6min

Toenemende complexiteit van omgevingen van organisaties stelt vragen die een security mesh architectuur kan beantwoorden.

Het aantal cybersecurity-oplossingen binnen organisaties neemt constant toe. Dat moet ook wel, want de omgevingen van die organisaties worden ook steeds complexer. Denk hierbij aan de gang naar de cloud, waarbij niet alleen de applicaties van organisaties maar ook de infrastructuur (deels) naar de cloud verhuist. Dit resulteert dan weer in een hybride omgeving die vanzelfsprekend ook zo veilig mogelijk moet zijn. Iets soortgelijks is het resultaat van de Work From Anywhere-ontwikkelingen die de afgelopen jaren in een stroomversnelling is gekomen. Verder komen er op het gebied van cybersecuritytools ook continu nieuwe lagen/oplossingen bij. De toevoeging van EDR en XDR, soms bovenop bestaande EPP-oplossingen is hier een voorbeeld van. Een ander voorbeeld is de opkomst van API-security.

Naast de ontwikkelingen aan de ‘goede’ kant van cybersecurity, zorgen ook de ontwikkelingen aan de ‘slechte’ kant voor de nodige uitdagingen. Het gaat dan met name over de snelheid waarmee het dreigingslandschap verandert. Dat is vrijwel niet meer bij te houden voor organisaties die met allemaal losse oplossingen moeten werken. Het chronische tekort aan personeel dat met deze oplossingen overweg kunnen helpt hier uiteraard ook niet bij. AI/ML kunnen uiteraard helpen om de last wat te verlichten bij dat personeel. De aanvallers gebruiken dit echter ook, dus dat zal elkaar voor een deel opheffen.

Tijd voor een cyber security mesh-architectuur

Bovenstaande zaken zijn min of meer een gegeven, geeft Ton Sips aan. Hij is SE Manager bij Fortinet en loopt vooral veel rond bij zeer grote enterprises, multinationals met het hoofdkantoor in Nederland. Daar zijn de gevolgen van de hierboven geschetste complexiteit goed zichtbaar. Organisatorisch leveren deze klanten ook nog een extra complexiteit op. Ze hebben namelijk vaak een behoorlijk verkokerde aanpak, met een separate silo voor firewall, proxy, email en ga zo maar door.

De grote vraag is uiteraard hoe dit soort grote enterprises met gemiddeld vele tientallen security-oplossingen maar ook minder grote organisaties veilig kunnen blijven. Sips heeft het over gemiddeld 45 security-oplossingen per organisatie. Die kun je onmogelijk allemaal separaat inzetten en beheren. Althans, niet zodanig dat je er het optimale resultaat uithaalt. Met andere woorden, je bent kwetsbaarder dan nodig is. Om dit wel te kunnen bereiken, is het nu meer dan ooit tijd om naar een nieuwe security-architectuur over te stappen.

Gartner heeft het sinds kort over CSMA, oftewel CyberSecurity Mesh Architecture. Het idee hiervan is dat de oplossingen (en apparatuur) onderdeel uitmaken van een nieuwe architectuur. Dankzij de koppelingen die dan mogelijk zijn, versterken de afzonderlijke onderdelen elkaar. Dit moet er onderaan de streep voor zorgen dat aanvallen sneller en beter afgeslagen kunnen worden, het aanvalsoppervlak kleiner wordt en de beveiliging in het algemeen dus beter.

Vooruitziende blik van Fortinet

CSMA is dus de term die Gartner gebruikt. Fortinet heeft het over Security Fabric, en werkt hier al tien jaar aan. Het begin van de Fortinet Security Fabric ligt bij het koppelen van security en networking, geeft Sips aan. Het netwerk is in de ogen van Fortinet een verlengstuk van de firewall. Dit maakt Fortinet best bijzonder in de markt. Traditiegetrouw worden zaken zoals switching en wireless namelijk niet gezien als onderdeel van cybersecurity, geeft hij aan. Dat is inmiddels wel aan het veranderen overigens. De meeste netwerkleveranciers slaan tegenwoordig ook behoorlijk hard op de securitytrom. Die benaderen het overigens wel van de andere kant. Waar Fortinet een securityleverancier was die networking is gaan integreren, geldt dat voor de netwerkleveranciers precies andersom. Dat heeft ongetwijfeld ook zijn weerslag op het eindproduct.

De Security Fabric is inmiddels al lang niet meer beperkt tot de koppeling tussen security en networking. In de afgelopen tien jaar heeft Fortinet steeds meer onderdelen toegevoegd. Als voorbeeld van hoe de Security Fabric meerwaarde kan bieden, haalt Sips de koppeling tussen de mailoplossing en de firewall aan. Doordat deze twee onderdelen met elkaar in contact staan, deelt de mailoplossing de detectie van gevaarlijke content met de firewall. Daarmee escaleer je als het ware de detectie en oplossing van een aanval met die content richting de firewall. Met andere woorden, deze kan nu voor de hele omgeving deze content als gevaarlijk bestempelen. Ook als een medewerker via een andere route bij dezelfde content komt, heeft de firewall dat door en onderneemt hij actie.

Integratie maakt Security Fabric breed relevant

Drie belangrijke onderwerpen voor Fortinet als het gaat om de Security Fabric zijn zonder twijfel visibility, automation en integratie. Vanaf het begin is het de bedoeling geweest van Fortinet om onderlinge koppelingen mogelijk te maken tussen zoveel mogelijk onderdelen, en niet (zoals traditioneel) via een SIEM. Daarbij horen vanzelfsprekend de 60 producten die Fortinet in het portfolio heeft. Maar er zijn ook meer dan 450 zogeheten Fabric-partners. Deze integreren met de Security Fabric en dus ook met de producten en oplossingen van Fortinet. Opvallend is dat daar ook concurrerende partijen tussen zitten. Een goede zaak wat ons betreft, want dat is uiteindelijk alleen maar goed voor de klanten, die niet allemaal gestandaardiseerd zijn op Fortinet. 

De mate waarin de oplossingen van de Fabric-partners integreren varieert overigens wel. Dat is niet aan Fortinet alleen om te bepalen. Voor sommige zaken bouwt het zelf connectors, maar derde partijen doen dit soms zelf ook. Daar helpt Fortinet dan indien gewenst wel bij, maar het is aan die partij om te bepalen hoe diep te integratie gaat. In theorie is er geen limiet op hoe diep een oplossing kan integreren met een product van Fortinet via de Security Fabric, geeft Sips aan. Binnen FortiOS, het besturingssysteem waar het merendeel van de producten van Fortinet op zijn gebouwd is iedere actie in de GUI een call naar de API. Dat betekent dat in principe alles beschikbaar is voor integratie.

Automation de volgende stap

Op het gebied van automation van acties binnen de Security Fabric, heeft Fortinet inmiddels ook al behoorlijk wat stappen gezet. Zo’n vier jaar geleden begon het met zogeheten automation stitches. Hiermee is het mogelijk geautomatiseerd actie te ondernemen over de Security Fabric. Deze automation stitches zijn beschikbaar voor alle producten in het portfolio van Fortinet.

Op het gebied van automation is het verder ook nog belangrijk om aan te geven dat binnen de Security Fabric de indicators of compromise volledig geautomatiseerd gedeeld worden. Dat komt de snelheid van detectie en respons vanzelfsprekend ten goede. Geautomatiseerd gebruikers verwijderen ligt vanzelfsprekend een stuk lastiger. Daar komt nog het nodige handwerk bij kijken, geeft Sips aan. Het is volgens hem vooral zaak om als organisatie de balans te vinden tussen wat geautomatiseerd moet gebeuren en wat nog handmatig moet. Volgens hem zijn de risico’s van automation voor de meeste basistaken echter dermate laag, dat hij het altijd aan zou zetten.

Sips realiseert zich op het gebied van automation overigens ook terdege dat dit niet overal even goed valt. Met name in de OT-wereld is men soms afhoudend op dit punt, stelt hij vast. Dit terwijl je volgens hem bij OT vrij eenvoudig een beveiligingslaag kunt aanmaken, omdat je daar veel meer overzicht hebt dan in een IT-omgeving. Toch ziet hij op dit moment meer automation binnen IT, al is OT wel een inhaalslag aan het maken.

Wie moet Security Fabric overwegen?

In principe is Fortinet Security Fabric geschikt voor iedere organisatie, stelt Sips. Al die organisaties moderniseren en krijgen een meer gedistribueerd landschap. De koppeling van switching en wireless met de firewall is nog altijd een veelvoorkomende manier om met de Security Fabric aan de slag te gaan. Maar ook als je veel medewerkers hebt die niet op kantoor werken en je veel VPN’s moet opzetten, kun je meerwaarde halen uit de Security Fabric. Bij grotere organisaties kan het soms nog weleens wat lastiger zijn om ermee aan de slag te gaan overigens. Daar zie je de al eerder aangehaalde verkokering niet alleen terug binnen de organisaties. Ook de verdeling van verschillende silo’s onder verschillende system integrators kan uitdagingen opleveren.

Vanuit Fortinet ziet men de Security Fabric overigens niet als het initiële doel. Sips noemt het de stip op de horizon, waar organisaties stukje bij beetje naartoe kunnen werken. Ze hebben ook geen vaste referentie-architecturen voor de Security Fabric. Het ligt er een beetje aan wat de uitdagingen van de klant zijn via welke route Fortinet voor het eerst over de Security Fabric kan vertellen. Daarbij heeft Fortinet een groot voordeel. Het is voor zover wij in kunnen schatten de breedste securityleverancier in de markt. Veel vragen van klanten kunnen worden beantwoord met producten uit het brede portfolio. De Security Fabric komt dan vanzelf ook ter sprake. Want een Security Fabric is voor alle organisaties interessant en zelfs onvermijdelijk op langere termijn, maken we op uit de woorden van Fortinet en Sips. Dan kun je er maar beter snel mee beginnen.

TIP: Enige tijd geleden publiceerden we een artikel over FortiEDR, een van de securitycomponenten van Fortinet met integratie in het eigen Security Fabric. Dat artikel lees je via deze link.