De laatste jaren stonden in het teken van verschillende grote security-incidenten. Denk bijvoorbeeld aan het vorig jaar door Kaspersky Lab onthulde Carbanak. Daarbij werden meer dan honderd banken in dertig landen het slachtoffer van Oost-Europese cybercriminelen die met behulp van malware tientallen miljoenen buitmaakten. Of aan Anthem, een Amerikaanse zorgverzekeraar waar maar liefst 80 miljoen gegevens van patiënten en werknemers zijn gelekt. Het aantal incidenten stijgt gestaag.
Volgens een recent rapport van PwC, The Global State of Information Security Survey 2016, is het aantal incidenten in 2015 met 38 procent gestegen ten opzichte van het jaar daarvoor. Dat is niet omdat de aandacht voor security aan het verslappen is. Integendeel: de budgetten voor security zijn volgens dezelfde enquête met 24 procent gestegen.
Het probleem is dat de mogelijkheden die cybercriminelen hebben om aan hun ‘vak’ te verdienen vrijwel onbeperkt zijn. Door de enorme opkomst van cloud computing, mobility, big data en IoT is het aantal platformen waar waardevolle gegevens doorheen worden gejaagd explosief toegenomen. Een zwakheid in één platform kan al voldoende zijn voor een kwaadwillende om een schat aan gegevens binnen te hengelen. Dat is niet het enige verdienmodel van cybercriminaliteit. Het gijzelen van informatie met zogenaamde ransomware is bijvoorbeeld zeer populair geworden. Dit alles heeft ervoor gezorgd dat de securitymarkt indrukwekkende groeicijfers laat zien. Marktonderzoek MarketAndMarkets heeft becijferd dat de wereldwijde cybersecuritymarkt in 2015 106 miljard dollar waard is. De schatting is dat dit in 2020 is gegroeid naar 170 miljard dollar.
Vier groeigebieden
Niet alle onderdelen van de security groeien even hard. Om succesvol te blijven, moeten security-leveranciers mee blijven gaan met de algemene trends die zich binnen de ICT voordoen. Volgens IDC gaat het met name om vier richtingen: Security Analytics en Security Information and Events Management (SIEM), Threat Intelligence, Mobile Security en Cloud Security. Vrijwel alle belangrijke leveranciers leveren een bijdrage aan meerdere van deze takken van sport, maar de nadruk en expertise ligt meestal op een specifiek onderdeel.
Security Analytics en SIEM
Met SIEM is het klassieke onderscheid tussen Security Information Management (SIM) en Security Event Management (SEM) definitief verleden tijd. Het concept hierbij is dat gegevens vanuit verschillende ICT-bronnen zoals clients, servers, het netwerk, maar bijvoorbeeld ook hardwaregebaseerde firewalls en UTM’s, bijelkaar worden genomen en in een centraal overzicht worden geplaatst. Deze worden vergeleken met een basisprofiel van een normaalwerkend systeem dat aan het begin is aangemaakt. Afwijkingen worden op basis van deze data opgemerkt en verder geanalyseerd. Security analytics gaat nog een stap verder, en betrekt ook gegevens bij de analyse die niet direct met security van doen hebben, zoals financiële transacties en HR-gegevens. Big data losgelaten op een securitypuzzel dus.
SIEM en vooral Security Analytics is een oplossing die vooral is voorbehouden aan grotere organisaties, al zorgt de opkomst van managed service providers dat ook middelgrote organisaties toegang krijgen tot SIEM-achtige diensten. Grote leveranciers van SIEM-oplossingen zijn LogRhythm, RSA Security, Intel Security (het vroegere McAfee) en IBM Security. Maar analytics wordt ook gerichter ingezet door specialisten als Blue Coat (voor het netwerk) of via technologiepartners, zoals Fortinet dat doet.
Threat Intelligence
Waar Security Analytics vooral gericht is op het gedrag binnen het netwerk, richt Threat Intelligence zich op wat dat netwerk mogelijk kan gaan bestoken. Threat Intelligence, of Cyber Threat Intelligence, komt neer op het bijhouden van wereldwijde gegevens. Dit gaat echter verder dan het bijhouden van een malwaredatabase of een register van ‘foute’ IP-adressen. Voordat de informatie wordt gedeeld met de klant en aanpassingen voor het netwerk worden gemaakt, zorgt Threat Intelligence ook voor een extra controle op inhoud en relevantie. Dit is belangrijk, want juist de ruis van inaccurate of irrelevante informatie rond dreigingen maakt dat organisaties de teugels laten vieren, met alle gevolgen van dien.
De ‘klassieke’ antiviruspartijen zetten ondertussen Threat Intelligence in voor hun oplossingen. Denk dus aan Symantec, Kaspersky, Trend Micro, ESET en G DATA. Maar ook partijen als Webroot en AlienVault zetten sterk in op Threat Intelligence.
Mobile
Mobiele platformen zijn aan een sterke opmars bezig, en het mag dan ook geen verrassing zijn dat cybercriminelen zich steeds meer richten op deze apparaten. Volgens G DATA zal Android binnen vijf jaar Windows verdrijven als het platform waar de meeste malware op is gericht. Wederom bieden de traditionele leveranciers dan ook bescherming tegen mobiele malware. Recent heeft F-Secure alle vormen van mobiele security geconsolideerd in F-Secure SAFE.
Maar mobiele security is vooral ook een kwestie van effectief beheer van mobiele apparaten, juist omdat organisaties minder controle hebben over hoe gebruikers hiermee omgaan. Voor specialisten als mITE Systems of MSP-leverancier LogicNow is het beheer van mobiele apparaten een hoeksteen van de business.
Cloud security
Maar geen van de eerdergenoemde security-onderdelen maakt zo’n groei door als Cloud Security. Kenmerkend voor cloud computing is dat gegevens vluchtiger worden en dat de eigenaar of verwerker van die gegevens niet weet waar deze staat. Dat brengt allerlei uitdagingen met zich mee op het gebied van compliancy, waardoor de vraag naar securityproducten voor cloud is geëxplodeerd. Leveranciers spelen hier dan ook goed op in. Voor partijen als F5 Networks en Gemalto is cloud een punt van core business geworden, en daarmee ook de beveiliging daarvan. Ook zijn er nieuwe spelers op de markt verschenen die zich specifiek op cloud security richten.
Security is dus een spel dat holistisch moet worden gespeeld, ook door de resellers. Een distributeur als Contec is zelfs helemaal gespecialiseerd in security. Maar waar het voor leveranciers de uitdaging is om mee te gaan en zelfs te anticiperen op nieuwe dreigingen, hebben resellers met nog een extra element te maken: bewustwording. De noodzaak voor security is pas duidelijk wanneer het misgaat, en in die zin is de verkoop ervan vergelijkbaar met die van een verzekering. Maar juist daarin kunnen resellers zich onderscheiden.
[Dit artikel is eerder gepubliceerd in ChannelConnect magazine nummer 2-2016]