Brian Schippers - Sophos: Samenwerking vergroot zichtbaarheid van je netwerk

“Ook wij hebben niet alles in huis voor een overkoepelende security-oplossing”, benadrukt Schippers. “Samenwerking op het gebied van managed risk en vulnerability assesment met Tenable, of eerder met Veeam op het gebied van secure backup, maakt ons MDR-aanbod veel breder. En daar profiteren zowel onze partners als hun klanten van.”

Bij Tenable gaat het onder meer om external attack surface management (EASM): het scannen van je netwerken en je domeinen van buitenaf om te kijken of er daar gevaren schuilen. Tenable levert dit als een product, maar als klant zul je dan zelf voor het scannen moet zorgen en er opvolging aan moet geven. Neem je het via Sophos MDR af, dan valt dat onder ‘managed risk’. Sophos verzorgt dan het scannen, levert een rapport met conclusies, en geeft adviezen over de zaken die de klant van de MSP of reseller moet opvolgen. “Ook bij directe nieuwe dreigingen, voeren we een scan uit bij onze Managed Risk klanten om zo pro-actief te kunnen handelen indien nodig.”

Extra beveiligingslaag

“Natuurlijk begint de basis van security met endpoint-oplossingen en firewalls”, weet Schippers. “Ik hoop dat 100 procent van alle organisaties zich hiervan inmiddels wel bewust is. Maar die extra beveiligingslaag om hackers met EASM buiten de deur te houden, is heel belangrijk. Die hacker kan eenvoudig van buitenaf kijken wat er bij een organisatie draait en of er iets is om misbruik van te maken.”

En dat ‘iets’ wordt vaak gevonden. Uit recent Sophos-onderzoek komt naar voren dat RDP (remote desktop protocol) nog steeds vaak open staat aan de buitenkant. Dat betekent dat ook een hacker via internet met een bedrijfsserver verbinding kan leggen via remote desktop.” Eigenlijk is dat een nog-go, er zouden bijna boetes op moeten staan. Alles dat wordt ingevoerd, is platte tekst. Heb je een ‘Man in the Middle’, dan kan die alle credentials zo lezen en misbruiken.”

Verder blijkt uit de studie dat kwetsbaarheden nog altijd een van de meest gebruikte methoden zijn voor hackers om binnen te komen. Een firewall die niet de laatste update heeft. Of een probleem bij iemands cloud-leverancier, want ook daar kan het misgaan. Schippers: “Dat soort zaken kunnen wij als Sophos aanduiden via Managed Risk. Dat is de extra, menselijke laag die we bovenop de Tenable-producten leggen met onze MDR-dienstverlening.”

Belang van samenwerking

Veel van de partners van Sophos zoeken ook deze extra beschermingslaag voor hun klanten, vervolgt Schippers. “Daarom vinden wij deze samenwerking zo belangrijk. We bieden onze MDR-diensten aan zodat je als eindklant of als MSP niet zelf een SOC/SIEM op hoeft te zetten, en dagelijks 40.000 logregels hoeft te analyseren. En nog belangrijker, er iets mee moet en kunt doen. En datzelfde geldt voor het opnemen van integraties in ons MDR-portfolio.” “We hebben een volwaardige marketplace, met integraties op diverse segmenten; endpoint, firewall, maar ook identity en e-mail, allen te koppelen aan onze MDR-dienst.”

Daarbij kan Sophos als mondiale vendor makkelijker de 24/7 dienstverlening aanbieden die bij MDR hoort, dankzij toepassing van het ‘follow the sun’-principe. Mensen zijn het meest efficiënt gedurende de dag, schetst Schippers. Door wereldwijd datacentra en SOC’s te hebben – onlangs ging een zevende SOC in Hawai open – kan Sophos 24/7 overlappend de meest optimale en efficiënte MDR-dienstverlening bieden.

Schippers: “Dat geldt dus ook voor de extra menselijke expertiselaag die we over de Tenable-producten heen leggen. We hebben hiervoor 600 medewerkers wereldwijd die van analyses een rapport met duidelijke conclusies, follow ups en adviezen maken. Elke maand bieden we een review aan van die rapporten, wat er uit te leren is, om te kijken hoe jouw security zich ontwikkelt. Visibiliteit is voor ons MDR-team dus essentieel.”

Secure backup

Op het gebied van backup levert Sophos deze vorm van dienstverlening al sinds vorig jaar aan. Want hoe goed je endpoint- en firewall bescherming ook is, er kan altijd wel ergens een endpoint zijn waar die bescherming niet op staat. Denk aan een connected device in een fabriek met een verouderd OS, of een stagiaire die zijn laptop in het netwerk hangt.

Via die route kan een hacker ook een backup besmetten of onbruikbaar maken. En elke security-leverancier kan het volgens Schippers beamen: als een hacker die route gebruikt, dan zie je dat met je preventietools niet. Vervolgens kan die hacker zaken gaan uitschakelen zoals MFA of een onoverschrijfbare backup, en dan aan de slag gaan.

Meer zichtbaarheid

“Via de samenwerking met Veeam krijgen wij ook al deze informatie en kunnen onze MDR-mensen er mee aan de slag”, vertelt Schippers. “Daarbij passen we het MITRE ATT&CK-raamwerk toe. Dat richt zich onder meer op technieken genoemd in “inhibit system recovery”. Door alarmsignalen zoals een reeks mislukte en gelukte pogingen om een backup te verwijderen tegen dit raamwerk aan te houden, kunnen onze MDR-mensen constateren of er sprake is van een aanval. Wij waarschuwen dan onmiddellijk onze IT-partner of de organisatie waar het om gaat.”

En, voegt Schippers toe: Sophos kan achterhalen waar een hacker bijvoorbeeld is binnen gekomen, om zo een volledig plaatje te leveren richting partner of klant wat er gebeurd is, en hoe dat kan worden voorkomen een volgende keer. “Die zichtbaarheid is key, ongeacht of het gaat om de binnenkant – zoals de backup-omgeving – of de buitenkant. En je hoeft echt niet alleen oplossingen van Sophos te gebruiken. Maar door het gebruik van onze integration blocks kunnen wij ook informatie van een firewall van vendor A of e-mail security van vendor B gebruiken, om zo de zichtbaarheid van een IT-omgeving te vergroten en zo daadkrachtiger te kunnen ingrijpen.”

Managed dienst

Sophos heeft steeds meer partners die haar MDR-aanbod als 24/7 managed dienst leveren aan hun klanten. Het is namelijk niet meer van deze tijd om buiten kantoortijden en in het weekeinde niet te monitoren. Maar zelfs al heeft men de mensen om 24/7 te monitoren, vaak hebben ze niet de capaciteit voor een stukje forensisch onderzoek. “Daar komt Sophos MDR om de hoek kijken. Wij leveren die analyse-, rapportage- en advies-capaciteit. En dat doen we natuurlijk ook voor wat betreft Managed Risk en Backup.”

Die rapporten zijn vanwege het ‘follow-the-sun’- principe wel in het Engels. Dit is waar MSP’s de Nederlandse schakel kunnen zijn tussen de MDR-dienstverlening van Sophos en hun klanten, benadrukt Schippers. “En om hen nog meer in de lead te zetten, gaan we onze MDR-dienstverlening ook als white label aanbieden. Zo kunnen MSP’s onze expertise onder hun eigen merknaam inzetten.”

Blinde vlek

Concluderend: met samenwerking zoals met Veeam en Tenable kan Sophos partners helpen om via haar MDR-dienstverlening aan de buitenzijde en voor de backup-omgeving aan de binnenkant zichtbaar te maken wat kwaadaardig verkeer is, maar ook slechts verdacht verkeer.

“Juist dat verdachte verkeer valt vaak niet op, het is vaak een blinde vlek. Met onze 600 mensen wereldwijd kunnen wij die blinde vlek zichtbaar maken. Via samenwerkingen zoals met Veeam en Tenable kunnen wij die blinde vlek verkleinen. Mijn vraag is dan ook: Heb je zelf inzichtelijk wat er allemaal bereikbaar is aan de buitenkant van je netwerk?”