Kaspersky Lab: IT-beveiliging is veel meer dan alleen bescherming tegen malware

Nieuw: Threat Management and Defense biedt meest uitgebreide beveiliging

Informatiebeveiliging bij grote organisaties in bijvoorbeeld de vitale infrastructuur, is een vak apart en vereist veel technische kennis. Reden voor Kaspersky Lab om voor die markt het geavanceerde platform Threat Management and Defense te ontwikkelen.

Threat Management and Defense is een totaalpakket, een bundeling van de krachten van een aantal losse producten, waaronder Kaspersky Anti Targeted Attack, Kaspersky Cybersecurity Services en Kaspersky EDR (Endpoint Detection and Response). “Het is zowel bij ons als in de markt nieuw”, vertelt Martijn van Lom, general manager van Kaspersky Lab Benelux. “Het moet dreigingen binnen bedrijfsnetwerken zichtbaar maken en de reactietijden te verkorten.”

Geavanceerder

Grote bedrijven in de financiële sector en de vitale infrastructuur, zoals gas-, olie- en nutsbedrijven, hebben voor een deel dezelfde cyberuitdagingen als het mkb, vertelt Van Lom. Maar er is ook een groot verschil met kleinere organisaties. “De complexiteit van het IT-landschap is uiteraard vele malen groter en grote ondernemingen hebben veelal meer privacygevoelige data in beheer. Voldoen aan wet- en regelgeving zoals de GDPR is van toepassing voor elk bedrijf, maar aantoonbaar bewijzen dat je gevoelige data goed beschermt, is voor grote organisaties echt een flinke klus.”

En juist in die markt slaan cybercriminelen vaak toe met heel geavanceerde aanvallen. Daar zitten doorgaans ook niet zomaar eenvoudige hackers achter, maar hackersgroepen en soms zelfs landen of overheidsregimes. Die maken geen gebruik van kant-en-klare standaard- aanvallen, weet Van Lom. Bedrijven moeten het opnemen tegen hackers en cybercriminelen die beschikken over aanzienlijke financiële middelen. En bovendien onvermoeibaar op zoek zijn naar kwetsbaarheden om misbruik van te maken. “Dergelijke bedreigingen worden steeds geavanceerder en moeilijker te begrijpen. Wij duiden dat vaak aan met de term ‘beyond malware’. Dat gaat een stap verder dan een ‘gewone aanval’ met ransomware.

Kaspersky heeft met Threat Management and Defense dus meerdere producten gecombineerd. “Door dit te combineren, krijg je een platform dat werkt met heel veel data. Als je iets vindt, kun je dit controleren door erop te klikken, en heb je een directe connectie met onze cloud waar de data staat. Zo krijg je heel snelle en betrouwbare informatie over of iets een dreiging is of niet. Door EDR (Endpoint Detection and Response) eraan toe te voegen, kun je het goed elimineren en de werkplek veilig te maken.”

Threat ManagementThreat Management and Defense is niet echt voor mkb-bedrijven weggelegd. “Het platform is veelomvattend en complex en vereist dat je zelf een aantal mensen hebt die een SOC (Security Operations Center, red.) kunnen beheren of dat uitbesteedt bij een IT-dienstverlener”, aldus Van Lom. De doelgroep voor Threat Management and Defense bestaat volgens hem uit banken, overheden en organisaties uit de vitale infrastructuur, maar ook andere organisaties die hun naam of imago hoog hebben te houden.

Binnendringen

Soms maken cybercriminelen ook gebruik van bijvoorbeeld een algemene applicatie, zoals boekhoudsoftware, om via de software in heel veel andere organisaties binnen te dringen. “Dan wordt software die je implementeert gebruikt om jouw organisatie van binnenuit aan te vallen. Daarvoor moet je echt geavanceerde beveiliging hebben”, aldus Van Lom.

Uit onderzoek blijkt dat het maanden kan duren voordat wordt opgemerkt dat hackers in een netwerk zijn binnengedrongen. 48 procent van de IT-beveiligingsteams van grote ondernemingen vermoedt dat hun organisatie al is gehackt, zonder dat dit is opgemerkt. Dat komt onder meer omdat ze vaak eerst alleen in het netwerk observeren en onderzoeken. “Soms lukt het criminelen al een jaar ergens binnen in een netwerk te zitten, voordat ze echt toeslaan. In de tussentijd observeren ze wat er gebeurt en welke tools en inlogs nodig zijn om bepaalde overschrijvingen te kunnen verrichten.” Het ontdekken van indringers op je netwerk is dus voor veel organisaties ingewikkeld. Zeker als ze de log- bestanden niet goed op orde hebben, zegt Van Lom. “Dan kun je bepaalde activiteiten namelijk niet goed herleiden. Je wilt natuurlijk weten waar iemand is binnengekomen, via welke systemen en op welke manier.” Bij Threat Management and Defense wordt nauwkeurige detectie bereikt door de toepassing van technologieën en mogelijkheden zoals dreigings- analyses en correlatie-algoritmen volgens machine learning, geavanceerde sandbox-technologie en analyse van netwerkverkeer.

Opsporing en aangifte

Threat management and Defense moet ook de kwaliteit van het onderzoek naar een indringer op het netwerk verhogen. Dat onderzoek kan beter zijn omdat de gebruiker met Threat Management and Defense beschikt over veel meer data dan met afzonderlijke beveiligingsproducten alleen. “Ik adviseer ook vaak om log-bestanden van de vaste telefoon na te trekken, want vaak begint een aanval met een simpel telefoontje waarna bijvoorbeeld een mail wordt verstuurd. Als je een mail ontvangt na een telefoontje, dan open je ’m namelijk veel gemakkelijker zonder argwaan. Dus die log-bestanden zijn heel belangrijk. En met deze nieuwe oplossing heb je die data veel sneller bij de hand. Dat is niet alleen handiger bij de opsporing, maar ook bij de aangifte”, vertelt Van Lom.

‘Geavanceerde aanvallen duiden wij aan met de term ‘beyond malware’

Samenwerking met AFKC

Distributeur AFKC brengt Kaspersky Labs Threat Management and Defense op de markt. Dit bedrijf heeft met name in Italië al veel zaken gedaan met Kaspersky Lab. Recent heeft AFKC een vestiging in Utrecht geopend. Dat is vlakbij het kantoor van Kaspersky Labs, dus lag samenwerken hier ook voor de hand. Threat Management and Defense wordt exclusief door AFKC aangeboden, vertelt Van Lom. Hij is erg te spreken over de samenwerking. “We hebben daarin een soort joint-venture met hen. Simpelweg omdat ze meer specialistische kennis hebben dan andere partijen. AFKC staat direct in contact met onze R&D want het gaat verder dan even een applicatie installeren.”

Threat Management and Defense is geen eenvoudig te installeren oplossing. Het moet drie maanden proef draaien om het netwerk te leren kennen. Het hele traject duurt daarom langer dan bij ‘gewone’ endpointoplossingen. De kennis en expertise van de distributeur is ook nodig om de resellers te begeleiden bij dit product. Niet alle resellers zullen dit gaan aanbieden, verwacht Van Lom. “SLTN en WebLimits doen bijvoorbeeld wel veel zaken met organisaties waar dit een ideale oplossing voor is.

[Dit artikel is eerder gepubliceerd in ChannelConnect magazine nummer 2-2018]

Lees het artikel hier in PDF