10 minute read
DATTO
DATTO NEEMT DE ROL VAN DE LEVERANCIER ONDER DE LOEP
MSP speelt centrale rol in weerbaarheid tegen cybercrime
Managed Service Providers spelen een belangrijke rol in de IT van de eindklant. Naast het leveren van producten is er ruimte voor onderhoud en beheer. Maar op het gebied van beveiliging kan de rol van de MSP nog wel wat aangescherpt worden, zegt Datto. Die moet vooral letten op zijn leverancierskeuze. Tekst: Marcel Debets
Wanneer er iets mis gaat in de beveiliging van het systeem van de eindklant, kijkt iedereen al snel naar de MSP. Heeft die zijn verantwoordelijkheid wel genomen? Er is steeds meer begrip voor de belangrijke rol die de MSP speelt in het kanaal, maar vaker is er ook aandacht voor situaties waar het mis kan gaan, met name bij de beveiliging van data. Maar de verantwoordelijkheid ligt niet alleen bij de partners, zegt Ryan Weeks, Chief Information Security Officer (CISO) bij Datto. Ook leveranciers spelen een belangrijke rol. Reden te meer voor de MSP om zorgvuldig te zijn bij de keuzes voor zijn leveranciers. Managed Service Providers spelen een belangrijke rol bij het beschermen van de gegevens van klanten, maar ze vertrouwen erop dat leveranciers deze rol ook serieus nemen. “Inbraken en aanvallen op systemen nemen nog steeds hand over hand toe,” zegt Weeks. “MSP’s moeten constant waakzaam zijn en cyberresilience-benaderingen ontwikkelen die verder gaan dan alleen het aanschaffen en implementeren van beveiligingsoplossingen.”
Vijf pijlers
Een goede, allesomvattende strategie voor cyberbeveiliging, bedrijfscontinuïteit en incidentrespons berust op vijf pijlers: het vermogen om risico’s en bedreigingen te identificeren, en om bescherming te bieden voor alle risico’s (ook recent ontdekte), deze op te sporen, en erop te reageren en eventueel systemen en gegevens te herstellen. “Veel MSP’s nemen al stappen om deze gebieden te versterken. Maar de beveiligingsstrategie van een organisatie is zo sterk als de zwakste schakel, en zoals verschillende recente beveiligingsinbreuken hebben aangetoond, kunnen derde partijen onvoorziene risico’s introduceren”, zegt Weeks. Weeks doelt daarmee op de leveranciers, die uiteraard integraal onderdeel uitmaken van de totale leveringsketen van de MSP. “Maar wat de meeste mensen niet beseffen, is dat de relatie tussen MSP en leverancier - opzettelijk of onopzettelijk – risico’s wat betreft eventuele bedreigingen aan het adres van een organisatie kunnen opleveren. Veel MSP’s beginnen zich langzaam te realiseren dat leveranciers de vertrouwelijkheid, integriteit en beschikbaarheid van gegevens misschien niet zodanig beschermen, dat een organisatie weer snel up & running is na een aanval. En de MSP wordt er vervolgens door de eindklant op aangekeken. Eigenlijk zouden MSP’s de mogelijkheid moeten hebben om leveranciers verantwoordelijk te houden voor de kwaliteit van de beveiliging, de resultaten en de mate waarin de software continu paraat is”, bepleit Weeks.
Grondig assessment
Service Level Agreements (SLA’s) tussen partners en eindklanten zijn heel normaal.
Ryan Weeks
Waarom zou zo’n SLA niet ook kunnen bestaan tussen leverancier en partner? Volgens Weeks zijn er vier aspecten die bepalen of en hoe een leverancier verantwoordelijk is voor beveiligingsrisico’s, en het is belangrijk dat een MSP deze voldoende onderkent en bespreekbaar maakt bij de leverancier. “Om te beginnen moet er een grondig assessment van de leverancier en diens producten en diensten plaatsvinden. Daarbij is het belangrijk om de hiaten in de beveiliging vast te stellen die het gebruik van de producten of diensten van de leverancier heeft. “Heb je die niet in kaart gebracht, dan is de kans groot dat je een essentieel onderdeel van de cyberweerbaarheidsstrategie van je organisatie verwaarloost.” Weeks raadt aan om een centraal beheerde inventarisatie aan te maken, waarin elke leverancier wordt geregistreerd, samen met het type producten en diensten die worden aangeboden. Zo kun je in een oogopslag zien waar de hiaten zitten in de aangeboden bescherming.
Prioriteiten stellen
De volgende stap is om prioriteiten te stellen, waarna je op basis van de inventarisatie kunt bekijken bij welke producten en diensten potentieel de grootste schade zou ontstaan wanneer een aanval succesvol is. Dat zijn de producten waar je het eerst aandacht aan moet geven. “Criteria waarmee je rekening moet houden zijn onder meer: Welk type gegevens bewaart of verwerkt de leverancier namens jou? Hoe diep in jouw organisatie is de leverancier ingebed? Hebben ze bijvoorbeeld lees- en schrijftoegang? In welke mate heeft deze leverancier of dit product interactie met jouw klanten?” De volgende twee stappen omvatten het evalueren van de leveranciers en het opstellen van SLA’s. Deze gaan met name over hoe er gereageerd wordt op mogelijke inbreuken en door wie. “Zorg ervoor dat de bedrijfscontinuïteitsplannen die zijn ontworpen en getest niet alleen voldoen aan de minimale vereisten, maar ook een antwoord hebben op onvoorziene zaken. Als je je voornamelijk zorgen maakt over jouw gegevens, bouw dan de juiste toegangscontroles in het platform van de toeleverancier in, controleer of de juiste versleutelingsstandaarden worden toegepast en zorg ervoor dat audittrail-logboeken regelmatig worden bekeken.”
Geen eenmalig proces
Ten slotte dringt Weeks er bij de MSP’s op aan de relatie met de leveranciers continu te evalueren. “Het beheren van leveranciers is een continu proces, geen eenmalige gebeurtenis”, zegt Weeks. “Het komt er vooral op aan dat je hiaten in de processen van de leverancier niet over het hoofd te ziet. Blijf alert, onderzoek verder, stel vragen, spreek met de juiste mensen binnen je leveranciers, zodat je ook weet wat hun verdere toekomstplannen zijn en of die straks nog in jouw organisatie passen.” “Het komt er eigenlijk op neer dat je aan je leveranciers dezelfde vragen moet stellen als in je eigen organisatie: wat zijn de beveiligingsprocessen en -technologieën? Grote tekortkomingen moeten aan beide kanten worden gedocumenteerd en opgevolgd op basis van de onderling opgestelde meetpunten. Tenslotte is het ook zo dat gedocumenteerde kwetsbaarheden ook bij al je leveranciers onder de aandacht moeten worden gebracht. Want ze kunnen ook upstream invloeden hebben. En dat heeft weer gevolgen voor jouw weerbaarheid tegen cybercrime.” ◾
INGRAM MICRO CREËERT MET SECURITYDIENST TERUGKEREND INKOMEN VOOR RESELLERS ‘ Je moet uitgaan van zero-trust’
De vraag naar penetratietesten, of ethical hacking, is enorm gegroeid. Helaas zijn lang niet alle leveranciers in staat die zelf te leveren. Het is immers veel gevraagd om naast de eigen specialisatie ook de extreem complexe wereld van security voor je rekening te nemen. Brian Verburg, verantwoordelijk voor het Cybersecurity Center of Excellence van Ingram Micro, legt uit hoe de distributeur dat gat opvult voor de partner. Tekst: Michiel van Blommestein
Bij security komen vaak begrippen langs als ‘defensief’, ‘reactief’ of ‘proactief’. Ingram Micro maakt met zijn terminologie echter heel duidelijk hoe zij security zien. “We zijn heel druk bezig geweest om handen en voeten te geven aan een portfolio voor offensive security”, zegt Verburg. “Ondertussen zijn we heel erg gegroeid op het gebied van ethical hacking. We hebben een grote reikwijdte en bieden het aan resellers in heel Europa.” De reden daarvoor is erg simpel: de vraag naar dit soort securitytests nemen sterk toe, maar partners missen vaak de middelen en mankracht om deze helemaal op eigen houtje uit te voeren. “Eindklanten hebben zulke diensten nodig, steeds vaker vanuit het oogpunt van compliance. Het moet echt onderdeel zijn van de RFP, en resellers spelen daar graag op in. Daarom hebben wij de diensten hiervoor klaarstaan, als whitelabel.”
Band opbouwen met eindklant
In de levering van de diensten is Ingram Micro erg fl exibel. De penetratietesten worden aangeboden als eenmalige dienst, voor zowel eindklanten als voor de reseller zelf, en als sales met marge, zo zegt Verburg. “Tegelijkertijd biedt het uitvoeren van pentesten en assessments de mogelijkheid om de band met de eindklant op te bouwen. Je hebt het wel over de vuile was, en dat vraagt om vertrouwen.” De risico’s van de klant moeten daarom worden opgevolgd, iets wat Ingram Micro ook echt doet. Ze bieden altijd advies aan over wat vervolgens moet gebeuren om de kwetsbaarheden te verhelpen. “Dat genereert op zijn beurt weer business, voor onszelf of voor de partner die het project verder kan oppakken. Dit kun je echt zien als cross- en upsell.” O ensive security creeert volgens hem ook terugkerend inkomen. “Je test iets, en dat heeft een uitkomst dat om een oplossing of reparatie vraagt”, zegt Verburg. “Maar vervolgens moet je opnieuw een test uitvoeren om te kijken of de ingrepen hebben geholpen of niet. Sommige klanten vragen soms om vier van zulke assessments voor hun website per jaar.” Logisch, want omgevingen veranderen erg snel. “Data op locatie, data in de cloud, het is allemaal heel dynamisch. Wat ooit is ontwikkeld als one-o is nu recurring geworden.”
Alle middelen in handen
Penetratietesting is slechts één aspect van het o ensive security-concept van Ingram Micro. “Het is een compleet dienstenportfolio waarbij je als partner zelf kiest wat je aanbiedt”, legt Verburg uit. “We bieden bijvoorbeeld ook een assessment voor webapplicaties. Dit is
Brian Verburg
de paraplu, en uiteindelijk is de aanval de beste verdediging. Daarom dat het zo heet.” Een belangrijk aspect daarbij is ook dat ieder rapport wordt vergezeld door advies, waar de partner zelf mee uit de voeten kan. De partner houdt de controle over hoe het op te lossen, maar ze hebben wel alle middelen in handen, aldus Verburg. Daarnaast heeft Ingram Micro een lead generation tool ontwikkeld. “Het heet Eyesight, waarmee we met een soort vergrootglas het internet afstruinen voor informatie over een internetdomein van het bedrijf”, legt Verburg uit. “De dienst is helemaal gratis en geautomatiseerd. Je geeft aan een rapport te willen, waarvoor we alleen een full qualifi ed domeinnaam nodig hebben. Binnen twee tot drie minuten hebben we een rapport van 20 tot 30 pagina’s, met informatie over het bedrijf. Allemaal informatie die daar te vinden is, voor soms honderden e-mailadressen. De mensen waarvan het mailadres corrupt is, komen voor in dat rapport.” Zulke rapporten maken een gesprek los tussen partner en eindklant, zo zegt Verburg. “Dat gesprek is noodzakelijk. Het is om te beginnen laagdrempelig: alles
wat in het rapport staat, weet een hacker ook. Ze weten waar de beveiliging zit, en waar ze een kans maken.” Dat geeft volgens Verburg aanleiding om dingen te adresseren, bijvoorbeeld e-mailadressen die in een dienst als Have I Been Pwned terecht is gekomen als gehackt zijnde. “Je kunt dan bijvoorbeeld bespreken hoe de e-mail beveiligd is en daar voorstellen voor doen. Er ontstaan allerlei invalshoeken om iets dat heel complex is inzichtelijk te maken.” Partners krijgen zo de mogelijkheid om zowel nieuwe klanten te werven, als bestaande klanten beter van dienst te zijn, zo is de gedachte.
Hard van buiten, zacht van binnen
“Websites en webapplicaties zijn kwetsbaarder dan we denken”, stelt Verburg. “Al te vaak kunnen we toegang tot systemen krijgen via de website, want ze hebben een verbinding met een achterliggende database. Denk aan een webwinkel, of websites met urenregistraties. Zo kun je als hacker via de websites bij allerlei soorten data komen.” Het verbaast Verburg ook dat veel ICT-omgevingen zijn opgezet als wat Verburg een ‘bastion’ noemt. De maatregelen om criminelen buiten te houden zijn dan zeer uitgebreid. “Maar als ze eenmaal binnen zijn, kunnen ze doen wat ze willen.” Uit de door Ingram Micro uitgevoerde penetratietesten blijkt bijvoorbeeld dat interne fileservers, de active directory en de cloudservers op deze manier benaderbaar zijn. “Het is een harde noot van buiten, maar zacht van binnen. Meestal is dat zo omdat het bruikbaar en toegankelijk moet zijn voor medewerkers, maar dat neemt niet weg dat je eigenlijk moet uitgaan van zero trust.” Alleen de mensen die echt toegang tot iets moeten hebben, krijgen die toegang, maar ieder ander moet worden buitengesloten. “En dat soort dingen maak je als partner dankzij onze dienstverlening kenbaar.” Ondertussen is het team van Verburg uitgegroeid tot een tiental medewerkers die verantwoordelijk zijn voor de Benelux. “Maar we werken ook nauw samen met de teams van daarbuiten, zodat we de juiste data krijgen waar we ook echt op kunnen reageren.” ◾
