13min Security

Tesorion wil zichzelf eigenlijk overbodig maken

Tesorion wil zichzelf eigenlijk overbodig maken

Liever word je geen doelwit van cyberaanvallen, maar tegenwoordig kan iedereen dat zijn. Tesorion biedt op dat gebied professionele dienstverlening, waarbij preventie een belangrijke rol speelt. Ook organisaties die al getroffen zijn, kunnen bij Tesorion terecht. De securityleverancier uit Leusden wil de omvang en impact van cyberincidenten minimaliseren met de eigen tools, waardoor de cybervolwassenheid van haar klanten wordt vergroot.

Klanten kunnen bij Tesorion op verschillende manieren terechtkomen. Bedrijven die simpelweg niet getroffen willen worden door cybercriminelen, kunnen op verschillende manieren hun cybervolwassenheid laten toetsen. Dit kan variëren van een security assessment uitgevoerd door een consultant tot een pentest om het beveiligingsniveau van een organisatie op de proef te stellen. Lex Borger, Cybersecurity Consultant bij Tesorion, noemt een dergelijke praktische test een “schop tegen techniek aan”. Andere preventieve middelen zijn de inzet van een Red Team of het laten toetsen of criminelen bijvoorbeeld gebruikersgegevens op het darkweb aanbieden. Tot slot kan Tesorions Security Operations Center (T-SOC) tevens organisaties 24/7 monitoren en deze taak gedeeltelijk of volledig overnemen.

Het ideaalbeeld is natuurlijk dat je op tijd bij Tesorion aanklopt, met andere woorden: wanneer je nog geen cyberincident mee hebt gemaakt. Echter is er daarnaast voor panikerende partijen met een actieve dreiging hulp aanwezig in de vorm van het Computer Emergency Response Team (CERT). Het pakket van Tesorion is compleet met expertise over governance, dat zich richt op advies over wenselijk security-beleid en een goede naleving van security-gerelateerde wetten. Dit alles vat Tesorion samen onder Predict, Prevent, Detect, Respond en Governance. Daarnaast organiseert het allerlei evenementen, waaronder Blue Team-workshops met Vectra, één van de partners waar Tesorion ook intern gebruik van maakt. Een veelzijdig bedrijf dus, waar we mee in gesprek gaan om uit te diepen wat het allemaal kan betekenen voor klanten.

Preventie: de basis op orde

Hoewel de focus van Tesorion op detection & response ligt, benadrukt Borger bovenal het belang van preventie en voorbereiding. “Als een bedrijf groot in de problemen komt, was zo goed als altijd één van de basismaatregelen niet op orde.” Een consultant als hij komt bij organisaties langs om te onderzoeken waar de grootste securityrisico’s voor hen liggen en helpt hen de cybervolwassenheid te vergroten. Zo heeft Tesorion meermaals draaiboeken geschreven die helder uitleggen wat een bedrijf moet doen bij een cyberaanval. De adviezen kunnen soms erg basaal zijn, maar zijn duidelijk gebaseerd op wat hun experts in het veld zijn tegengekomen. Door te leren van (soms haastige) fouten die bij andere organisaties zijn gemaakt, wil Tesorion soortgelijke incidenten bij haar klanten voorkomen.

Leestip: Microsoft biedt verenigd SecOps-platform: wat houdt het in?

Een draaiboek kan bijvoorbeeld adviseren om de hardware aan te laten staan, maar enkel het netwerk af te sluiten. Dat maakt het namelijk mogelijk voor security-experts om in het geheugen te kijken en op te sporen wat aanvallers hebben uitgevoerd. We moeten onder de ‘Basis op Orde’ van Tesorion dus niet alleen verstaan dat ze aanraden om Multi-Factor Authentication in te schakelen of een zero-trust aanpak te hanteren. Het bedrijf kijkt breder en praktischer naar security-beleid dan dat. Het draait voor Tesorion in algemene zin hierbij om drie elementen. Allereerst betreft dat kennis over welke informatie van jouw organisatie op het darkweb aangeboden wordt, weten welke security-maatregelen je moet nemen en: wat doe je als het toch fout gaat?

Een van de aspecten die daarbij aan bod komt is het trainen van personeel om bijvoorbeeld goed om te gaan met verdachte e-mails, signalen van infiltratie of een veilige omgang met data. Integraties met intern lesmateriaal zijn mogelijk, eveneens het plaatsen van posters die werknemers op cybergevaren attenderen. Ze klinken als simpele stappen, maar er is veel leed mee te voorkomen. Een kernaspect is het garanderen van een wenselijke bedrijfscultuur: wie in een phishing-mail is getrapt, hoort zich vrij te voelen om dit te melden. Borger benadrukt dat het investeren in preventie veel rendabeler is dan latere verdedigingsstappen. “De bang for your buck is daar een stuk groter dan elders.”

Oudere man met bril glimlachend naar de camera, gekleed in een blauw shirt en zittend met de handen geklemd op een tafel.
Lex Borger, Cybersecurity Consultant bij Tesorion

Tesorion put uit de jarenlange ervaring die het heeft opgedaan bij eerdere klanten. Zo hebben veel organisaties dit bedrijf ingeschakeld voor het verbeteren van hun veiligheid, in zowel de publieke als private sector. Ook al verschilt een gemeente met meer dan een kwart miljoen burgers aanzienlijk met een die zich in een perifeer gebied bevindt, de eisen zijn grotendeels hetzelfde. Het betekent dat eenzelfde duidelijke aandachtspunten te bespreken zijn.

Leestip: ‘Opeenstapeling van fouten’ maakte Chinese infiltratie bij Microsoft mogelijk

Het kan op talloze manieren misgaan met de cyberveiligheid van een organisatie, want security raakt alle kanten en lagen van een organisatie. Verouderde apparatuur kan gevaarlijk zijn, maar is wellicht nodig om legacy-systemen te onderhouden. Bij Tesorion erkennen ze dat dit soms een realiteit is. Daaruit blijkt de rol die het bedrijf inneemt bij een klant: het adviseert, soms nadrukkelijk, maar heeft uiteindelijk niet de zeggenschap om verandering door te voeren. Die eindverantwoordelijkheid ligt bij de klant, daarom is het belangrijk om cybersecurity ook op directieniveau te vertegenwoordigen. Advies leidt idealiter tot preventie en een vergroting van de cybervolwassenheid. Maar als het alsnog misgaat, is er ook een stappenplan te bewandelen.

Het vergroten van die cybervolwassenheid kan beginnen met een pentest, ofwel een geautoriseerde simulatie van een cyberaanval. Klanten kunnen daarbij kiezen tussen verschillende varianten. Zo komen sommige organisaties alleen langs om te laten verifiëren dat specifieke data niet door kwaadwillenden te bemachtigen is. Tesorion kan dus een aanvulling zijn op een bestaand intern security-team, maar kan eveneens een gat vullen als een bedrijf dat mist.

Detectie & response: T-SOC

Het Security Operations Center (T-SOC) van Tesorion reikt verder dan advies en pentests. Het T-SOC assisteert bedrijven actief met het voortdurend monitoren van potentiële dreigingen. Daarbij heeft Tesorion vroeg ingezet op managed detection & response, een security-benadering die meer positieve impact kan hebben dan alleen SIEM (Security information and event management). Al sinds een jaar of drie is de daadkracht bij Tesorion veel meer gericht op response: wat valt er te doen met de meldingen vanuit detectiesystemen en logbronnen? En hoe haal je de zorg voor verdediging zoveel mogelijk weg bij de klant?

Volgens Daniel Jansen, Manager Managed Services bij Tesorion, is dat een kerndoel van het T-SOC. Bij de meeste klanten komt een consultant periodiek (over het algemeen eenmaal per maand) langs, maar het bedrijf communiceert altijd met klanten op de momenten dat daar een goede reden voor is, bijvoorbeeld als er een mogelijk incident heeft plaatsgevonden. Wanneer het T-SOC verdacht gedrag ziet, zoals wanneer een medewerker plotseling inlogt vanuit een ander continent dan gewoonlijk, kan Tesorion contact opnemen.

Een glimlachende man in een zwarte trui zit op een groene achtergrond met grafische elementen.
Daniel Jansen, Manager Managed Services bij Tesorion

Tesorion richt zich niet op de allergrootste bedrijven, die hebben immers zelf SOC’s en komen hooguit met zeer specifieke vragen langs. Voor organisaties met een compact securityteam is het T-SOC een mogelijk verlengstuk.

Tip: xz-backdoor toont hoe kwetsbaar open-source is voor hackers met lange adem

Het T-SOC maakt naar eigen zeggen gebruik van best of breed-producten, waarbij AI-functionaliteit vaak een handje helpt. De suggestie komt weleens voorbij dat AI de vereiste expertise van een security-team verlaagt, of op zijn minst veel minder mankracht vereist. Jansen is daar wat genuanceerder over: “Je moet soms bijna een datawetenschapper zijn om te valideren waarom een trigger is afgegaan. Voorheen was een dergelijke trigger signature-based en kon je simpelweg een regel aanduiden die de melding teweegbracht.”

Er zijn wel detecties die Tesorion sneller oppakt omdat AI-systemen een oogje in het zeil houden. Tegelijkertijd helpt AI om de gewoonlijke meldingen af te vangen en verschillende meldingen aan elkaar te correleren. Daardoor ziet het sneller afwijkingen in gedrag en kan een SOC-analist sneller reageren. Maar AI kan zich ook vergissen, stelt Jansen. Zo geeft hij aan dat het knap lastig kan zijn om te achterhalen waarom een melding níét is afgegaan. Een hoog kennisniveau voor een security-rol zal dus nodig blijven, maar verschuift door AI mogelijk meer richting data science.

Een persoon die op een computer werkt met code op het scherm, onscherp op de voorgrond.
Het T-SOC bij Tesorion.

AI kan tevens juist aanvallers helpen. Vooralsnog ziet het team van Jansen met name een vereenvoudigde vertaalslag. Criminelen uit het buitenland kunnen makkelijker dan ooit een overtuigende Nederlandstalige phishing-mail schrijven. Daarbij kunnen kwaadwillenden met behulp van AI relevante berichtgeving van eigen bodem aanhalen, iets dat de geloofwaardigheid van een bericht aanzienlijk vergroot. Complexere AI-aanvallen heeft Tesorion nog niet kunnen ontdekken bij cybercriminelen. Het meest zorgwekkende is en blijft ransomware, dat vooral via de welbekende phishing-mails en het uitbuiten van kwetsbaarheden binnenkomt.

Vectra

Eén van de tools die men bij Tesorion gebruikt om dreigingen op te sporen, is het Vectra-platform. We hebben tijdens een Blue Team-workshop (“Hackers slapen niet”) hierbij een kijkje in de keuken mogen nemen. Aangezien de software geschikt is om de sporen van cybercriminelen te achterhalen, simuleerde Tesorion hierbij dat een aanvaller al binnen is. De UI is vrij intuïtief en zelfs voor leken redelijk eenvoudig te doorgronden. Vectra rangschikt dreigingen op vier niveau’s, waarbij de tool honderdduizenden events idealiter kan reduceren tot slechts een handvol reële dreigingen (indien die er überhaupt zijn).

De ‘window-to-detect’ kan vrij groot zijn. Tesorion heeft het liefste een potentiële aanvaller al geruime tijd in de smiezen voordat deze daadwerkelijk tracht te infiltreren. Mocht een cybercrimineel vervolgens tot de aanval over willen gaan, dan kunnen die eerdere detecties ervoor zorgen dat dit al niet meer mogelijk is. Het platform slaat informatie op die tot 180 dagen teruggaat. Bestaande Tesorion-klanten kunnen alleen al door deze tool dus langdurig beschermd zijn zonder het te weten. Vectra kan een verhaallijn weergeven van mogelijke dreigingen die een normaal mens niet zomaar had gedetecteerd door ogenschijnlijk ongerelateerde informatie te koppelen. Wie onthoudt immers dat iemand met hetzelfde IP-adres vier maanden eerder kortstondig een bezoek had gepleegd om nu met gestolen credentials binnen te komen? Die extra informatie helpt een dreiging sneller als zodanig te herkennen.

Lees ook: Hoe bereik je veilige en effectieve OT/IT-convergentie?

Ook hier blijkt dat hackers voorspelbaarder zijn dan het wellicht lijkt. 140 algoritmes dekken 90 procent van de gevaren, krijgen we te horen. Wel verdient de maakindustrie soms extra aandacht, omdat industriële apparatuur niet klassiek binnen het beeld past van de IT-wereld. OT is volgens Lex Borger een cruciaal aandachtspunt, want in veel gevallen is deze apparatuur wel verbonden met het internet. Daarnaast is de architectuur van een OT-device (denk hierbij aan sensoren en andere randapparaten) vaak relatief standaard. Hackers kunnen doorgaans op voor hen bekende manieren de Linux-basis van de software die op deze apparatuur draait, exploiteren.

Dat OT een achilleshiel is, is geen geheim meer. Ze zijn lastig te updaten en in veel gevallen onvervangbaar. Het verwisselen van deze apparatuur kan namelijk het functioneren van een fabriek of haven onderbreken. En, zoals Borger constateert: “Hackers weten waar de zwakke plekken zitten.” In veel gevallen zijn de gevolgen onzichtbaar. Dit is omdat hackers OT-apparatuur doorgaans compromitteren om bijvoorbeeld een botnet op te starten of cryptominers te draaien.

En wat als het al is misgegaan?

Preventie geniet de overweldigende voorkeur als het bescherming tegen cybercriminaliteit. Als het echter al is misgegaan zonder ooit met Tesorion gesproken te hebben, is het CERT (Computer Emergency Response Team) onmiddellijk inzetbaar. Dit team is er, in de bewoording van Borger, om je “uit de shit te halen”. Belangrijk daarbij is, zoals gezegd, om niet te veel zelf te willen doen. Professionele hulp is er om zaken volgens een bewezen daadkrachtig proces af te handelen.

Zodra Tesorion een dreiging heeft afgeslagen en een organisatie weer operationeel is, wil het herhaling voorkomen. Het is een misvatting om te denken dat je na één infiltratie, ook na het betalen van ransomware-eisen, gevrijwaard bent. Borger stipt aan dat gecompromitteerde partijen juist op een shortlist komen. Het is dus zaak om goed te kijken naar hoe je je zaken wél op orde kunt hebben. Daar kan Tesorion bij helpen.

Lees ook: Orange Cyberdefense aan nieuw kabinet: “Actie tegen ransomware nodig”

Echter blijkt daarin de rol van dit bedrijf ietwat anders dan je wellicht zou verwachten. Eén van de opties die Tesorion aanbiedt is bijvoorbeeld CISO-as-a-Service. Via deze dienst helpt een specialist vanuit Tesorion de security posture van een organisatie te verbeteren. Dat is evolutionair bedoeld: het liefst is er een uitstapmoment zodra een bedrijf de handvaten heeft om veilig te blijven. Borger: “Je hoort te groeien. We zien graag dat een klant het voortaan zelf kan redden.”

Vingerwijzingen

Ons bezoek aan Tesorion wordt gekenmerkt door een zekere zelfrelativering van dit bedrijf. Ook al bezit het veel instrumenten, het liefst helpt men organisaties preventief of met detectie- en response-middelen, waardoor al het leed wordt voorkomen. Zo horen we meermaals dat er geen stigma moet rusten op het melden van een phishing-aanval. Wanneer een medewerker op een gevaarlijke link heeft geklikt, moet die daar geen negatieve gevolgen van ondervinden.

Daarnaast is al het advies van Tesorion naar eigen zeggen niet altijd genoeg. Sommige organisaties blijven fouten maken, waardoor regelgeving nodig is. Denk hierbij aan NIS2 en de Cyber Resilience Act, die met name kritieke sectoren verplichten om hun security op orde te hebben. Zijn al die bekende dreigingen van LockBit en co niet genoeg motivatie om beveiligingsmuren op te bouwen? “Ik zou willen dat dat zo was,” zegt Borger. “Het is juist heel hard nodig dat overheden wat vingerwijzingen geven. Nu komen die er in rap tempo aan, daar zijn we blij mee. Er waren tot nu toe te veel partijen die de kantjes eraf liepen en zeiden ‘wij zijn toch niet interessant’. Die kun je pas dwingen als je duidelijke regels geeft.”

Lees verder: NIS2-Quickscan adviseert organisaties bij voorbereiding op cyberwet

Bij de les

Toen Borger einde vorige eeuw in de security ging werken, waren er nog helemaal geen regels vanuit de overheid omtrent cybersecurity. Cybercriminaliteit was “gerommel in de marge” en werd uitgevoerd door “schooljongens die niet al te kwade bedoelingen hadden”. Criminele organisaties maken tegenwoordig iedereen interessant als doel of middel voor hun praktijken. Bestuurders zijn nu persoonlijk aansprakelijk voor nalatig securitybeleid, terwijl zij cybersecurity vijf jaar geleden zagen als saai onderwerp. “Nu zijn ze bij de les.”

Het geeft Tesorion volgens Borger een duidelijker mandaat om organisaties bij te staan. Dat zal nodig blijven, want ondanks alle overeenkomsten blijven cybercriminelen nieuwe security-aanvallen verzinnen. “De verscheidenheid in aanvalsmogelijkheden is groter dan waar een standaard raamwerk tegen is te beschermen,” aldus Borger. Tesorion zal dus nog lang aan het werk blijven.