Security-strategie moet starten bij wat je al hebt

Secrutiny wil met een realistische en pragmatische kijk op security het mid market en small enterprise segment voorzien van inzicht in en een goede bescherming tegen cyberdreigingen. Een gedegen ‘next-gen’ assessment is hierbij het vertrekpunt.

cso security global breach networking hack invasion infiltrate 5g connected gettyimages 1211443622
dkosig / Getty Images

Als je als organisatie op zoek gaat naar een oplossing voor je securityvraagstukken, heb je de keuze uit een immens arsenaal aan partijen. Met Secrutiny is er in Nederland recent nog een bijgekomen. Het van origine Britse bedrijf zet met de uitbreiding naar Nederland de eerste stap op het Europese vasteland. Wij spraken met de drie oprichters van de nieuwe Nederlandse tak om eens te horen waarom ook onze markt profijt kan hebben van wat het bedrijf te bieden heeft: Patrick van Arendonk is de Managing Director, Leon Smit de Technical Director en Elmer Koevoets de Sales & Marketing Director.

CRA als vertrekpunt

Secrutiny bestaat uit drie pilaren, te weten Cyber Risk Remediation, Managed SOC en Incident Response. Aan de basis van de filosofie van het bedrijf ligt volgens Van Arendonk een tamelijk realistische kijk op de zaak: “In de kern is onze offering dat we bedrijven willen en kunnen helpen met het optimaliseren van hun huidige omgeving.” Het is dus in principe niet de bedoeling dat Secrutiny samen met een portfolio van vendoren een volledige rip-and-replace doet van de security in de omgeving van een organisatie. We komen verderop nog even terug op deze partnerships met security-vendoren, want die zijn er uiteraard wel. Van Arendonk wil alleen wel duidelijk maken dat het eigen portfolio van Secrutiny de primaire pilaar is.

Als het dan gaat om de primaire pilaar, dan start voor Secrutiny eigenlijk alles met de CRA, oftewel de Cyber Risk Analyser, die alle endpoints in een organisatie analyseert. Met deze analyse wordt vastgesteld hoe het gesteld is met de security posture van een organisatie en worden er adviezen gegeven hoe eventuele gaten kunnen worden opgevuld of afgedicht en problemen verholpen. Dat hoeft overigens niet per se door Secrutiny te gebeuren, de uitvoering bij een andere partij neerleggen is ook prima. “We willen benadrukken dat deze beslissing uiteindelijk bij de klant ligt,” vat Van Arendonk het samen. Dat is deels ook omdat de markt hierom vraagt trouwens, want er zijn klanten die niet accepteren dat zowel de analyse als de oplossingen voor de problemen die erbij aan het licht komen door een en dezelfde partij gedaan worden.

Meer dan vragenlijsten en groene vinkjes

De CRA van Secrutiny is meer dan een standaard cyber maturity onderzoek, benadrukken de drie heren. Vaak zijn dat namelijk niet veel meer dan vragenlijsten waarin er bijvoorbeeld wordt gevraagd of je een firewall hebt of MFA hebt geïmplementeerd, met eventueel nog wat vragen naar hoe een en ander is geconfigureerd. Volgens Van Arendonk is dat niet voldoende: “Je loopt het risico dat een klant vinkjes gaat zetten om een zo groen mogelijke uitkomst te krijgen. Doet hij dat niet, dan heeft hij problemen en dat willen veel mensen uiteindelijk toch voorkomen.”

Met hun CRA wil Secrutiny dit gedrag voorkomen, door ook echt inhoudelijk te kijken naar wat er gebeurt binnen een organisatie op het gebied van security. De uitkomsten ervan kunnen pragmatisch worden ingezet door de klant. Het duurt ook geen maanden tot er een uitkomst is. “Het is een proces van zo’n 4 weken, waarna je concreet en pragmatisch ziet hoe het erbij staat,” aldus Van Arendonk. Daarbij is het uiteindelijk wel de bedoeling dat je de CRA regelmatig draait. Niet alleen vanuit commercieel oogpunt van Secrutiny, maar ook zeker vanuit klantperspectief. Je situatie verandert nu eenmaal continu, tegenwoordig misschien nog wel meer dan ooit. Dat heeft ook een impact op de security van je IT-omgeving. Het is hierbij overigens niet gezegd dat het onmogelijk is om eenmalig een audit te laten doen. Er is een Lite-variant om kennis te maken met het audit-proces van alle endpoints in een organisatie. Daarnaast is er de Single Instance-optie, bedoeld om binnen 28-dagen inclusief analyse en presentatie van bewijs een volledig assessment te doen. Wil je continu gebruikmaken van deze dienst, dan is er de Subscription-versie, bestaand uit een initieel baseline assessment gevolgd door drie assessments per jaar (een per kwartaal).

Alle drie de heren van Secrutiny Nederland lopen al geruime tijd mee, dus ze zijn zeker niet zo naïef om te denken dat iedereen meteen uit zichzelf aanklopt. Ze zijn zich er terdege van bewust dat het een drukke markt is en dat zij nieuw zijn. Van Arendonk wijst er echter wel meteen op dat het moederbedrijf in het Verenigd Koninkrijk al zo’n 8 jaar bestaat en de audit al gedraaid heeft bij meer dan 750.000 endpoints. Het is dus niet alsof ze iets compleet nieuws in de markt zetten. De technologie heeft zich al bewezen.

Geautomatiseerd snapshot

Daarmee komen we op het gebied waar Smit verantwoordelijk voor is. “Met afstand de belangrijkste USP van onze CRA is dat het feitelijk een ge-automatiseerde snapshot verzorgt die je normaal gesproken alleen maar kan bereiken met een volledige implementatie van een SIEM-systeem,” stelt hij. Met SIEM monitor je doorgaans continu je omgeving, waar CRA volledig geautomatiseerd een snapshot pakt. Het voordeel hiervan ligt voor de hand: “Je kunt veel eenvoudiger en laagdrempeliger bepalen wat de status is dan met een volledig SIEM-systeem.” Smit wil overigens wel meteen benadrukken dat de CRA geen vervanging is voor een SIEM-systeem, maar er complementair aan ingezet kan worden. Je kunt als klant zonder een SIEM-systeem ook gebruikmaken van de CRA.

cyber risk vs business risk framework 01 Secrutiny

Het framework dat Secrutiny hanteert bij het bepalen van de risico's die organisaties lopen.

Koevoets haakt hierop in door kort aan te geven hoe het bij zo’n audit in zijn werk gaat: “Tijdens de CRA wordt data verzameld, die volledige geautomatiseerd en met inzet van ML wordt geanalyseerd en daarna nog wordt verrijkt door analisten.” Die analisten zitten in het VK en maken het aanbod van Secrutiny net weer iets specialer. Zoals Van Arendonk het stelt: “80 procent van de output is geautomatiseerd, 20 procent is forensics.” Het is juist die forensics door analisten die de output nog beter maken uiteraard. Dat is vooral belangrijk voor klanten die worstelen met het bepalen van wat wel belangrijk is en wat niet. “Een belangrijk onderdeel van onze communicatie richting klanten is dan ook dat we eerst en vooral moeten kijken naar het bereiken van een acceptabel niveau van security,” vervolgt hij. Met andere woorden, waar leg je de grens tussen bedreiging en risico/gevaar? Dat is met een scan zoals die door de CRA wordt gedaan goed te bepalen, is het standpunt van de drie heren.

Doelgroep mid market en small enterprise

Als we vragen naar de doelgroep die Secrutiny in Nederland voor ogen heeft, dan is het duidelijk waar men zich primair op richt. “Dat is het mid market en small enterprise segment,” stelt Koevoets, “daar wordt het persoonlijke contact dat wij als kleine organisatie graag willen hebben over het algemeen verwacht en gewaardeerd en zijn de resources ook niet zo groot.” Dit neemt overigens niet weg dat enterprise-bedrijven ook gewoon terecht kunnen bij Secrutiny, alsmede kleinere organisaties met bijvoorbeeld veel IP of privacy-gevoelige gegevens, voegt Smit hieraan toe: “We kunnen ook zeker daar meerwaarde bieden.”

Verder kan de beperking die bij bepaalde klanten speelt rondom het laten uitvoeren van zowel audit als remediation ook een goede ingang zijn bij enterprise-klanten. “We zijn nu ook in gesprek met grote partijen die bij hun klanten wel de remediation mogen doen, maar een andere partij nodig hebben voor de audits,” geeft Van Arendonk aan. Daar kan Secrutiny volgens hem uiteraard een uitstekende rol in vervullen.

Meer dan CRA

Zoals hierboven al aangegeven, is de CRA de manier voor Secrutiny om bij klanten op de radar te komen. Het bedrijf levert echter nog veel meer diensten binnen de Cyber Risk Remediation (CRR) pilaar waar CRA onderdeel van uitmaakt, en heeft ook nog Managed SOC- en IR-diensten in het portfolio. Daarnaast heeft Secrutiny in Nederland een (in de nabije toekomst) volwaardig vendor-portfolio om eventuele gaten en problemen die aan het licht komen tijdens een audit op te kunnen laten lossen voor klanten. Vooralsnog zal de nadruk echter vooral op de eerste pilaar van het eigen portfolio liggen (CRR), met de CRA als belangrijkste speerpunt.

Kijken we naar het portfolio met vendoren, dan zien we ook daar een duidelijke strategische keuze vanuit Secrutiny. Uiteraard moeten er op alle relevante onderdelen partijen gezocht en gevonden worden. Dit moeten echter ook partijen zijn die passen bij hoe Secrutiny naar de markt kijkt en op wat er zoal gebeurt in de markt. “De stack van vendoren die wij hebben gekozen is voor een belangrijk deel gebaseerd op de integratie tussen de afzonderlijke partijen,” geeft Smit aan. Dat is nodig om een goede aansluiting te hebben op het gebied van SASE, een relatief nieuwe term die vorig jaar door Gartner in de wereld is gebracht om de nadruk te leggen op het belang van dergelijke integraties.

De partijen waar Secrutiny in Nederland op dit moment al partnerships mee heeft afgesloten zijn Exabeam voor SIEM, SentinelOne voor endpoint-security, Cohesity voor back-up en DR en Axonius voor Cybersecurity Asset Management. Voor CASB en e-mail security zijn ze nog in gesprek met potentiële partners, maar ook op dat vlak verwachten ze dat de knoop snel doorgehakt zal worden.

Zeer belangrijk bij de keuze voor vendoren is volgens Van Arendonk en Smit dat het ‘pure players’ moeten zijn, oftewel partijen met een 100 procent focus op het deelgebied van security waarvoor ze de samenwerking aangaan. Dat zorgt ervoor dat de afzonderlijke oplossingen vaak uitstekend ingepast kunnen worden in bestaande organisaties. Uit de markt horen ze ook voldoende geluiden dat de consolidatie, waarbij dit soort partijen worden gekocht door grotere spelers (bijvoorbeeld Cylance door BlackBerry), zeker niet overal gewaardeerd wordt, net zo min als de consolidatie tussen security en infrastructuur. “Dat is niet waar wij in geloven,” geeft Van Arendonk voor de volledigheid expliciet aan.

Positieve eerste signalen

Als we tot slot van het gesprek vragen naar de verwachtingen richting de toekomst, dan zijn de drie heren van Secrutiny Nederland optimistisch, ook al is het een gekke tijd nu met de coronacrisis. “We kunnen met een schone lei beginnen, dat is met de huidige dynamiek rondom Covid-19 zeker een pluspunt,” stelt Van Arendonk. Er moeten momenteel veel veranderingen doorgevoerd worden vanwege de impact op de bedrijfsvoering en de versnelling ervan. Dan is het prettig als je als Secrutiny Nederland nog geen legacy hebt of een bestaand klantenbestand. Je kunt dan snel en effectief inspringen op ontwikkelingen.

De eerste signalen zijn in ieder geval bemoedigend, als we de heren zo eens horen. De respons op de CRA-propositie is positief en er zijn al toezeggingen voor eerste audits. We zijn benieuwd hoe snel Secrutiny Nederland business gaat doen en waar het bedrijf over een half jaar tot een jaar staat.

Related:

Copyright © 2020 IDG Communications, Inc.

Watch out for these 6 IT management traps to avoid