9min Security

Tanium cybersecurity gaat verder dan Unified Endpoint Management

Tanium cybersecurity gaat verder dan Unified Endpoint Management

Binnen de cybersecurity markt zijn de meeste experts het erover eens dat het tijd is voor een nieuwe werkwijze. Het aantal tools dat enterprise organisaties gebruiken om hun security-beleid uit te voeren, loopt op tot rond de 100. Hierdoor worden oplossingen niet efficiënt genoeg ingezet, aangezien security-teams te klein zijn om alle features van de producten daadwerkelijk te gebruiken. Leveranciers van security-tools zijn dan ook zo goed als allemaal op zoek naar het verbreden van hun activiteiten, zodat enterprise organisaties meer kunnen met minder. Bij Tanium, een speler die iets meer dan tien jaar bestaat, heeft dat idee zo goed als vanaf het begin geleefd. Het bedrijf heeft daardoor een eigen visie op Unified Endpoint Management (UEM), de security-discipline waarin het actief is.

UEM bestaat inmiddels al een tijdje, en is een doorontwikkeling van hetgeen wat ooit Mobile Device Management heette. Met MDM krijgen bedrijven een tool in handen waar vanuit ze mobiele apparaten, doorgaans iOS en Android, kunnen beheren. Leveranciers van MDM-oplossingen ontwikkelden hun producten door, om vanuit één console alle endpoints binnen een bedrijf te beheren. Windows en Linux worden immers steeds vaker als mobiel besturingssysteem gebruikt. Traditionele MDM-oplossingen zijn daardoor niet meer toereikend en UEM is ontstaan.

Tanium positioneert zich nog agressiever, door zich te presenteren als een soort UEM+-leverancier. “Ons product gaat veel verder dan traditioneel Unified Endpoint Management”, vertelde Tanium onlangs tijdens ons bezoek aan de Tanium Converge-conferentie. Door het platform moeten enterprise organisaties inzicht en controle krijgen over alle devices, in de breedste zin van het woord. Dat betekent bijvoorbeeld legacy besturingssystemen, maar ook servers en systemen die gehost worden in de cloud. Volgens Tanium moet alles wat je als endpoint zou kunnen aanmerken op één platform samenkomen, wil je goede UEM realiseren. Alleen dan heeft een bedrijf zicht op zijn assets en kunnen de risico’s van gebruikers en apparaten ingeschat worden.

Twee beroepsgroepen hebben baat bij intensievere UEM-aanpak

De Tanium-aanpak moet meerdere IT-medewerkers op één platform samenbrengen. Volgens het bedrijf is zijn oplossing met name geschikt voor twee beroepsgroepen: zij die zich met IT Operations bezighouden en zij die zich met security bezig houden. Om dit zo goed mogelijk te ondersteunen heeft Tanium een modulair platform ontwikkeld met een variëteit aan gebruikstoepassingen.

IT Operations is een vrij brede groep om te adresseren met één product, aangezien er bijvoorbeeld systeembeheerders en netwerkbeheerders onder vallen. Tanium heeft daarom modules die onder meer betrekking hebben op softwarebeheer en het inzichtelijk maken van het applicatielandschap van een organisatie. In theorie maakt dit het platform aantrekkelijk voor heel veel beroepsgroepen, bijvoorbeeld DevOps-engineers kunnen baat hebben bij het gebruik van Tanium.

IMG_20191119_085235

Het security-gedeelte van het platform wijst op zijn beurt iets meer voor zich. Hiermee moeten security-teams in staat zijn om endpoints te beschermen. Dit kan bijvoorbeeld door te scannen op kwetsbaarheden of door bedreigingen verder te onderzoeken. Een steeds belangrijker wordend vraagstuk dat op het bordje van security-teams ligt, data privacy, wordt ook geadresseerd.

In grote lijnen zijn er nu de volgende modules, waarbij Tanium ons meteen vertelt dat de lijst zal blijven groeien:

IT Operations

  • Asset
  • Deploy
  • Discover
  • Map
  • Patch
  • Performance

Security

  • Comply
  • Integrity Monitor
  • Protect
  • Reveal
  • Threat Response

De overeenkomst tussen de modules is dat ze gebouwd zijn om de samenwerking tussen IT Operations en security-teams te vereenvoudigen. In de ogen van Tanium is dat dé manier om een efficiënt security-beleid uit te voeren. Slechte samenwerking tussen de kampen zou immers tot inefficiëntie leiden, aangezien medewerkers verschillende losse security-tools inzetten die niet altijd even goed met elkaar praten. Bovendien is het maar de vraag of de potentie van iedere aangekochte security-oplossing benut wordt. Teams zijn vaak te klein om de beloftes van de producten daadwerkelijk waarheid te maken. Het oplossen van een kwetsbaarheid kan daardoor teveel tijd in beslag nemen, waar weer de nodige risico’s aan kleven. Less is in dit geval dus echt more. We hebben tijdens Converge dan ook nader ingezoomd op hoe deze hele filosofie in de praktijk uitpakt.

Visibility de sleutel voor IT Operations

Allereerst de IT Operations kant. De modules voor deze groep zorgen er met name voor dat IT-teams zicht krijgen op wat er binnen de organisatie gebeurt. Enterprises gebruiken vaak duizenden applicaties en endpoints, waar allerlei activiteiten op plaatsvinden. Tanium kijkt zodoende naar data en loggegevens om zicht te krijgen op deze bedrijfsbezittingen.

De Asset-module geeft een goed voorbeeld van hoe Tanium dit realiseert. Binnen deze feature kunnen gebruikers een lijst opvragen van alle devices in een bedrijf. Wordt er vervolgens een device geselecteerd, dan kunnen er details over de software op het apparaat opgevraagd worden. Dit komt van pas wanneer een medewerker bijvoorbeeld wil controleren of het systeem wel up-to-date is. Meestal is deze informatie accuraat, al kan het ook voorkomen dat het apparaat even niet online geweest is. Logischerwijs kunnen ook filters toegepast worden om het geheel wat overzichtelijker te maken.

Binnen organisaties zijn echter ook zogeheten unmanaged devices in omloop. IT-medewerkers hebben weinig grip op deze apparaten vanwege het feit dat de eigenaar van het apparaat zelf het beheer voor rekening neemt. Daar heeft Tanium de Discover-module voor bedacht. Doordat unmanaged devices wel verbinding maken met het bedrijfsnetwerk, kan er de nodige data uitgelezen worden. Deze data vertelt onder meer welke applicaties, besturingssysteem en open ports gebruikt worden. Als dan blijkt dat er iets kwetsbaars gebruikt wordt, dan kan de IT-afdeling een seintje geven aan de gebruiker. Het is zelfs mogelijk om de Tanium client via het internet te versturen, zodat het unmanaged device onder beheer komt van de organisatie.

“Ons product gaat veel verder dan traditioneel Unified Endpoint Management”

De input die voortkomt uit de Asset- en Discover-module, zal er wel eens toe leiden dat IT-teams erachter komen dat er op grote schaal wat moet gebeuren aan de software. Dit kan door middel van de modules Deploy en Patch, welke gemaakt zijn om de nieuwste versies of noodupdates van applicaties uit te rollen. Met Tanium moet de installatie, het updateproces en eventuele verwijderen soepeler verlopen. Het platform weet namelijk hoe de SaaS-oplossingen van de meeste IT-leveranciers eruit zien, waardoor het in staat is om sneller besluiten rondom software bedrijfsbreed uit te voeren.

Inspanningen rond endpoint-security

Zoals we eerder aanhaalden zijn de inspanningen rondom security een minstens even stevig focuspunt voor Tanium. Op dit vlak zijn er een aantal interessante modules ontwikkeld. Veelal hebben deze features betrekking op het beschermen van de endpoints binnen een bedrijf, maar ook een stukje threat response en data privacy wordt hiermee geadresseerd.

Voor het beschermen van endpoints heeft Tanium Protect in zijn portfolio opgenomen. Deze module is compatibel gemaakt met besturingssystemen Windows, Linux en Mac. Hierdoor kunnen er verschillende policies ingesteld worden. Denk hierbij aan policies die betrekking hebben op encryptie, om het beleid rond sleutels te regelen. Maar ook het instellen van Windows Firewall policies is via Protect te regelen. Protect betreft dan ook met name een technologie om het policy-beleid van je organisatie uit te rollen, al kan er ook bepaalde antivirusinformatie opgevraagd worden.

Een andere module om security-professionals verder te helpen, noemt het bedrijf Threat Response. Hiermee krijgen gebruikers een tool in handen om threats op de endpoints te detecteren en op te lossen. Tanium bekijkt  hiervoor processen binnen het netwerk en past daar analytics op toe, zodat malafide activiteiten opvallen. Het ‘recorden’ van de processen heeft als voordeel dat er een gedetailleerde beschrijving komt over een proces met een fout. Vervolgens kunnen stappen gezet worden om over te gaan tot actie. Soms gebeurt dat binnen Tanium zelf, maar soms moet daarvoor een koppeling gelegd worden met een tool van een andere security-leverancier. Er zijn dan ook een aantal integraties gebouwd om dit te ondersteunen, bijvoorbeeld met Palo Alto Networks.

Het laatste vraagstuk waar security-professionals steeds meer mee te maken krijgen, is data privacy. Wanneer er daadwerkelijk een datalek plaatsvindt, wordt er namelijk vaak het eerst gekeken naar het security-team. Zodoende is Tanium bezig om een reeks functionaliteiten toe te voegen voor het helpen bij wetgeving als de GDPR. Een aantal maanden geleden resulteerde dat in de module Reveal, waarmee organisaties gevoelige data kunnen monitoren. Reveal kijkt bijvoorbeeld in databases, waar vaak waardevolle data terug te vinden is. Tanium geeft echter aan nog verder te willen gaan dan momenteel, vanwege de recent in Amerika in werking getreden CCPA-wet en de Europese GDPR-regelgeving. Die laatste is al meer dan anderhalf jaar geldig, waardoor het voor sommige gebruikers wellicht voelt alsof Tanium aan de late kant is met het toevoegen van functionaliteit.

IMG_20191119_103207

Grote lijnen voor komende tijd uiteen gezet

De Converge-conferentie werd uiteindelijk overschaduwt door de release van Tanium 7.4. Vaak krijgt het platform één keer jaar een grote release, dus is het logisch dat het bedrijf de nieuwe updates in het zonnetje zette. We hebben de nieuwe functionaliteit ook uitééngezet in een los artikel, waar we aangeven dat het platform meer gebruiksvriendelijkheid moet realiseren door data meer te laten werken voor gebruikers.

Toch willen we één functie van versie 7.4 nog even los behandelen. Een van de opvallendste aanpassingen noemt men namelijk Persona’s. De nieuwe functionaliteit moet ervoor zorgen dat een gebruiker eenvoudiger meerdere taken op het platform kan uitvoeren. In de praktijk komt het voor dat een gebruiker binnen één dag functionaliteit gebruikt voor het onderzoeken van een cyberbedreiging of het uitrollen van patches. De manier waarop dit voorheen gebeurde was wat onhandig, aangezien gebruikers soms moesten switchen tussen accounts vanwege permissies gekoppeld aan het account. Persona’s brengt hier verandering in doordat een gebruiker toegang krijgt tot data en functionaliteit gerelateerd aan een specifieke taak. De permissies verplaatsen dus van een persoon naar specifieke taken.

Interessante benadering binnen huidige markt

De manier waarop Tanium tegen Unified Endpoint Management aankijkt, zorgt voor een frisse wind. Het kijkt naar veel data om IT Operations-teams en security professionals te ondersteunen. Idealiter werken zij door de modulaire opbouw van het Tanium platform goed samen, want tussen de verschillende activiteiten zijn een aantal overeenkomsten te vinden. Als die data over het platform stroomt, dan wordt iedereen daar beter van. En dat kan in de huidige security-markt geen kwaad. We zijn dan ook benieuwd hoe Tanium zich als product en bedrijf verder ontwikkelt.