Martijn Kregting - 08 juli 2022

Copaco: Cloud security vergt een hogere basishygiëne dan een paar jaar terug

Security is een noodzakelijk onderdeel van elke cloudpropositie. Traditionele securityzaken zijn daarbij niet langer voldoende om die security op een afdoende hoog niveau te brengen, stelt Rick van den Hoogenhof, manager Copaco Cloud bij Copaco. “Basale securityhygiëne vraagt om een proactieve en structurele aanpak. Zo’n aanpak”, benadrukt Van den Hoogenhof, “hoeft echt niet zo complex te zijn als het vaak lijkt.”

Het concept ‘cloud’ is inmiddels zo’n containerbegrip geworden, dat het voor veel mensen erg gecompliceerd aanvoelt. Zeker wanneer je ook nog een belangrijk element als security meeneemt. Dat gevoel is echter slechts in enkele gevallen terecht, meent Van den Hoogenhof.

Hij begon negen jaar geleden bij Copaco, toen de distributeur zelf net startte met een cloudportfolio. Inmiddels is cloud een omvangrijk onderdeel van Copaco, met een eigen technisch en commercieel team. Van den Hoogenhof is daarbij verantwoordelijk voor de commerciële cloudpropositie en -strategie.

“Als reseller of MSP hoort security een integraal onderdeel van de cloudpropositie te zijn. Je hoeft niet meteen een heel Security Operations Center (SOC) in te richten en hoogstaande oplossingen door te voeren, maar er is meer nodig dan reactieve aanpak.”

Bewustzijn creëren
Het is belangrijk om direct duidelijkheid te scheppen bij klanten over hun rol en die van de IT-aanbieder als het om cloudsecurity gaat. “Security is altijd een gedeelde verantwoordelijkheid. Daar moet je als MSP je klant van begin af aan expliciet bewust van maken. Het gebeurt nog regelmatig dat security een sluitpost wordt in een contract. Natuurlijk mag de klant securityelementen wegstrepen, maar die kan dan niet verwachten dat een MSP security garandeert. Je moet die klant daarom vooraf inlichten over de mogelijke gevolgen.”

Van den Hoogenhof trekt een vergelijking met de ontwikkeling van mobile device management (MDM). “Inmiddels is dat een standaard onderdeel van veel contracten, want elke medewerker heeft wel een mobieltje. Maar een paar jaar terug was MDM vaak het eerste dat uit een contract geschrapt werd, want ‘te duur’. Dat is waar we nu staan met cloudsecurity, ook omdat organisaties denken dat de IT-aanbieder dat toch wel regelt.”

Verder kijken
Behalve bewustzijn kweken over die gedeelde verantwoordelijkheid, is er van een MSP meer nodig dan alleen technologie implementeren die indringers buiten houdt. “Je hoeft echt niet meteen met de meest geavanceerde oplossingen aan de slag. Maar besef wel dat traditionele securityzaken zoals firewall, antivirus en een back-up bieden niet meer voldoende is.”

Dat is ook waar het concept van Zero Trust mede op gebaseerd is, stelt Van den Hoogenhof. “Alleen wordt ook dit vaak te complex gemaakt.” De manager van Copaco Cloud stelt dat Zero Trust in de basis om drie zaken gaat:

  • Verify explicitly: je moet naast een gebruikersnaam en wachtwoord ook letten op zaken als locatie, IP-adres en welk device er gebruikt wordt. Controleren of er sprake is van ‘normaal’ gedrag van de gebruiker.
  • Least privilege: kijk niet alleen naar authenticatie bij de hoofdingang. Ook interne deuren moeten afgesloten zijn; denk aan verschillende toegangsrechten tot data en systemen binnen een bedrijfsnetwerk. Pas naast Just-Enough-Access ook Just-in-Time-Access toe, zodat rechten automatisch worden ingetrokken zodra ze niet meer nodig zijn.
  • Assume breach: ga ervan uit dat er vroeg of laat iets gebeurt dat niet de bedoeling is, zoals een hack of datalek. Zorg ervoor dat je in staat bent om dat – zodra het gebeurt – te ontdekken zodat je effectief kunt optreden om de schade te minimaliseren.

Portfolio doorontwikkelen
Zowel securityvendors als Copaco zijn hun portfolio op deze punten aan het verfijnen. “We willen MSP’s zo de middelen geven om meer naar Zero Trust toe te werken, maar ook om de klant mee te nemen in de securityreis. Oftewel: naar meer dan alleen de traditionele securityelementen.”

Zo groeit Acronis vanuit deze visie steeds meer vanuit back-up naar security toe. De vendor heeft onder meer e-mail security aan het portfolio toegevoegd. Zo wordt data die via mail binnenkomt vooraf gecheckt op ‘vervuiling’ en malware. Ook doen ze aan ransomwarechecks van een back-up, zodat die niet geïnfecteerd kan worden.

Het securityportfolio van Microsoft kijkt niet alleen naar reputatie van een ontvangen bestand, maar ook naar gedrag van gebruikers. Het gebruikt daarvoor slimme Artificial Intelligence en Machine Learning om security inzichtelijker te maken en er snel op te kunnen reageren.

Bijdrage van Copaco
Steeds meer vendors zetten vergelijkbare verdergaande stappen. Copaco kijkt ook wat het hier zelf als distributeur aan kan toevoegen. Van den Hoogenhof hierover: “Zo zijn we recent een samenwerking gestart met Guardian 360 en Secquard. Deze partijen beveiligen een breder palet van je IT-omgeving en hangen de gedachte aan dat security een continu proces is. Checken, op basis daarvan verbeteren, opnieuw checken enzovoort.”

“Dit zijn in feite basisbouwstenen van een securityoplossing,” stelt Van den Hoogenhof, “maar vaak gaat het daar al mis. Denk aan een recent voorbeeld van ministeries waar medewerkers nog vanuit hun privé-mail werken, maar ook het Russische leger dat via onbeveiligde communicatiemiddelen hun aanvalsstrategie bespreekt.”

Secquard probeert dit soort basisfouten te ondervangen door rapporten te maken over de stand van zaken van de securityaanpak van een organisatie. Is je antivirus up-to-date? Heb je de autorisatie van je mensen goed ingericht? Is je wachtwoordbeleid op orde? Zijn ongebruikte systeemonderdelen uitgeschakeld om je kwetsbaarheid te verminderen? Wordt op tijd gepatcht? Guardian360 werkt met een canary in a colemine-aanpak. De MSP krijgt automatisch alerts, zodat men proactief kan handelen naar de klant.

Met het toepassen van oplossingen als Secquard en Guardian360 krijg je als MSP een logische ingang bij de klant om over cloudsecurity te praten en maak je hem er medeverantwoordelijk voor. Daarnaast ga je van een reactieve naar een proactieve aanpak; een eerste laagdrempelige stap richting een SOC zonder dat je allerlei geavanceerde Enterprise-oplossingen hoeft toe te passen.”

Tools en advies
Copaco gaat deze oplossingen niet zelf inbouwen in ieder platform, maar biedt MSP’s wel de tools en advies waarmee ze dat eigenhandig op de voor hen best mogelijke manier kunnen doen. “Het securityniveau van MSP’s verschilt, dus we gaan met je in gesprek over waar je staat en waar je naar toe wil.”

Als een MSP bijvoorbeeld de stap wil zetten naar een positie als Managed Security Services Provider, dan zul je echt met een SOC aan de slag moeten. Dat gaat veel verder dan een MSP die snapt dat security niet langer iets is dat de supportafdeling erbij kan doen, maar niet direct de mogelijkheid heeft om 24x7, alle dagen van het jaar, à la minute op ieder securityevent te reageren. Toch kunnen die MSP’s al grote stappen maken met eerder besproken diensten.

“Wij inventariseren samen met onze kanaalpartners waar zij zelf staan in hun securityreis, of ze al verdere stappen willen zetten in hun propositie en zo ja waarheen. Ik denk wel dat we de komende tijd allemaal meer stappen moeten gaan zetten met security. De lat van basale securityhygiëne ligt hoger dan een paar jaar geleden en terecht. Maar niet iedereen hoeft nu al een tien te scoren.”

Auteur: Martijn Kregting

Axians 12/11/2024 t/m 26/11/2024 BN+BW