijn. Omdat onze NDR-oplossing leunt op – leren van – alle informatie uit netwerken, kunnen we met machine learning beter tot het inzicht komen of bepaald gedrag in een netwerk niet in de haak is.”

Verdachte gedragingen

Natuurlijk kun je in het netwerk sensoren introduceren die het verkeer afluisteren. Maar tegenwoordig is meer verkeer wél dan niet versleuteld en dan zijn sensoren ook blind. Daarom moet je volgens Nielen naar een bredere dataset kijken om te bepalen of een gedraging verdacht is.

“Denk aan NetFlow-informatie van switches, informatie van onze eigen firewalls of die van derde partijen. Dit levert een enorme database op die we kunnen vergelijken met inzicht in bekende gedragingen. Zo kunnen we een nieuwe norm creëren en hiervan afwijkend gedrag in kaart te brengen – ook hier met behulp van machine learning.”

Als een server bijvoorbeeld opeens veel meer data te verwerken krijgt dan in de voorgaande weken, kan dat verdacht zijn. Als er een testnetwerk is - waar men vaak meer vrijheden heeft - waar vandaan opeens veel meer pogingen zijn van verkeer naar het productienetwerk, dan heb je genoeg reden om te kijken of daar een hacker is binnengedrongen die misbruik maakt van de vrijere security-regels in het testnetwerk.

MDR ondersteunt ook partners

Naast NDR blijft MDR een cruciaal onderdeel van het security-portfolio van steeds meer organisaties, onderstreept Nielen. En daarin kan WatchGuard voor kanaal-partners steeds meer betekenen.

“Het dreigingslandschap groeit, het aantal security-specialisten groeit niet mee. Dit maakt het voor steeds meer organisaties steeds moeilijker om aan Detection & Response te doen. Wetgeving zoals NIS2 met de zorgplicht om datalekken te voorkomen, voegt hier urgentie aan toe. Hetzelfde geldt voor cyber-verzekeringen: steeds meer verzekeraars stellen het gebruik van MDR hiervoor als vereiste.”

Een stijgend aantal organisaties kiest er dan ook voor om hun SOC-dienstverlening uit te besteden, merkt Nielen. Maar steeds meer MSP’s, MSSP’s en andere partijen kunnen een SOC niet volledig zelf realiseren. Zelf een SOC opbouwen, als je daar al de mensen voor in dienst hebt, kost al gauw een jaar.

“Als een partner een MDR-oplossing van WatchGuard wil gaan leveren aan een klant, ondersteunen wij daarin zeer breed”, schetst Nielen. “We doen een stukje onboarding, houden een pre-sales gesprek, alles zodat een partner in een paar dagen up & running kan zijn. Wij nemen dan dit stukje security voor hen waar, zodat hun time to market zeer kort is. Als we maandag beginnen, kunnen we in theorie met een beetje hard werken op vrijdag klaar zijn.”

WatchGuard legt de nadruk op een sterke zero-trust aanpak, die sinds 2015 de basis vormt van hun netwerk- en endpointbeveiliging, evenals hun managed diensten. “Steeds meer klanten gebruiken deze diensten, wat ons waardevolle inzichten oplevert om de beveiliging continu te verbeteren en het risico tot een minimum te reduceren”, zegt Nielen. “Dit is essentieel voor een hoogwaardige MDR-ervaring. Waar mogelijk automatiseren wij onze MDR-oplossingen, waar nodig zetten we mensen in. Soms ziet het menselijke oog iets dat ontsnapt aan een geautomatiseerde detectie, of is er iemand aan de telefoon nodig die met een eindklant bespreekt wat voor response er moet komen. Daar zorgen we dan voor.”

Regelgeving, compliance

Ook op het gebied van regelgeving biedt WatchGuard meer tooling. Regelgeving, of het nou NIS2 of DORA is, dwingt af dat je met best practices op securitygebied werkt. Internationaal worden daar vaak cybersecurity-frameworks gehanteerd zoals NIST CSF of IEC62443, om te bepalen of cybersecurity op de juiste manier is ingericht, er niets over het hoofd is gezien. Zo kun je verifiëren of je compliant bent.

NIS2 is een E.U. ‘directive’ of richtlijn en als zodanig in feite al sinds 18 oktober van toepassing, al is de Nederlandse overheid nog bezig om dit om te zetten in de Cyberbeveiligingswet (Cbw). Zoiets als de meldplicht is dus al ingegaan, stelt Nielen. Er is nog geen duidelijkheid over hoe alles precies moet, maar in de tussentijd is het verstandig rekening te houden met eerdergenoemde frameworks - waar naar verwezen wordt in het wetsvoorstel. Zo wordt er in Nederland een link gelegd tussen de nationale vereisten en de ISO 27000-normen. Ook blijft de Wbni van kracht op de organisaties waarop deze van toepassing was totdat de Cbw ingaat.

“Aanvullend bieden we vanuit onze NDR- en MDR-oplossingen rapportage-opties specifiek voor ISO 27000 en het NIST-CyberSecurity Framework (CSF). Zie het als een toolkit of thermometer voor een organisatie die zelf de capaciteit heeft om goed en regelmatig uit te toetsen in hoeverre ze compliant zijn met deze frameworks en daarmee indirect een vinger aan de pols houden met betrekking tot de wetgeving. Dit is natuurlijk geen silver bullet, maar het kan zowel partners als klanten wel een heel eind helpen.”

Los daarvan, besluit Nielen: voor elke organisatie komt de security-lat steeds hoger te liggen. “Dat moeten we denk ik ook primair nastreven. Je security moet niet alleen op orde zijn om compliant te zijn, maar gewoon om jezelf en anderen te beschermen. Niet alleen in de zorg, niet alleen bij de overheid, maar om voor iedereen een veilige werkomgeving te realiseren.”