Compliancy start met inzicht

“Compliancy”. Het nakomen van wet- en regelgeving waarbij zaken als beleid, rapportage en auditen erg van belang zijn. GDPR/AVG, PCI, etc. Met name die eerste heeft ondernemingen aangezet een herevaluatie te doen van hun zogenaamde security posture. Dat is alleen mogelijk wanneer er sprake is van voldoende inzicht en monitoring. Als u iets onderneemt en doelen stelt, moet u goed nadenken waar u vandaan vertrekt, uw startpunt, om hetgeen te bereiken waar u uiteindelijk heen wilt. Wat is er goed en moet blijven, wat niet en wat moeten we dus anders doen om uiteindelijk daar te komen waar we willen zijn. Zo ook in de IT-security. U heeft een goed beeld nodig van uw huidige “security posture”, infrastructuur, huidige beleid en maatregelen, oplossingen etc. U hebt dus goed inzicht nodig in uw huidige IT-infrastructuur om de impact van mogelijke aanpassingen te kunnen inschatten voor verandering en constateren na de aanpassing.

Wij allen kunnen voorbeelden noemen van klanten waar door de loop van de jaren het inzicht in de infra is vertroebeld door bijvoorbeeld uitbreidingen en aanpassingen in de infrastructuur die niet of slecht gedocumenteerd zijn. IP-Management en Assetmanagement in Excel, lijstjes niet bijgehouden, applicatie management en patch history is er meestal niet etc.

Dus een goed idee is altijd om goed inzicht te krijgen en te houden van uw hele infrastructuur, maar dat is wellicht niet voor iedere onderneming weggelegd. Geld speelt immers een rol. In dat geval kan u een baseline maken m.b.t. dat stukje infra wat u gaat aanpakken. De klant moet immers prioriteiten stellen en wij als IT-partners helpen daar graag bij natuurlijk.

Bijvoorbeeld, als het doel is de endpoints up-to-date te hebben en te houden en vroegtijdig kwetsbaarheden in het OS en applicaties te herkennen en veranderingen te monitoren, dan moet u echt weten wat de huidige stand van zaken is van alle endpoints.

• Stukje assetmanagement. Hoeveel machines zijn er überhaupt in de infrastructuur? Model, type, hardware eigenschappen etc.?
• Welk OS draaien ze en welke applicaties staan er nu op? En zijn dat wel applicaties die u wilt zien op de endpoints? Uiteraard moet er beleid worden opgemaakt waar dit in meegenomen wordt, als dat er nog niet was.
• Welke netwerkpoorten staan er eventueel open?

Een ander doel zou kunnen zijn om de toegang van apparaten op het netwerk te monitoren of zelfs te regelen. Inzicht is dan een vereiste om zo het onderscheid te maken tussen een asset van de onderneming, asset medewerker en wellicht ongewenste, roque, machines. Veel leveranciers voegen producten en features toe aan hun portfolio’s om dergelijke oplossingen te kunnen bieden aan de klant om dat inzicht te kunnen bieden. En er zijn enkele leveranciers waar dat hun core product is. Als we denken aan features en producten denken we aan termen als:

• (Network) Asset Discovery & Management
• Network Vulnerability scanning
• Application Vulnerability
• Web Application Vulnerability scanning
• Pathmanagement

	Guardian360 is een vendor die zich volledig focust op constante vulnerability scanning en compliancy van netwerkapparatuur, endpoints en webapplicaties in een Security-as-a-Service model. Constant, dus niet één keer even de temperatuur meten van de organisatie op een specifiek moment. Nee. Herhaaldelijk zodat er een volledig beeld ontstaat en ook het monitoren van compliance mogelijk is over een langere periode. Makkelijk uit te rollen door een “probe” te plaatsen in de infrastructuur van de klant waarvan diverse scanners worden geactiveerd, gegevens en resultaten worden verzameld en op een management portal worden weergegeven en waar rapportage en eventueel compliance alarmen worden gegenereerd. Het model van Guardian360 maakt Vulnerability Scanning erg laagdrempelig en dus nu ook toepasbaar voor MKB-klanten waar dit soort oplossingen vooral voor de grotere ondernemingen waren weggelegd. Die tijd is dus voorbij. Wat Guardian360 niet doet is “response and remediation”. Zij leveren enkel het inzicht en context aan.
	Tanium is een vendor die vanuit hun kern de focus legt op inzicht en hygiëne van de infrastructuur. Door de opbouw van hun product ligt de focus op de endpoints als servers, laptops en PC’s en wordt Tanium vaak, naar mijn mening onterecht, gepositioneerd als EPP-oplossing. Het is een klein onderdeel wat ze kunnen doen en staat niet aan de kern. De kern is dus velledig inzicht verschaffen in de ‘status’ van alle endpoints; versie OS, build, hardware eigenschappen, applicaties. Waar Guardian360 met hun probe in het netwerk zit, maakt Tanium gebruik van een agent/client op het endpoint waardoor er dus directe toegang en interactie is met alle endpoint en dus response en remediation mogelijk is. Ik kan letterlijk de vraag stellen in het Tanium console “Get computer name and Operating System from all machines” en ik heb binnen enkele seconden een overzicht van alle machines naam en OS en kan daar een actie op los laten en daar een policy op bouwen. Bovenop die kern zijn meerdere modules mogelijk als Discover (asset discovery), Deploy (software distributie), Patch (patchmanagement) en ook Threat Response en Protect (device integrety & hardening). Maar geen EPP/EDR zoals bijvoorbeeld een SentinelOne. Tanium is door de technische deployment en pricing helaas niet voor iedere onderneming weggelegd. Focus is hier de grootzakelijke markt met 1000+ aan endpoints.
	SentinelOne is bij de meeste inmiddels wel bekend als EPP/ EDR oplossing. Al snel werd duidelijk dat SentinelOne meer potentie heeft dan enkel EPP/EDR door de agent op het endpoint is immers alles mogelijk en in mijn ogen de potentie heeft een geduchte concurrent te worden van een Tanium met de tijd. Ik kan natuurlijk niet in de visie en strategie van SentinelOne kijken, maar de laatste feature toevoegingen laten wel het een en ander zien. Nog steeds is de focus EPP/EDR en stoppen van malware en live hacks, maar met de komst van ‘Application’ en ‘Ranger’ is het mij wel duidelijk wat de mogelijkheden kunnen zijn. Application geeft een beheerder inzicht in alle applicaties op de endpoints waar een bekend CVE van is. SentinelOne biedt één overzicht met alle CVE’s geclassificeerd van low naar critical met CVSS en info en een link naar de CVE op de Mitre site. Echter (nog) geen mogelijkheid voor application deployment, patchmanagement noch een functie om een applicatie te markeren als een bedreiging.Ranger is een ‘Netwerk scanner’. Niet om open poorten te scannen, maar voor het ontdekken van machines op het netwerk, of deze beveiligd zijn of kunnen worden met SentinelOne en eventueel te isoleren van het netwerk.

U zult tevens doorhebben dat de onderdelen als Taniums Discover en SentinelOne’s Ranger een eerste opzet zijn naar Network Acces Control en een NAC-oplossing kunnen verreiken. Een onderwerp wat de volledige aandacht verdient door een eigen stuk en waar ik hier dan ook verder niet op in zal gaan.

Compliancy start met juiste informatie en context. Met inzicht van de huidige stand van zaken. Om ‘compliancy’ in de vorm van beleid toe te passen en uitkomsten van het beleid te meten heeft u dus producten en diensten van o.a. de bovengenoemde vendoren. Wij kunnen u daarbij helpen. Heeft u vragen over één van de genoemde producten of u wilt verder sparren over vulnerability scanning, Patchmanagement etc., neem dan contact met ons op.

Geschreven door Clifford Knook, pre-sales consultant bij Exclusive Networks Nederland

Heeft u vragen over één van de genoemde producten of u wilt verder sparren over vulnerability scanning, Patchmanagement etc., neem dan contact op met Exclusive Networks via +31 (0)499 462121 of mail naar info@exclusive-networks.nl