Acronis staat voor velen synoniem met back-ups, maar het bedrijf doet meer dan dat. Met een eigen EDR-oplossing wil Acronis organisaties voorzien van een sluitend beveiligingsplan dat identificatie, bescherming, detectie, respons en recovery omvat.
Wie de deur zo goed mogelijk wil sluiten voor hackers en malware, heeft vandaag niet genoeg aan één tooltje. Eerst en vooral moet je weten wat je hebt in je bedrijf, waar de data staan, en wat je wil beveiligen. Dan heb je oplossingen nodig die bedreigingen kunnen detecteren aan de hand van handtekeningen, maar ook gedrag wanneer malware ongekend is. Vervolgens moeten systemen beschermd worden van die dreigingen, door ze succesvol en tijdig te blokkeren.
Dat lukt in realiteit niet altijd, dus heb je ook een oplossing nodig voor malafide software die voorbij de eerste verdedigingslinie geraakt. Perfect vermomde ransomware kan misschien op je laptop geraken, maar op een bepaald moment heeft die ransomware toegang nodig tot je bestanden om die te versleutelen. Wie dat tijdig detecteert, kan de meubelen nog redden. Natuurlijk is er bij zo’n intrusie een responsplan nodig: wat doe je om zeker te zijn dat de hackers van alle pc’s af zijn, en een eventueel lek is gedicht?
Vijf NIST-pijlers
En dan is er het ergste scenario: een succesvolle aanval. Zoiets is helaas nooit helemaal uit te sluiten, maar ook een geslaagde hack hoeft niet het einde te betekenen wanneer je goede back-ups én een uitgekiende herstelstrategie hebt. Het NIST-framework vat die zaken samen in vijf functies:
- Identificeer (wat je hebt)
- Bescherm (met toegangs- en beveiligingsoplossingen)
- Detecteer (relevante bedreigings-evenementen in je omgeving)
- Respons (op die dreigingen)
- Herstel (met een duidelijke strategie wanneer het nodig is)
Voor grote bedrijven zijn er tal van spelers die een totaaloplossing aanbieden gebaseerd op die vijf pijlers. Voor de kmo met weinig tot geen gespecialiseerd personeel, is dat een pak moeilijker. Daar wil Acronis verandering in brengen en daarom spreken we met Rick Hebly, Director van Product Management bij het bedrijf.
Voorbij de back-up
“Acronis is in 2003 opgericht en werd bekend met back-ups”, vertelt Hebly. “De jaren daarna zag iedereen back-up en recovery nog steeds voornamelijk als beveiliging tegen menselijke fouten, hardware-defecten of natuurrampen. Intussen is de context helemaal veranderd. Organisaties vragen zich af wat ze moeten doen om geen losgeld te moeten betalen aan ransomware-bendes. Back-up en recovery is niet meer de totale oplossing, maar de laatste uitweg op het moment dat alle andere oplossingen en maatregelen ontoereikend waren.”
Back-up en beveiliging gaan in de huidige context dus wel hand in hand en zijn zo deel gaan uitmaken van het NIST-raamwerk. Acronis heeft dan beslist om zich als organisatie over de hele cyclus te ontfermen.
Van antivirus naar EDR
“Aanvankelijk ontwikkelden we een antivirus-oplossing”, weet Hebly. “Zo verzorgden we detectie voor een succesvolle aanval, eerst aan de hand van handtekeningen maar later proactiever via next gen-antivirustechnologie.” Dergelijke oplossingen werken niet alleen op basis van handtekeningen van gekende malware, maar kunnen ook vermomde malafide code detecteren. “Ook geavanceerde antivirusoplossingen richten zich echter exclusief op bescherming van een endpoint voor een digitale inbraak”, beseft Hebly.
Zoals we hierboven beschreven, heeft een moderne beveiligingsarchitectuur ook de capaciteit nodig om na een succesvol hack indringers te detecteren en daarop te reageren. Daarom ontwikkelde Acronis een eigen EDR (Endpoint Detection & Response)-oplossing.
“EDR kijkt naar allerhande events en correleert die met elkaar”, legt Hebly uit. “Wanneer een nieuwe werkplek wordt geconfigureerd, is dat op zich niet vreemd. En wanneer een beheerder een firewall-poort openzet, is dat eveneens niet zo speciaal. Maar wanneer de nieuwe werkplek zich als beheerder aanmeldt en dan meteen aan de beveiliging gaat sleutelen, is er misschien wel iets aan de hand.” Een EDR-oplossing probeert zo mogelijke tekenen van een succesvol hack aan het licht te brengen.
Geavanceerd maar toegankelijk
Dergelijke oplossingen zien we ook bij andere beveiligingsspecialisten, maar die richten zich doorgaans op grotere bedrijven. Acronis probeert zich te onderscheiden door de kmo aan te spreken, en dat vereist een goed begrip van die markt en een unieke architectuur.
“Kmo’s kijken voor het beheer van hun IT meestal naar managed service providers”, verduidelijkt Hebly. “Die MSP’s verzorgden vroeger de back-up en recovery-opties en moeten zich nu ook als specialist voor beveiliging positioneren.”
MSP’s moeten zich nu ook als specialist voor beveiliging positioneren.
Rick Hebly, Director Product Management Acronis
Complexe beveiligingssystemen waarbij de kmo een team in dienst heeft om events gedetecteerd door de EDR-oplossing te analyseren, is uit den boze. MSP’s die dergelijke kmo’s bedienen, hebben doorgaans evenmin de schaal om een volwaardig Security Operations Center (SOC) op te zetten. Om de kmo van voldoende beveiliging te voorzien, is er een eenvoudige totale cyberbeschermingsoplossing nodig die compleet is, maar toch eenvoudig genoeg blijft zodat een MSP het beheer voor z’n rekening kan nemen.
Eén agent voor alles
Acronis combineert EDR, back-up en recovery in één agent die op endpoints draait binnen een bedrijf. MSP’s krijgen op hun beurt een portaal waarin ze centraal de omgevingen van verschillende kmo’s kunnen beheren en de EDR-eventdata in het oog kunnen houden. “We voorzien ingebouwde intelligentie die de EDR-oplossing radicaal eenvoudiger maakt, zodat de mensen die vandaag al bij een MSP werken, meteen aan de slag kunnen met de dashboards, “vervolgt Hebly. “AI neemt een deel van het werk over. De controle blijft in handen van MSP’s, die wel automatisch een heleboel context meekrijgen.”
lees ook
Acronis lanceert eigen EDR-oplossing
Detecteert de EDR-oplossing bijvoorbeeld een verdachte sequentie van events, dan ziet de IT-professional bij de MSP wat die events zijn, waarom de oplossing ze verdacht vindt, maar ook wat eventuele oplossingen zijn. In geval van gevaarlijke problemen kan de agent een endpoint alvast even isoleren, maar beheerders kunnen ook andere acties ondernemen. In een extreem geval waarbij bijvoorbeeld een ransomware-aanval heeft plaatsgevonden, kan herstel via een back-up de juiste oplossing zijn.”
Democratisering
“Zo kunnen we EDR democratiseren. De oplossing is te beheren via dezelfde hiërarchische piramide die een MSP kent van andere oplossingen”, benadrukt de expert. “Zowel praktisch als financieel is de ene oplossing eenvoudig voor iedereen beschikbaar.” Omdat alles op het endpoint van de eindklant via één agent werkt, is beveiliging op maat niet complexer dan functies in- en uitschakelen.
Hebly maakt zich sterk dat Acronis uniek is met zijn kmo-gericht aanbod dat identificatie, bescherming, detectie, respons en herstel in één oplossing combineert. “We voorzien één plan met één agent waar alle beleidsregels zitten, met daarin heel wat automatisering”, benadrukt hij. “Beveiliging bestaat vandaag uit vele facetten. Wij hebben een tool gemaakt voor normale mensen, die toch de volledige beveiligingscyclus omvat.”
Zo positioneert Acronis zich vandaag als one stop shop voor de complete cyberbeveiliging- en beschermingsnood van een bedrijf. Back-up zit nog steeds in het DNA van het bedrijf, maar dan als onderdeel van een totaaloplossing.