‘Proactief’ en ‘24/7’ zijn volgens Sophos de sleutel

De gesprekken met klanten zijn compleet anders dan een paar jaar geleden, zo merkt Brian Schippers (foto), manager sales engineering bij Sophos. “Vroeger ging je erheen en verkocht je een endpoint-oplossing, een firewall of een ander product. Nu is dat heel anders, zo merk ik duidelijk. Klanten vragen ons om onze visie op cybersecurity. Ze willen aan de hand genomen worden. Ik zie dat bij zowel nieuwe als bestaande klanten. Voor dat soort gesprekken komen we altijd graag langs.”

Volgende stap

Schippers geeft een voorbeeld van hoe die gesprekken verlopen. “Ik was deze week bij een groot logistiek bedrijf. Ik vroeg hoe het IT-deel van de organisatie eruit ziet. Een klein IT-team bleek verantwoordelijk voor ruim 500 werkplekken. De IT’ers werken van 9 tot 5, met beschikbaarheidsdiensten voor het geval dat er buiten die uren iets misgaat. Het bedrijf overwoog om te investeren in een eigen SIEM- of EDR-oplossing. Ik vroeg hoe ze dat met hun kleine team voor zich zagen.”

Want dat soort keuzes worden vaak onderschat, zo merkt hij. “Veel bedrijven willen op securitygebied de volgende stap zetten. Ze denken aan het investeren in een SIEM-, een EDR- of een XDR-oplossing. Maar ze vergeten dat je dan een volledige toolset afneemt. Het is geen vakje dat je even afvinkt om daarna over te gaan tot de orde van de dag.”

Niet wachten op alarmbellen

Hij trekt de vergelijking met fysieke beveiliging. “Het logistieke bedrijf waar ik het net over had, zat in een prachtig nieuw pand met hekken om de parkeerplaats, een slagboom en overal camera’s. Ik vroeg of de camerabeelden ’s nachts door een extern bedrijf in de gaten worden gehouden, die langs gaan als ze iets zien dat mogelijk verdacht is. Dat bleek inderdaad zo te zijn. Toen vroeg ik om dat te vertalen naar een IT-oplossing. Dan kom je namelijk bij MDR (Managed Detection and Response, red.) uit. Je krijgt er een virtuele medewerker bij die van een afstand meekijkt of er iets verdachts op het netwerk gebeurt en die proactief kan reageren als dat zo is.”

De sleutel zit in het woordje ‘proactief’. Het is namelijk niet verstandig om reactief te wachten op alarmbellen die afgaan, zo verduidelijkt Schippers. “De vijand breekt niet in, maar logt in. Een hacker wil namelijk helemaal niet dat de alarmbellen afgaan. Het begint vaak met iemand die op een foute link klikt en vervolgens kan een hacker een gebruikersnaam en wachtwoord ontfutselen, waarmee hij of zij geruisloos kan inloggen. Als je dat wilt bestrijden heb je iets anders nodig dan netwerk- of systeembeheerders. Je hebt threat-analisten nodig en 24/7 bescherming. Net zoals je je pand 24/7 beschermt.”

Achtuurjournaal

Voor een goede MDR-oplossing moet je budget vrijmaken en niet elke klant is daartoe bereid. “Maar reken eens uit wat het kost om het zelf te doen. Om het goed aan te pakken, moet je al snel een stuk of acht threathunters en -analisten aannemen. Los van de kosten, ga je die mensen als grote MKB-organisatie gewoon niet vinden. Wij hebben wereldwijd meer dan 600 mensen in dienst die je kunnen helpen. Dankzij een third-party integratieplatform, waarbij het voor ons niet uitmaakt van welke vendor de firewall of de e-mail-oplossing zijn, brengen wij alles in zicht. ‘Vendor agnostic’ zijn is voor ons en voor onze klanten zeer belangrijk. We nemen ook de Office 365-omgeving mee. Via onze MSP’s kun je dat platform ook maandelijks afnemen, waardoor je geen grote investering vooraf hoeft te doen.”

“Ik merk dat die gesprekken over MDR steeds soepeler verlopen”, zegt hij. “Het achtuurjournaal helpt wel. Doordat het vaak misgaat, ontstaat er bewustwording. Managers beseffen steeds vaker dat het niet de vraag is óf je ooit een keer aan de beurt bent, maar wanneer. Als je je securityplatform naar een hoger niveau wil tillen, dan moet je niet alleen denken aan een nieuwe firewall of endpoint, maar dan moet je iets proactiefs en 24/7 gaan doen.”

Opvallend veel vraag

Sophos heeft daarnaast ook nog gewoon een breed portfolio met losse oplossingen. Eén daarvan zit in Sophos Endpoint: Remote Ransomware protectie. Schippers: “Eén onbeschermde machine is voor een hacker genoeg om binnen te komen en vrij spel te hebben. Vanaf daar kan hij data van andere machines halen, encrypten en weer terugplaatsen. De beschermingssoftware van merk A, B of C die op die andere machines staat, ziet niets geks gebeuren, omdat die alleen lokaal kijkt. Onze Endpoint met Remote Ransomware protectie constateert wél dat bestanden worden versleuteld. Wij kijken namelijk niet alleen naar de lokale machine, maar ook naar de bestanden.”

Schippers merkt daarnaast dat er de laatste tijd opvallend veel vraag is naar de oplossing Cloud Optix. “Daarmee monitor je jouw cloudomgeving van bovenaf op het gebied van compliancy. Het maakt niet uit of dat een Azure-, een Amazon- of een Google-omgeving is. We checken of jouw cloud voldoet aan richtlijnen zoals de CIS benchmark of ISO27001. Vaak is het zo dat meerdere beheerders toegang hebben tot een cloudomgeving. Als IT-manager heb je vaak niet het overzicht van wat er allemaal in jouw cloud gebeurt, terwijl je wel verantwoordelijk bent voor de security. Als één persoon iets fout doet, kan dat een aanvalsmogelijkheid zijn voor een hacker. Wij kijken 24/7 mee en als we iets zien gebeuren, dan pakken we dat op. We krijgen vooral het laatste half jaar veel aanvragen voor deze oplossing. Misschien komt het door NIS2.”

Iedereen trainen

Tot slot benoemt Schippers user awareness, want dat blijft een hot topic. “Onze oplossing Phish Threat is erg populair. Daarmee kunnen organisaties phishing-campagnes draaien om het klikgedrag van hun medewerkers te bekijken. Wij sturen vanuit ons platform fictieve phishing-mailtjes. Als medewerkers op een verkeerde link klikken, krijgen ze een training aangeboden om meer awareness te creëren. Hackers zijn niet achterlijk: ze richten zich heel bewust op bepaalde personen in een organisatie. Het is daarom heel belangrijk dat iedereen daarin getraind wordt.”