8min Security

Het ene XDR-platform is het andere niet: kwaliteit telemetrie is cruciaal

Insight: Security

Het ene XDR-platform is het andere niet: kwaliteit telemetrie is cruciaal

Organisaties zijn bar slecht voorbereid op cyberaanvallen, blijkt uit de recente Cybersecurity Readiness Index van Cisco. Het wordt nu toch echt tijd om security vanuit een platformgedachte aan te pakken, horen we van Tom Gillis van Cisco.

Gillis heeft begin dit jaar de overstap gemaakt van VMware naar Cisco. Binnen Cisco is hij de SVP/GM Security en is hij dus verantwoordelijk voor de wereldwijde strategie van Cisco op dit gebied. Er ligt een behoorlijke klus voor hem klaar, zo is duidelijk uit de resultaten van de Cybersecurity Readiness Index. Dit onderzoek is overigens niet uitgevoerd door Cisco zelf onder haar eigen klanten. Het is door een onafhankelijk bureau gedaan onder 6700 security professionals. Dit kunnen klanten zijn van Cisco, maar er zitten ook genoeg partijen tussen die geen klant zijn. Het is daarnaast een zogeheten double-blind onderzoek, dus er valt als het goed is niet veel te sturen op uitkomsten.

Als we Gillis vragen wat hij zelf vindt van de uitkomsten, moet hij toegeven dat ze anders zijn dan hij zich vooraf had voorgesteld: “De resultaten zijn pessimistischer dan ik had verwacht.” Er wordt veel tijd en geld gespendeerd aan het verbeteren van de cyberweerbaarheid van organisaties, ziet hij in de praktijk. Dan verwacht je toch iets betere resultaten. Zo’n 85 procent van de respondenten voelt zich echter onvoorbereid op een cyberincident en 65 procent heeft een cyberaanval meegemaakt.

Wat is er misgegaan?

De uitkomsten van het onderzoek roepen bij ons de vraag op waar dan al die extra investeringen waar we het hierboven over hebben naartoe zijn gegaan. Het lijkt erop alsof die vooral zijn gestoken in de aanschaf van meer securitytooling. Dat is echter niet de juiste strategie, volgens Gillis. “Alleen beter je best doen is geen winnende strategie”, geeft hij aan. De frequentie van de aanvallen en de ernst ervan zijn echter ook meegegroeid. Per saldo zijn organisaties dus maar weinig opgeschoten.

Met name ransomware grijpt om zich heen. Opvallend hierbij is dat de grootte van de organisatie die doelwit is van een aanval helemaal niet uit lijkt te maken. Gillis noemt een kleine chipsfabriek in Canada, maar zelfs de veerdienst op Cape Cod, die allebei een ransomware-aanval te verwerken kregen. Het is uiteindelijk heel simpel, geeft hij aan: “De meeste mensen betalen het losgeld, dus is het interessant.” Tel daarbij op dat de toolset voor ransomware inmiddels zeer volwassen is en het recept is simpel voor de aanvallers.

Deze toolset wordt daarnaast ook steeds meer gebruikt door zogeheten staatsactoren, voor aanvallen door en tegen de infrastructuur van landen. Dat verontrust Gillis nog veel meer eigenlijk. Het doel van dat soort aanvallen is verstoren en vernietigen. Hij heeft het zien gebeuren in Oekraïne. Opvallend genoeg een stuk minder in de rest van Europa en Noord-Amerika. Tussen de regels door maken we op dat dit komt doordat er vanuit die regio’s actief jacht gemaakt wordt op de aanvallers in onder andere Rusland. “De aanval is de beste verdediging”, geeft hij aan. Het schrikt in ieder geval af.

Maar goed, terug naar de kernvraag van deze paragraaf: wat is er misgegaan? Het antwoord van Gillis op deze vraag is dat er te veel vanuit afzonderlijke domeinen is gedacht. Dat werkt niet (meer). “We moeten over domeinen heen kijken, met een systeembenadering”, volgens hem. Dus niet alleen richten op het netwerk, email, het endpoint, de applicatie en ga zo maar door, maar op alles tegelijk.

Platformbenadering is een must

Op zich is het hameren op een systeem- oftewel platformbenadering geen opzienbarende uitspraak van iemand die voor Cisco werkt. Dat is namelijk exact wat dat bedrijf de markt biedt, hebben we in een recent artikel al eens uit de doeken gedaan. Toch doen we de uitspraken van Gillis tekort als we deze puur onder het kopje ‘preken voor eigen parochie’ zouden plaatsen. Het is namelijk ook gewoon echt noodzakelijk om een dergelijke benadering te kiezen. Vrijwel alle onderdelen binnen een organisatie interageren met elkaar, dus dan is het niet meer dan logisch dat een securitystrategie hier eveneens rekening mee houdt.

Als je het hebt over een overkoepelende benadering van cybersecurity, kom je al snel uit bij een van dé buzzwords of eigenlijk buzzacroniemen van het moment, XDR. Vrijwel iedere securityleverancier lijkt het tegenwoordig aan te bieden. “Zoek op RSA eind april maar eens een leverancier die het niet over XDR heeft”, stelt Gillis als uitdaging. Dat gaat erg lastig worden, durft hij nu al te voorspellen. Cisco zal dat ongetwijfeld ook gaan doen, durven wij nu in ieder geval al wel te voorspellen. We hebben in de afgelopen maanden al de nodige hints opgevangen dat er op dat punt iets staat te gebeuren bij dat bedrijf namelijk.

Cisco-Cybersecurity-Readiness-Index

XDR is een breed begrip

De ene XDR is de andere niet, wil Gillis met bovenstaande uitdaging duidelijk maken. “We moeten een veel genuanceerdere benadering nemen [mbt XDR, red.]”, is hij van mening. “We kunnen niet alleen vertrouwen op standaard data”, vervolgt hij. Hiermee suggereert hij dat veel XDR-platformen dat wel doen. Cisco heeft bovenop deze standaard data echter ook nog heel veel native telemetry, oftewel data die de tools van Cisco zelf genereren en aanleveren.

Als voorbeeld van dit soort telemetrie noemt Gillis de native telemetrie die Cisco heeft op het gebied van email. Daar is Cisco volgens hem nog altijd wereldwijd leider in. Dankzij de telemetrie die Cisco heeft, kan het alle transacties en processen zien die van en naar mailboxen gaan en lopen. Daarbij gaat het dus niet alleen om wat er in die mailbox gebeurt, maar ook over zaken zoals DNS-queries en de footprint van email op een endpoint. Deze benadering zorgt ervoor dat ze kunnen zien welke processen welke verbindingen maken. “Hiermee overbruggen we het gat tussen endpoint en netwerk”, geeft hij aan. Het platform van Cisco pikt de telemetrie op en voegt informatie toe. Op basis van deze informatie kan het bepalen of iets kwaadaardig is of niet. Als een onbekend proces bijvoorbeeld een powershell-script start, is de kans groot dat het foute boel is.

Native telemetrie, maar wordt dat ook open telemetrie?

De basis voor Cisco’s XDR is de native telemetrie die het heeft op meerdere gebieden. “Email, web, process-to-network en NetFlow, dat zijn de basiscomponenten voor onze XDR”, volgens Gillis. Hij durft de stelling wel aan dat er maar heel weinig leveranciers zijn die native telemetrie hebben op al deze domeinen. Zelfs Microsoft haalt dit niet, stelt hij. NetFlow is in principe ook beschikbaar voor andere leveranciers, maar ook daar heeft Cisco nog wat extra eigenschappen aan toegevoegd. Het process-to-network-stuk heeft AnyConnect als basis. Dat heet tegenwoordig overigens Cisco Secure Client. Daarmee voegt Cisco zaken zoals VPN en EDR toe, maar integreert het ook ThousandEyes-data.

Met native telemetrie kan Cisco dus volgens Gillis het verschil maken binnen de XDR-markt. Aan de andere kant is het echter ook zo dat het bedrijf naar eigen zeggen een open benadering van XDR nastreeft. Dat wil zeggen, het maakt ook ruimte voor integraties met tools van derde partijen en zelfs rechtstreekse concurrenten. Hoe houdbaar is dan de nadruk op native telemetrie? Als je als platform het beste voor hebt met de security van je klanten, moet je dan die telemetrie voor jezelf houden? Gillis geeft meteen toe dat dit wat “natuurlijke spanning” oplevert. Aan de ene kant zien ze dit bij Cisco uiteraard ook, maar aan de andere kant moet er ook zakelijk progressie geboekt worden. Volgens hem zijn er (intern) gesprekken gaande over welke zaken ze open willen stellen en welke niet. Wordt dus wellicht vervolgd.

Het netwerk ziet alles

Voor zijn overstap naar Cisco werkte Gillis bij VMware, zoals we hierboven al hebben aangehaald. Daar hield hij zich eveneens bezig met security. Tijdens een sessie van hem in zijn VMware-tijd, waar we bij aanwezig waren tijdens een evenement van dat bedrijf, had hij het over de hypervisor als “magische plek” om security te doen. Het ging toen vanzelfsprekend vooral over applicatiesecurity. Daarvoor is er geen betere plaats denkbaar dan de hypervisor, omdat alles daar doorheen gaat, zowel noord-zuid als oost-west.

In zijn huidige rol bij Cisco vertelt Gillis een soortgelijk verhaal, maar dan vanuit het perspectief van het netwerk. Daarmee spreekt hij zichzelf niet tegen overigens. De impact van het netwerk op security is namelijk nog een stuk groter dan die van de hypervisor, legt hij uit. “Het netwerk is het enige system of record dat je kunt vertrouwen”, volgens hem. Dat is de plek waar Cisco alle telemetrie vandaan haalt en/of aan koppelt, linksom of rechtsom.

Wel is het vanzelfsprekend zo dat je deze telemetrie goed moet gebruiken. Want met alleen telemetrie ben je er uiteraard nog niet. Een van de belangrijkste vragen waar de securityafdeling van Cisco zich mee bezighoudt is dan ook hoe ze de telemetrie die het netwerk levert optimaal in kunnen zetten. We kunnen ons met de carrière van Gillis in het achterhoofd zo voorstellen dat het beter koppelen van verschillende deelgebieden zoals het netwerk en alles wat daar nu al te detecteren is en de hypervisor (applicatiesecurity) daar een rol in gaat spelen. Dat zou de cyberweerbaarheid van organisaties in ieder geval weer een stuk verbeteren. We krijgen dan bij een volgende editie van de Cybersecurity Readiness Index hopelijk een iets rooskleuriger plaatje te zien.

TIP: Voor een beter idee over de globale strategie van Cisco, maar ook om te horen wat klanten van deze strategie vinden, raden we je aan om onderstaande video te bekijken: