9min Security

‘Security-industrie is goed in geld verdienen, maar beveiligt klanten niet’

Insight: Security

‘Security-industrie is goed in geld verdienen, maar beveiligt klanten niet’

Het SecOps-platform van Arctic Wolf moet het voor alle organisaties mogelijk maken om het maximale uit hun security-investeringen te halen.

Eerder dit jaar schreven we al eens een artikel waarin we stelden dat de security-industrie in de basis stuk is. Er zijn enorm veel aanbieders van securitytools, die er vooral zijn om zoveel mogelijk klanten te verleiden om deze tools af te nemen. Een van de gevolgen is dat veel organisaties met een groot aantal tools zitten die ze niet optimaal inzetten. Dat houdt ook in dat al die tools er niet per se voor zorgen dat een organisatie er veiliger op wordt. Althans, niet zo goed beveiligd als deze zou kunnen zijn.

Aan het begin van ons gesprek met Ian McShane, Vice President of Strategy & Planning en Field CTO van Arctic Wolf, komt deze met een soortgelijk standpunt. “De security-industrie is heel goed in geld verdienen, niet in het beveiligen van mensen en organisaties”, stelt hij. Een van de basale fouten die hij ziet is dat het bij veel van de aanbieders van security-oplossingen nog veel te veel om de telemetrie draait. Dat is het probleem op dit moment alleen niet, volgens McShane. Het probleem is de schaal van het securityvraagstuk. Die gaat ver voorbij wat we kennen van de traditionele security. Als voorbeeld van opschaling haalt hij de rol van firewalls aan. Die konden voorheen alles buiten houden wat je niet in je omgeving wilde toelaten. Tegenwoordig heb je echter eigenlijk niets meer volledig in je eigen infrastructuur. Dat houdt in dat je ongewenst verkeer nu veel breder moet tegenhouden. Met andere woorden, je moet dit opschalen.

Dit opschalen betekent ook meer complexiteit. En waar complexiteit min of meer ongecontroleerd ontstaat, wordt het een rommeltje. Dat geldt zeker binnen security, leren we van McShane. Het gaat er dan niet alleen om dat organisaties simpelweg te veel tools hebben, maar dan vooral om hoe deze goed in te zetten. McShane noemt dit dan ook een “worsteling” voor organisaties.

Het echte probleem van eindgebruikers oplossen

McShane mag zeker een veteraan in de security-industrie genoemd worden. Hij heeft er inmiddels al meer dan 20 jaar opzitten, bij de nodige bekende securityspelers, maar ook als analist bij Gartner. Daar was hij lead endpoint analyst, vertelt hij. In die rol heeft hij min of meer gezien dat de security-industrie er niet bijster goed aan toe is. In zijn rol daar sprak hij met veel eindgebruikers/organisaties, die allemaal vragen hadden rondom het daadwerkelijk inzetten van securitytools in de praktijk. Hij kreeg dan vaak telefoontjes van organisaties met de vraag of deze moest migreren van de ene naar de andere tool. “In de meeste gevallen levert migreren van de ene naar de andere leverancier niets op voor een organisatie”, stelt McShane. Het gaat veel meer om wat je doet met de oplossingen die je al hebt.

Ian-McShane_Arctic-Wolf
Ian McShane, VP of Strategy & Planning, Field CTO bij Arctic Wolf

Bij Gartner kon McShane bovenstaand probleem echter niet oplossen. Vandaar dat hij zijn naar eigen zeggen “droombaan” vaarwel zei en weer naar de leverancierskant is gegaan. Volgens hem is Arctic Wolf namelijk opgericht met het oplossen van dat probleem als voornaamste doel. “Arctic Wolf heeft een platform gebouwd dat in principe telemetrie van vrijwel elke ander tool binnen kan halen”, geeft hij aan. Met al deze binnenkomende data gaat het platform dan aan de slag. Het verrijkt en analyseert het en zet de gewenste reactie in gang.

Arctic Wolf: vanaf begin gefocust op ‘XDR’

Iedereen die regelmatig bezig is met cybersecurity, zal ongetwijfeld de term XDR voorbij hebben zien komen. Dat lijkt iets van de laatste paar jaar. Het concept is echter al ouder, als we McShane zo eens beluisteren. Sterker nog, je zou zelfs kunnen zeggen dat Arctic Wolf het zo’n tien jaar geleden uitgevonden heeft. Dat wil zeggen, het bedrijf is vanaf het begin opgezet om datgene te doen waar de industrie later het label ‘XDR’ op heeft geplakt. Dat is vaak niet het geval voor de andere partijen in de markt die je tegenwoordig veel hoort over XDR, geeft McShane aan. Hij noemt onder andere CrowdStrike en SentinelOne bij naam.

Het grote verschil tussen Arctic Wolf en deze partijen is dat Arctic Wolf niet leunt op het endpoint om te kunnen functioneren. De andere partijen borduren voor XDR voort op EDR. De agents die daarop staan, blijven een cruciaal onderdeel van die oplossingen. Het zorgt er daarnaast ook voor dat XDR door die partijen gesloten wordt aangeboden. Je neemt het volledig af bij die ene leverancier.

Arctic Wolf doet het anders en heeft een Open XDR-platform gebouwd. Daarbij maakt het dus niet uit waar de data vandaan komt en via welke tool deze binnenkomt. Geen agents betekent echter vaak ook dat je minder diep kunt gaan, is onze ervaring. Geldt dat voor Arctic Wolf ook? “Ja, in principe wel, maar we kunnen diep genoeg gaan om alles te detecteren wat we nodig hebben”, geeft McShane als antwoord. En mocht het echt nodig zijn, dan heeft Arctic Wolf wel een agent beschikbaar, net zoals het ook een netwerksensor in het portfolio heeft. Maar in principe zijn deze dus niet verplicht.

Ondersteuning tijdens de hele security journey

Technisch werkt Arctic Wolf dus anders dan andere aanbieders van XDR, dat is inmiddels duidelijk. Daarmee zijn we er echter nog niet. Ook op andere vlakken onderscheidt het bedrijf zich. Ze bieden namelijk iets aan wat ze concierge-diensten noemen. Dit zijn mensen van Arctic Wolf die klanten ondersteunen tijdens de volledige security journey, zoals McShane het noemt. Zij gaan met de klanten aan de slag om tools goed te configureren om zo eventuele gaten te kunnen dichten. Dit zouden de leveranciers van die producten ook kunnen doen, maar dat gebeurt volgens McShane niet. Eindgebruikers zouden er daarnaast ook zelf naar kunnen en eigenlijk ook moeten vragen, maar doen dat zelden. Voor Arctic Wolf is deze manier van werken ook gewoon noodzakelijk overigens. Als de omgeving van de klant optimaal is ingericht, kan Arctic Wolf ook zo efficiënt mogelijk werken.

Arctic Wolf levert dus een behoorlijk uitgebreide dienst. Klanten zelf hebben er verder geen omkijken naar. Met andere woorden, we hebben het hier om een volledig beheerde dienst. Arctic Wolf levert deze dienst vanuit de cloud aan klanten. “We zijn geen MSSP”, geeft McShane ter verduidelijking aan. “Die sturen alleen maar alerts, wij vertellen klanten precies wat ze moeten doen.” Het conciergeteam is hierbij feitelijk een verlengstuk van het securityteam bij klanten. Dat heeft als voordeel dat die teams nu niet meer het saaie en vervelende werk hoeven te doen. Bij Arctic Wolf gaan ze door ruim 2 biljoen zogeheten events per week heen. Dit resulteert volgens McShane in ruimschoots minder dan tien daadwerkelijke alerts per klant per week. Dat zijn dan dus de enige securityalerts waar de klant zich druk om hoeft te maken.

Arctic Wolf is meer dan MDR

We hebben het tot nu toe eigenlijk vooral gehad over de MDR-dienst die Arctic Wolf levert. Vooral omdat dit het fundament is van wat het bedrijf doet. MDR is echter maar een klein onderdeel van SecOps, geeft McShane aan. Hij wil ook vooral het aanbod rondom security awareness training onder de aandacht brengen. Vaste volgers van deze website weten dat wij niet altijd even gecharmeerd zijn van dit onderdeel van de security-industrie. Als we dat tijdens ons gesprek aangeven, snapt McShane deze houding wel. “Traditiegetrouw is security awareness training ontwikkeld met compliance in het achterhoofd”, geeft hij aan. Dat is wat hem betreft niet de juiste motivatie om ermee aan de slag te gaan.

De eveneens volledig beheerde dienst rondom security awareness training van Arctic Wolf heeft zeker geen compliance-gedreven insteek, vertelt McShane ons. Deze dienst levert op maat gemaakte trainingen aan medewerkers binnen organisaties. Niet iedere medewerker heeft hetzelfde takenpakket binnen een organisatie. Een resultaat hiervan is dat ze op andere manieren gevaar lopen. Vandaar dat Arctic Wolf een methode heeft ontwikkeld die daar rekening mee houdt. Medewerkers krijgen trainingen aangeboden die relevant zijn voor wat zij doen. Op deze manier hebben de trainingen in ieder geval in theorie de grootste impact. Uiteraard moeten medewerkers ze in de praktijk nog wel doen. Maar ook dat is in ieder geval theoretisch beter haalbaar dan wanneer ze allerlei trainingen moeten doen die niets met hun taken te maken hebben.

TIP: Eerde dit jaar namen we als onderdeel van onze Techzine Talks podcastserie een tweeluik op over het nut van security awareness training. De eerste, waarin we stellen dat veel security awareness training onzin is, vind je hier. De tweede, waarin we ingaan op hoe je het goed inricht, vind je hier.

Naast security awareness training zijn er nog drie componenten die binnen het Arctic Wolf-platform vallen. We gaan hier in dit artikel niet al te diep op in, maar willen ze toch genoemd hebben. Wellicht dat we in een volgend artikel over Arctic Wolf hier eens iets beter induiken. Het gaat om Cloud Detection and Response, Cloud Security Posture Management en Managed Risk. De eerste hiervan is in principe hetzelfde als de MDR-dienst, maar dan voor de cloud. Cloud Security Posture Management doet wat de naam aangeeft en is verder niet zo heel interessant om hier dieper op in te gaan. Managed Risk gaat tot slot om zaken zoals asset management en het prioriteren van bedreigingen en acties die genomen moeten worden.

Uitbesteden van SecOps is niet meer dan logisch

Termen zoals uitbesteden en outsourcen hebben vaak een wat negatieve connotatie. Dat gold ook zeker voor managed services, geeft McShane aan. Dan gaf je toch min of meer aan dat je het zelf niet kon. Maar met de transitie van endpoint naar SIEM en nu XDR zijn managed services simpelweg gewoon nodig. Het wordt allemaal te complex en te rommelig voor organisaties om het zelf op een efficiënte manier optimaal in te regelen.

Met bovenstaande in het achterhoofd is het geen verrassing dat Arctic Wolf heel hard groeit op het moment. Toch zal Arctic Wolf nog wel enige aandacht moeten besteden aan het beschikbaar maken van het platform voor organisaties die geen cloudgebaseerde dienst af mogen of kunnen nemen. Op dit moment heeft Arctic Wolf daar nog geen oplossing voor. Verder heeft het bedrijf wat ons betreft een modern verhaal dat voor veel organisaties interessant is. We zouden alle organisaties die door de bomen het bos niet meer zien als het gaat om de securitytools die ze draaien in ieder geval aanraden om er zeker eens naar te luisteren of te kijken.