HP wil je voornaamste securityspecialist worden

hp laptop security

HP ziet het als zijn verantwoordelijkheid om de computers die je koopt ook veilig te houden. Daartoe neemt het bedrijf het heft in handen en sleutelt het aan een uitgebreid beveiligingsportfolio dat oplossingen van andere beveiligingsspecialisten in bepaalde gevallen kan vervangen.

Vergeet gevestigde namen in de securitywereld: als het van HP afhangt kan je terecht op één adres voor je laptops en de beveiliging ervan. Het bedrijf heeft de ambitie om als volwaardige securityspecialist de beveiliging van endpoints op zich te nemen in de kmo-markt en wil een aantal essentiële bouwstenen bieden voor het beveiligingsbedrijf van enterprise-omgevingen. Iedere OEM is vandaag bezig met een minimum aan beveiliging in zijn hardware, maar HP overtreft de andere spelers minstens in ambitie.

“Cyberaanvallen verschuiven steeds meer van servers naar endpoints”, schetst Tim Van Isterdael, Country Category Manager voor HP. “Bovendien worden de aanvallen steeds complexer. Malware richt zich niet enkel op toepassingen en het besturingssysteem, maar ook op de firmware eronder. Het volstaat niet meer om enkel het OS af te dichten.”

Malware richt zich niet enkel op toepassingen en het besturingssysteem, maar ook op de firmware eronder.

Tim Van Isterdael, Country Category Manager HP

“De uitdaging is vandaag nog groter”, vervolgt hij. “Toestellen zijn uit de veilige perimeter verhuisd naar thuisnetwerken waar ze een stuk kwetsbaarder zijn. Bedrijven moesten heel snel omschakelen zodat er al te vaak gaten in de endpointbeveiliging zitten. Bovendien kunnen IT-departementen niet schalen met de vraag om hulp op afstand.” De oplossing is volgens Van Isterdael een pc die zichzelf autonoom kan verdedigen in het kwetsbare thuisnetwerk en zichzelf ook kan herstellen wanneer er toch iets fout loopt.

Drie beveiligingspijlers

HP wil dat leveren, niet alleen als laptopbouwer maar ook als beveiligingsexpert. Daartoe voorziet het bedrijf een beveiliging op drie niveaus. “We willen toestellen, data en identiteiten beschermen onder het besturingssysteem, in het OS en er bovenop.”

Die eerste pijler is gebaseerd op hardware. “Daarin onderscheiden we ons van de concullega’s”, verduidelijkt Van Isterdael. “De beveiligingslaag zit ingebed in de hardware in de vorm van de Endpoint Security Controller: een veilige root of trust waarop verificatie plaatsvindt.

Eigen controller

“De controller is een aparte ASIC die we zelf ontworpen hebben”, verduidelijkt Ruben Raadsheer, chief technologist bij HP België en Nederland. Die staat los van alle andere infrastructuur. Wanneer je een toestel inschakelt, is de chip het eerste onderdeel dat wordt geactiveerd. De controller valideert 900.000 regels aan code nog voor de cpu wordt ingeschakeld. Het ding checkt onder andere zichzelf, de bios, maar ook eventuele beveiligingsinstellingen op maat van een organisatie.”

Onze Endpoint Security Controller valideert 900.000 regels aan code nog voor de cpu wordt ingeschakeld.

Ruben Raadsheer, chief technologist HP België en Nederland

De Endpoint Security Controller verschilt volgens Raadsheer van een klassieke TPM-module omdat de chip helemaal los van de cpu kan functioneren. “Ook wanneer het systeem is opgestart, blijft de controller actief”, legt Raadsheer verder uit. “De chip communiceert met de processor en kijkt of bepaalde processen nog actief zijn. Die voortdurende validatie maakt het onmogelijk voor malware om op het niveau van het OS beveiligingssoftware uit te schakelen.”

Loopt er toch iets mis, dan onderneemt de controller actie. Het systeem wordt dan heropgestart met veilige code en in nieuwe versies van de chip worden zelfs eventueel verwijderde DLL-bestanden vervangen door originele versies. Is het toch onmogelijk om van een aanval te herstellen, dan maakt de Endpoint Security Controller verbinding met HP via het internet en kan je de pc automatisch helemaal opnieuw instellen. HP plaatst de functionaliteit van de controller onder de naam Sure Run. Die dienst maakt deel uit van het HP Essential Security-aanbod dat pc’s moet beschermen over de drie voorgenoemde pijlers.

AI en VM’s

In het besturingssysteem bestaat de beveiligingslaag van HP uit verschillende tools waarvan Sure Click en Sure Sense er het meest tussenuit springen. Sure Click is het resultaat van de overname van beveiligingsspecialist Bromium. “De tool zorgt voor de isolatie van onder andere browsertabbladen, Office-bestanden en Outlook-bijlages in een micro-VM”, zegt Raadsheer. “Heeft een webpagina of bestand toch malware aan boord, dan blijft de besmetting beperkt tot de virtuele machine. Je hoeft maar op het kruisje te drukken en het probleem is weg. Zo blijft de rest van je systeem gevrijwaard.”

lees ook

Hoe maak je een laptop duurzaam?

Sure Sense is dan weer een aanvulling op de Defender-antivirusoplossing van Microsoft. “Defender volstaat voor signature-gebaseerde antivirusbescherming in Windows 10”, vindt Raadsheer. “Sure Sense beschermt systemen van ongekende dreigingen waar geen signatures voor bestaan.

“Sure Sense is een brein dat we trainden om malware te herkennen via AI en machine learning. Het brein weet hoe malware zich gedraagt en hoe dat verschilt van een normaal proces.” De tool neemt op een pc de vorm aan van een erg bescheiden client die amper 15 MB weegt. Die slaat alarm wanneer een proces zich gedraagt als malware, ook wanneer het om een nooit eerder geziene bedreiging gaat.

Privacyscherm

Tot slot wil HP ook boven het besturingssysteem bescherming bieden. Het meest zichtbare voorbeeld daarvan is Sure View, misschien beter gekend als het privacyscherm. Die functie zorgt ervoor dat niemand kan meekijken op je scherm doordat de kijkhoek kunstmatig verkleind wordt. Heb je dat nog nooit in actie gezien, denk dan aan het scherm van een bankautomaat waar je recht voor moet staan om gevoelige gegevens te lezen. “De nieuwste versie van Sure View werkt voor enterprises samen met Microsoft Azure zodat het privacyscherm automatisch wordt ingeschakeld wanneer je gevoelige applicaties laadt.”

Bovenstaande geeft een mooi beeld van de securitycapaciteiten van HP van de firmware over het OS tot de hardware. Van Isterdael en Raadsheer zijn ervan overtuigd dat de beveiligingssuite van HP in combinatie met de ingebouwde beveiliging van Windows 10 volstaat om een systeem zo goed als mogelijk te beveiligen, zonder dat daar een klassieke antivirusspeler bij komt kijken. “HP kan als laptopbouwer van de hardware naar boven beveiligen, wat eenvoudiger en veiliger is dan beveiliging die van de software naar omlaag werkt”, voegt Raadsheer nog toe.

Uitgedacht beveiligingsaanbod

Hoe ziet dat aanbod er nu concreet uit? Van Isterdael verduidelijkt: “De beveiliging bestaat in verschillende smaakjes. HP Essential Security staat op alle zakelijke notebooks en desktops en biedt een gratis bescherming over de drie pijlers. De Sure-tools zijn beschikbaar, maar niet altijd met de meest uitgebreide functionaliteit.”

“Vooral in de kmo-markt willen we met HP als beveiligingsspeler verder gaan. Daartoe hebben we HP Pro Security.” Van Isterdael omschrijft die beveiliging als enterprise-security op maat van de kmo. Onder de koepel van Pro Security is Sure Click bijvoorbeeld compatibel met meer bestandssoorten en kunnen gebruikers ook bestanden bewerken in de micro-VM. Verder voorziet HP bescherming tegen identiteitsdiefstal die niet in de gratis suite zit. Tot slot komt Pro Security met een console op kmo-niveau. “Daarmee kunnen organisaties eenvoudig alles monitoren. Updates worden via de HP-cloud geïnstalleerd, zodat er nauwelijks onderhoud of management nodig is.”

Grotere bedrijven

Voor de iets grotere organisaties breidt HP de bescherming nog verder uit met HP Pro Active Security. Dat niveau van beveiliging kan je meer als een managed service zien. De dienst combineert de beveiliging van de Essential en Pro-suite met telemetrie-monitoring ondersteunt door de Techpulse-oplossing van HP. Organisaties krijgen daarbij ondersteuning van experts die hulp bieden in geva van nood.

lees ook

Moeten bedrijven vandaag nog zelf laptops kopen?

Een heel belangrijk bijkomend verschil is de beschikbaarheid. Van Isterdael: “Deze oplossing werkt voor verschillende besturingssystemen en vendoren, dus niet alleen op HP-systemen.” Het gaat dan vooral over de monitoring en de tools vanaf het OS-niveau. Het spreekt voor zich dat een oplossing als Sure Run wel degelijk HP-hardware nodig heeft.

Tot slot speelt HP ook mee op enterprise-niveau, al heeft het bedrijf daar niet de ambitie om grote spelers te vervangen. In het enterprise-segment voorziet HP oplossingen op maat die ingebouwd zitten in de infrastructuur en samenwerken met andere beveiliging. HP heeft met andere woorden geen ambitie om firewalls van Check Point of Sandboxes van Fortinet te vervangen, wel hier beveiliging aan toe te voegen.

Totaalbescherming

Het resultaat is in onze ogen een aanbod dat vooral op kmo-niveau erg volledig oogt. De overname van Bromium gecombineerd met de hardwaregebaseerde oplossingen zorgen voor een best uitgebreide endpointbeveiliging. Een groot argument van gevestigde beveiligingsspelers is het belang van gedragsgebaseerde detectie als aanvulling op een klassieke signature-beveiliging en ook die heeft HP aan boord. Als één van de grootste laptopbouwers ter wereld ontbreekt het HP bovendien niet aan telemetrie om de machine learning-algoritmes te voeden.

We staan versteld van de hoge ambitie van HP. Zowel Raadsheer als Van Isterdael schrikken er niet voor terug om HP als volwaardige concurrent voor klassieke beveiligingsbedrijven te positioneren, toch zeker wat endpointbeveiliging in de kmo betreft. Het one-stop-shop-principe is van toepassing. Als je als bescheiden bedrijf aanklopt bij HP voor zakelijke laptops, dan ben je in principe gesteld voor zowel de hardware als de complete beveiliging ervan. We zijn benieuwd hoe HP als beveiligingsspecialist de komende jaren in de markt zal evolueren.

nieuwsbrief

Abonneer je gratis op ITdaily !

  • This field is for validation purposes and should be left unchanged.