Bij security komen vaak begrippen langs als ‘defensief’, ‘reactief’ of ‘proactief’. Ingram Micro maakt met zijn terminologie echter heel duidelijk hoe zij security zien. “We zijn heel druk bezig geweest om handen en voeten te geven aan een portfolio voor offensive security”, zegt Verburg. “Ondertussen zijn we heel erg gegroeid op het gebied van ethical hacking. We hebben een grote reikwijdte en bieden het aan resellers in heel Europa.” De reden daarvoor is erg simpel: de vraag naar dit soort securitytests nemen sterk toe, maar partners missen vaak de middelen en mankracht om deze helemaal op eigen houtje uit te voeren. “Eindklanten hebben zulke diensten nodig, steeds vaker vanuit het oogpunt van compliance. Het moet echt onderdeel zijn van de RFP, en resellers spelen daar graag op in. Daarom hebben wij de diensten hiervoor klaarstaan, als whitelabel.”
Band opbouwen met eindklant
In de levering van de diensten is Ingram Micro erg flexibel. De penetratietesten worden aangeboden als eenmalige dienst, voor zowel eindklanten als voor de reseller zelf, en als sales met marge, zo zegt Verburg. “Tegelijkertijd biedt het uitvoeren van pentesten en assessments de mogelijkheid om de band met de eindklant op te bouwen. Je hebt het wel over de vuile was, en dat vraagt om vertrouwen.” De risico’s van de klant moeten daarom worden opgevolgd, iets wat Ingram Micro ook echt doet. Ze bieden altijd advies aan over wat vervolgens moet gebeuren om de kwetsbaarheden te verhelpen. “Dat genereert op zijn beurt weer business, voor onszelf of voor de partner die het project verder kan oppakken. Dit kun je echt zien als cross- en upsell.” Offensive security creëert volgens hem ook terugkerend inkomen. “Je test iets, en dat heeft een uitkomst dat om een oplossing of reparatie vraagt”, zegt Verburg. “Maar vervolgens moet je opnieuw een test uitvoeren om te kijken of de ingrepen hebben geholpen of niet. Sommige klanten vragen soms om vier van zulke assessments voor hun website per jaar.” Logisch, want omgevingen veranderen erg snel. “Data op locatie, data in de cloud, het is allemaal heel dynamisch. Wat ooit is ontwikkeld als one-off is nu recurring geworden.”
Je moet uitgaan van zero trust: alleen medewerkers die echt toegang nodig hebben, krijgen het
Alle middelen in handen
Penetratietesting is slechts één aspect van het offensive security-concept van Ingram Micro. “Het is een compleet dienstenportfolio waarbij je als partner zelf kiest wat je aanbiedt”, legt Verburg uit. “We bieden bijvoorbeeld ook een assessment voor webapplicaties. Dit is de paraplu, en uiteindelijk is de aanval de beste verdediging. Daarom dat het zo heet.” Een belangrijk aspect daarbij is ook dat ieder rapport wordt vergezeld door advies, waar de partner zelf mee uit de voeten kan. De partner houdt de controle over hoe het op te lossen, maar ze hebben wel alle middelen in handen, aldus Verburg.
We zijn erg gegroeid op het gebied van ethical hacking
Daarnaast heeft Ingram Micro een lead generation tool ontwikkeld. “Het heet Eyesight, waarmee we met een soort vergrootglas het internet afstruinen voor informatie over een internetdomein van het bedrijf”, legt Verburg uit. “De dienst is helemaal gratis en geautomatiseerd. Je geeft aan een rapport te willen, waarvoor we alleen een full qualified domeinnaam nodig hebben. Binnen twee tot drie minuten hebben we een rapport van 20 tot 30 pagina’s, met informatie over het bedrijf. Allemaal informatie die daar te vinden is, voor soms honderden e-mailadressen. De mensen waarvan het mailadres corrupt is, komen voor in dat rapport.”
Zulke rapporten maken een gesprek los tussen partner en eindklant, zo zegt Verburg. “Dat gesprek is noodzakelijk. Het is om te beginnen laagdrempelig: alles wat in het rapport staat, weet een hacker ook. Ze weten waar de beveiliging zit, en waar ze een kans maken.” Dat geeft volgens Verburg aanleiding om dingen te adresseren, bijvoorbeeld e-mailadressen die in een dienst als Have I Been Pwned terecht is gekomen als gehackt zijnde. “Je kunt dan bijvoorbeeld bespreken hoe de e-mail beveiligd is en daar voorstellen voor doen. Er ontstaan allerlei invalshoeken om iets dat heel complex is inzichtelijk te maken.” Partners krijgen zo de mogelijkheid om zowel nieuwe klanten te werven, als bestaande klanten beter van dienst te zijn, zo is de gedachte.
Het uitvoeren van pentesten en assessments biedt de mogelijkheid om de band met de eindklant op te bouwen
Hard van buiten, zacht van binnen
“Websites en webapplicaties zijn kwetsbaarder dan we denken”, stelt Verburg. “Al te vaak kunnen we toegang tot systemen krijgen via de website, want ze hebben een verbinding met een achterliggende database. Denk aan een webwinkel, of websites met urenregistraties. Zo kun je als hacker via de websites bij allerlei soorten data komen.” Het verbaast Verburg ook dat veel ICT-omgevingen zijn opgezet als wat Verburg een ‘bastion’ noemt. De maatregelen om criminelen buiten te houden zijn dan zeer uitgebreid. “Maar als ze eenmaal binnen zijn, kunnen ze doen wat ze willen.” Uit de door Ingram Micro uitgevoerde penetratietesten blijkt bijvoorbeeld dat interne fileservers, de active directory en de cloudservers op deze manier benaderbaar zijn. “Het is een harde noot van buiten, maar zacht van binnen. Meestal is dat zo omdat het bruikbaar en toegankelijk moet zijn voor medewerkers, maar dat neemt niet weg dat je eigenlijk moet uitgaan van zero trust.” Alleen de mensen die echt toegang tot iets moeten hebben, krijgen die toegang, maar ieder ander moet worden buitengesloten. “En dat soort dingen maak je als partner dankzij onze dienstverlening kenbaar.”
Ondertussen is het team van Verburg uitgegroeid tot een tiental medewerkers die verantwoordelijk zijn voor de Benelux. “Maar we werken ook nauw samen met de teams van daarbuiten, zodat we de juiste data krijgen waar we ook echt op kunnen reageren.”
[Dit artikel is eerder gepubliceerd in Security & Privacy Dossier 2021]