Een XDR-oplossing voor kmo’s waarmee je voor een betaalbare prijs een IT-omgeving continu kan monitoren op cyberdreigingen? Ja, waarom niet?
Om beter beschermd te zijn tegen cyberaanvallen of datalekken, is het belangrijk dat bedrijven hun IT-omgeving continu monitoren en potentiële dreigingen tijdig opmerken en aanpakken. Echter, IT-teams hebben hun handen vol met andere taken of budgetten ontbreken vaak om hier een eigen SOC-team rond uit te bouwen.
Daarom wordt er vaak een SOC-team (Security Operation Center) ingeschakeld die het continu monitoren van dreigingen uit verschillende hoeken op zich nemen. Dergelijke oplossingen worden breed toegepast in grote bedrijven, maar lijken vanwege hoge kosten geen evidentie voor kmo’s. Hoe kan jij als kleine onderneming dan toch een allesomvattende beveiligingsoplossing implementeren, zonder de grote pot te betalen?
Centraal securitysysteem
Een Security Operation Center (SOC) heeft verschillende buzz-termen waaronder een bekend begrip in het security-landschap: Managed Detection and Response (MDR). Deze termen wijzen op het continu monitoren van security-events, zoals bijvoorbeeld een firewall, antivirus of -spam. Door al die beveiligingsmeldingen en waarschuwingen moeten IT-teams het bos door de bomen blijven zien. Om te weten wanneer je moet reageren en wanneer niet, heeft het SOC-team nood aan een centraal punt waar alle meldingen samen komen.
Een XDR– of SIEM-oplossing kan hiervoor zorgen. XDR, of Extended Detection and Response, verzamelt gegevens vanuit alle eindpoints en logs van andere security events, zoals firewallactiviteiten, en bundelt deze in een centraal dashboard. SIEM staat voor Security Information and Event Management en gaat iets verder dan enkel het security-component. “Met een SIEM-oplossing kan je bijvoorbeeld ook gebruikers monitoren op abnormaliteiten zoals failed logons, veranderingen aanbrengen door gebruikers die er geen rechten voor zouden mogen hebben, of een Active Directory (AD) toepassen”, aldus Robin Bruynseels, Cybersecurity en SOC-engineer bij Easi.
Een ander groot verschil met een SIEM-oplossing, is dat het ook rauwe logs bevat. Dit is data waar je misschien niet direct veel aan hebt. Bij XDR gaat het voornamelijk over de detectie van echte producten, zoals een antivirus of –spam, die iets detecteert. “XDR is een meer gefilterde versie van SIEM, die ook zaken detecteert waar je security-team niet altijd iets aan heeft, en bovendien snel kan reageren indien nodig”, aldus Bruynseels.
SOC voor kmo’s
Beveiligingsoplossingen zoals XDR of SIEM worden vaak toegepast in grote ondernemingen die de middelen en kennis hebben om een eigen SOC-team te bouwen, of samen te werken met een extern, gespecialiseerd team. “We hebben een ‘Easi SOC Pro-module’ die ontworpen is voor grote bedrijven met meer dan duizend gebruikers. Dergelijke SIEM-oplossingen zijn echter voor kleine kmo’s niet te betalen”, aldus Bruyneels.
We willen kleine, groeiende bedrijven ook een betaalbaar product bieden dat hetzelfde doet als een SIEM-oplossing, maar dan met iets minder capaciteiten.
Robin Bruynseels, Cybersecurity en SOC-engineer bij Easi
Toch hebben ook kleine bedrijven nood aan een allesomvattende beveiligingsoplossing die alle endpoints met elkaar verbindt. “Om het gat in de markt te dichten en kmo’s een gelijkaardig beveiligingsproduct te bieden, hebben we bij Easi een SOC-module gecreëerd speciaal voor kmo’s”, vertelt Bruynseels.
Bluehorn biedt soelaas
Die nieuwe module op maat van kmo’s kreeg de benaming ‘Bluehorn’. Het product is volledig in-house ontworpen door een security engineer expert van Easi. “Hij ontwierp een eigen security-product dat voor kmo’s een betaalbare en allesomvattende beveiligingsoplossing biedt”, aldus Bruynseels. Het dient dus als alternatief voor een SIEM-oplossing, maar dan op maat van kmo’s. Voor de duidelijkheid, Bluehorn is het product, achterliggend heb je nog steeds het SOC-team van Easi nodig die de analyses via de toepassing uitvoert.
Bruynseels: “Het voordeel van een eigen product is dat je zelf de capaciteiten kan bepalen en nieuwe functies kan toevoegen.” Easi beschikt bovendien over heel wat in-house-kennis op gebied van security, waardoor het product continu aangepast kan worden op basis van hun ervaring en expertise.
“In eerste instantie was Bluehorn een soort asset managementtool. Omdat we merkten dat er meer interesse en nood was aan het security-aspect, zijn we overgeschakeld op het XDR-principe”, aldus Bruynseels. Easi wil alle securitycomponenten samentrekken om zo vanuit één standpunt te kunnen reageren. “Stel er logt iemand in vanuit China, dan zal Bluehorn aangeven dat dit geen normaal gedrag is, en kunnen we binnen het SOC-team die gebruiker zijn toegang meteen ontdoen.” Het is dus niet alleen ‘extended detection’, maar ook ‘response’.
Flexibel product
Bluehorn is een flexibel product. “We baseren ons op bepaalde producten die reeds in onze securityoplossing geïntegreerd zijn. Indien klanten toch werken met andere software of bijvoorbeeld een bepaalde firewall die niet in Bluehorn zit, kunnen we ervoor zorgen dat die integratie tocht gebeurt”, legt Bruynseels uit. Het is de bedoeling dat het platform mee evolueert samen met de klant.
Bluehorn is continu in ontwikkeling, maar het is niet de bedoeling om te concurreren met enterprise-producten.
Robin Bruynseels, Cybersecurity en SOC-engineer bij Easi
Bluehorn komt in de vorm van één pakket, niet meer en niet minder. “Als we nieuwe functies uitrollen, kunnen klanten hier gewoon van gebruik maken en hoeven ze geen meerprijs te betalen”, aldus Bruynseels. “Wij kunnen namelijk ook leren uit de producten van klanten. Op die manier groeit het samen met de klant en kunnen we ons product van meerdere capaciteiten voorzien. Het is continu in ontwikkeling”.
Waar andere SOC-leveranciers bij het bepalen van de prijs kijken naar het aantal logs, is dat bij Easi anders. “We berekenen de prijs op basis van het aantal assets: hoeveel pc’s, laptops en servers de IT-omgeving telt”, legt Bruynseels uit.
Bewustwording
Toch blijft deze investering een grote stap voor kmo’s. Bruynseels: “Meestal zijn kleine bedrijven geïnteresseerd in dergelijke beveiligingsoplossingen, maar hebben ze die investering bijvoorbeeld niet in hun financiële doelstellingen staan.”
Met het hele NIS2-verhaal zullen bedrijven hier in de toekomst anders naar kijken. NIS2 zal hierin een belangrijke rol spelen aangezien het nu ook voor kmo’s van belang is. “Het creëert meer bewustwording rond het securityverhaal”, vertelt Bruynseels.
“We willen voornamelijk IT-teams helpen groeien in hun maturiteit op gebied van cybersecurity. Ons product evolueert samen met de klant mee tot een allesomvattende cybersecurityoplossing, op maat van de kmo”, besluit Bruynseels.