SourceFire en Stealthwatch – Better Together

We kennen het allemaal wel. Op een zeker moment is het ineens weg: die nieuwe fiets of die mooie LCD-tv. Diefstal bestaat als sinds de oudheid en kent vele vormen. Van een wisseltruc tot verfijnde diefstal en een agressieve vorm.

Diefstal in het digitale tijdperk

Ook in het digitale tijdperk gebeurt dit nog dagelijks. In tegenstelling tot vroeger waar ineens de 50” LCD-tv ontbrak aan de muur, merken we het nu niet direct of helemaal niet wanneer we bestolen zijn. Bij diefstal van data merken we veelal pas na een heel lange tijd (een jaar of langer) of zelfs nooit dat we bestolen zijn. De grote uitzondering hierop is natuurlijk de Cryptolockers (ransomware) waarbij data versleuteld wordt waardoor deze niet meer toegankelijk is voor de eigenaar. Slechts tegen betaling van de ransom wordt de data weer teruggegeven. Veel mensen denken dat dit een aantal whizzkids zijn die vanaf een zolder proberen een paar euro’s te verdienen, maar de werkelijkheid is dat dit georganiseerde criminelen zijn in een miljardenindustrie. Het merendeel van de doelgroep is selectief gekozen en wordt doelgericht aangevallen.

Een opmerkelijk feit is dat de klantenservice van deze criminelen veelal veel verder gaat dan de reguliere bedrijven. Zo bieden zij een persoonlijke klantenservice door middel van een chat waarbij zij de slachtoffers helpen met het betalen van de ransom. Uit ervaring kan ik spreken dat veel bedrijven nog een voorbeeld kunnen nemen aan deze klantgerichtheid (ondanks dat dit natuurlijk ergens te zot voor woorden is).

Mijn persoonlijke mening is dat betalen nooit de juiste oplossing is omdat er meerdere verhalen bekend zijn waar ondanks de betaling de data versleuteld blijft. Daarnaast komen betalende slachtoffers op een lijst te staan van ‘te chanteren slachtoffers’ waardoor de kans op herhaling vergroot wordt.

Meldplicht datalekken

Sinds 1 januari van dit jaar is de wet ‘meldplicht datalekken’actief geworden. Er is al voldoende over deze regelgeving geschreven, maar in het kort betekent het dat wanneer data mogelijk gelekt is of wanneer data verloren is gegaan en de data opnieuw opgehaald moet worden (denk hierbij aan een hypotheekadviseur die opnieuw een jaaropgave moet opvragen bij de klant), dit gemeld moet worden bij de Autoriteit Persoonsgegevens. Een belangrijk onderdeel van deze procedures is ‘encryptie’ en de voorzorgsmaatregelen die getroffen zijn om een potentieel datalek te voorkomen. De boetes voor overtredingen zijn substantieel waarbij de achterliggende gedachte blijft: wat heeft u er aan gedaan om dataverlies tegen te gaan?

Maar waar wanneer doe je het nu goed? Het antwoord is voor iedere organisatie en iedere situatie anders. Voor een kleine ondernemer met een beperkte omzet kunnen andere regels gelden dan voor een multinational. Een ding hebben ze allemaal wel gemeen, ze moeten er op redelijke wijze alles aan doen wat mogelijk is. Een voorbeeld wat ik zelf altijd gebruik is een stateful firewall van tien jaar oud. Dit mag dan op zich wel een goede firewall zijn, maar door het ontbreken van applicatie awareness en een up-to-date IPS-engine, biedt deze firewall slechts beperkte functionaliteit tegen het detecteren van potentiële datalekken (waarbij het niet uitmaakt of data verloren gaat door een hack of door malware).

Cisco kent vele security-oplossingen en staat inmiddels ook bekend als een securitybedrijf. In alles wat wij doen, denken we na over beveiliging. Specifiek wil ik graag twee oplossingen uitlichten en nader bespreken. Temeer dat het niet voor iedereen duidelijk is wat nu de verschillen tussen beide oplossingen zijn.

Cisco SourceFire

Ik denk dat Cisco met de SourceFire Firewalls één van de beste oplossingen heeft die op de markt verkrijgbaar zijn. In tegenstelling tot veel van onze concullega’s focussen wij ons niet alleen op het voorkomen van een hack of besmetting, maar zijn we ook bezig met het detecteren en verhelpen daarvan (het welbekende ‘Before, During en After-verhaal’).

SourceFire en Stealthwatch

Met onze ‘Continuous analysis and retrospective security’ houden we bij wie welke bestanden geopend heeft en of deze bestanden op dat moment schoon zijn of niet. Mocht in de toekomst blijken dat de bestanden toch niet schoon waren op dat moment, dan is in één oogopslag duidelijk wie de bron van de besmetting is en wie allemaal dit specifieke bestand heeft geopend. Met behulp van de AMP for Clients agent kan zelfs een clean-up gedaan worden die de besmetting ongedaan maakt.

Gemiddeld duurt het ongeveer 100 dagen voordat een besmetting gedetecteerd is. Met behulp van SourceFire kunnen we tijd reduceren tot minder dan een dag.

Cisco Stealthwatch

En nu Cisco Stealthwatch. Met Stealthwatch inspecteren we al het netwerkverkeer op kwaadaardigheden zoals spyware, malware en alle overige malafide zaken. We kunnen dus zien wie wat gedaan heeft op het netwerk. Maar deden we dat met SourceFire ook al niet?

Ja en nee… Met SourceFire kijken we naar bestanden terwijl we ons bij Stealthwatch op flows oriënteren (de flow-gegevens worden bewaard, niet de data in de flows). Met deze verschillen zijn de oplossingen ook direct complementair aan elkaar geworden.

Maar als we de gehele flow inspecteren, geeft ons dat nog meer mogelijkheden. We weten dan immers ook de source, destination en de hoeveelheid data. Wanneer we een trigger plaatsen die een notificatie geeft bij afwijkingen van de baseline, kunnen we ook inzichtelijk krijgen wanneer er bijvoorbeeld grote hoeveelheden data gekopieerd wordt. Deze toepassing biedt uitkomst in situaties waarin bedrijven willen voorkomen dat interne of externe medewerkers aan de haal gaan met data. Het meest voorkomende voorbeeld van een dergelijk scenario is wanneer een medewerker besluit om het bedrijf te verlaten, maar voordien wel alle belangrijke data kopieert naar een USB of cloud drive.

Ik verwacht dat het marktaandeel van Stealthwatch een enorme vlucht zal nemen. Enerzijds vanwege de aangescherpte regelgeving die bedrijven dwingt om serieus na te denken over het verbeteren van beveiliging. Daarnaast zien we dat de data uit het netwerk steeds belangrijker wordt voor bedrijven om sneller aan te passen op veranderingen in de markt.

Better together

Laat een reactie achter