“Ze nemen tegenwoordig de tijd om hun slachtoffer van tevoren goed te bestuderen”, vertelt Ronald Pool, security specialist bij CrowdStrike. “Gevolg is dat de succeskansen van een aanval toenemen. Het offensief is tegenwoordig gewiekster. We zien een groei met zestig procent van hands-on-keyboard aanvallen.”
Pool ziet het vrijwel dagelijks gebeuren: een crimineel die via een achterdeur is binnengekomen en vervolgens van achter zijn toetsenbord op zoek gaat naar compromitterende data, of gewoon de boel kopieert, downloadt en versleutelt zodat de rechtmatige eigenaren er niet meer bij kunnen. Ransomware is de gesel van deze tijd. “Met de gijzelsoftware verdienen de criminelen bijzonder veel geld”, weet Pool. “En als een echt bedrijf wordt dat geïnvesteerd in nieuwe en betere gereedschappen om hun volgende aanvallen nog beter te kunnen uitvoeren. Het is gewoon big business.”
Natuurlijk zijn er ook digitale binnendringers die alleen maar op zoek zijn naar staats- of bedrijfsgeheimen. “Dit krijgt minder aandacht en is vaak nog veel gewiekster, waardoor ze in sommige gevallen lange tijd binnen zijn zonder dat iemand het opmerkt. Het wordt overigens niet minder, maar ja, spionage bestaat al eeuwen. We hebben het dan over de gebruikelijke verdachten, de vijanden van het Westen: Noord-Korea, Rusland en China.”
Met e-crime ligt het anders; dat is gewoon een bedrijfstak geworden. “Je ziet dat er specialismen zijn ontstaan. Zo zijn er boeven die zich hebben bekwaamd in het illegaal toegang verkrijgen. Die onderhandelen vervolgens over het weer vrijgeven van inlog-gegevens.”
Geen dag stil
“We zitten geen dag stil”, antwoordt Pool op de vraag hoe CrowdStrike de aanvallers teweer staat. “Maar we pakken het wel anders aan dan voorheen. Geen blacklisting en dergelijke, maar een intelligente aanpak. Wij kruipen in de huid van de hackers. Wij bedenken wat hun volgende stap kan zijn om vervolgens proactief verweer te bieden. Wij stellen bepaalde gedragingen vast en maken dan regels voor het geval iets dergelijks in de werkelijkheid gebeurt. Daar zijn we blijkbaar erg goed in. Het is voorgekomen dat wij een bepaald soort aanval voorzagen, daar een antwoord op formuleerden en dat die attack pas twee jaar later in het echt is gesignaleerd. Het is een aanpak die werkt en we gaan daar dan ook zeker mee door.”
Eraan toevoegend dat je nooit honderd procent garantie kunt geven. “Wij nemen het op tegen mensen, en die zijn creatief. Je kunt nooit alles voorzien.”
Sensoren
CrowdStrike, onder meer bekend van zijn cloudgebaseerd XDR-platform Falcon, verzamelt alle relevante gegevens van klanten wereldwijd. Dat zijn er rond de 1300 en levert tientallen miljoenen sensoren op die informatie doorgeven.
“Daarbij zijn wij echt gericht op het achterhalen van (afwijkende) gedragingen op de endpoints”, verklaart Pool. “Wij hebben het geld om een gedegen antwoord te formuleren, en we hebben de data om die te onderbouwen. Natuurlijk gebruiken onze oplossingen kunstmatige intelligentie en machine learning. Daarbij automatiseren wij zo veel mogelijk.”
Was het voorheen afdoende om een netwerk of apparaat te beschermen, tegenwoordig gaat het om een heel ecosysteem van bedrijfsnetwerk, WAN, endpoints, mobieltjes, cloud en in toenemende mate edge. “Daarom bieden wij één platform om een integrale verdediging te hebben. Alles is op elkaar afgestemd, zodat er niks tussendoor kan glippen.”
Correlaties
Veel klanten van CrowdStrike (eerder partners, overigens) zijn managed security service providers (MSSP’s). Naast de vele bedrijven die zelfstandig met het Falcon-platform werken, zoals het AMG-Mercedes Petronas Formule 1 team (met Lewis Hamilton als regerend wereldkampioen), Rackspace en Goldman Sachs.
“Wij leveren MSSP’s de tooling die zij gebruiken in hun security operations center. Daarbij houden ze bijvoorbeeld ook de dochterbedrijven van holdings die internationaal opereren goed in de gaten. Op elk vlak trouwens, niet alleen de endpoints. Ze gebruiken niet alleen ons XDR-platform, maar ook tal van andere security-diensten die we hebben ontwikkeld.”
Pool doelt daarmee onder meer op overname van Humio in februari van dit jaar. Humio is de maker van het Humio live-observatieplatform dat gegevensaggregatie, verkenning, rapportage en analyse uit een reeks van bronnen mogelijk maakt. De speciaal gebouwde logging tool beschikt over innovatieve dataopslag en in-memory zoek/query engine technologieën. “Daarmee kunnen wij correlaties zien tussen dingen die op verschillende plekken gebeuren. Als pionier in de cyberbeveiligingsindustrie combineren wij endpoint events met netwerkzichtbaarheid, account- en identiteitsinzichten, en massale telemetrie van alle workloads, ongeacht waar ze zich bevinden - op locatie, in de cloud of zelfs ingezet in een container. Humio's vermogen om zowel ongestructureerde als semigestructureerde data op te nemen en te analyseren zal de manier waarop het CrowdStrike-platform IT-uitdagingen van ondernemingen aanpakt verbeteren, inclusief die binnen de steeds geavanceerdere DevOps- en DevSecOps-omgevingen.”
Vele verticals
Pool had al een paar klanten genoemd. Hij benadrukt dat het Falcon-platform wordt gebruikt door een dwarsdoorsnede van alle organisaties. Van hotel (Hyatt), via lokale overheid (de stad San Diego) tot aan een fabrikant van luxegoederen en kristalbewerking (het Oostenrijkse Swarowski).
“Wij zijn vertegenwoordigd in vele verticals. Het mooie daarvan is dat wij daardoor een schat aan informatie verzamelen via de tientallen miljoenen sensoren. Elke organisatie heeft te maken met unieke bedreigingen en risiconiveaus die afhangen van de waarde die hun gegevens voor aanvallers vertegenwoordigen. Kleine bedrijven met beperkte middelen staan vaak voor grotere beveiligingsuitdagingen, terwijl grote organisaties op alle fronten met enorme beveiligingsoverwegingen te maken hebben. Wij bedienen ze allemaal, rechtstreeks of via onze partners”, zegt Pool.
Auteur: Teus Molenaar
