Terugblik met Remco Geerts van Tesorion

Remco is bij Tesorion verantwoordelijk voor strategie en innovatie. Hij geeft leiding aan het team van presales consultants en productspecialisten. Bij die functie hoort uitgebreide kennis van de markt plus veel ervaring. Remco zit ruim 25 jaar in de sector. Hierdoor is hij niet alleen de juiste persoon voor die functie, maar ook voor dit interview.

Tien jaar geleden werkte Remco bij Verizon Business. Dat bedrijf is in de sector onder andere bekend door een jaarlijkse publicatie, het Verizon Databreach Report (VDBR). Met een verwijzing naar dat rapport begint het interview.

Remco: “Toen jullie mij benaderden voor dit interview moest ik aan het volgende denken. Ik ben zo’n tien jaar terug door de ondernemersvereniging in mijn woonplaats gevraagd om iets te vertellen over cybersecurity. Het eerste deel van mijn presentatie ging over wat we toen noemden “verstoring van ICT”. In die tijd lagen de banken in Nederland regelmatig onder vuur door grote DDoS-aanvallen. Dat zorgde voor veel ongemak en persaandacht. Met het VDBR in de hand kon ik de aanwezigen uitleggen dat dit een internationaal verschijnsel was en dat afpersing een belangrijk motief was.”

Het tweede waar Remco toen bij stilstond, was diefstal van credentials en betaalgegevens in de retailsector. Tot dat laatste horen zowel misbruik van creditcardgegevens als skimmen. Als derde noemde hij ransomware. Dat kwam toen al voor, al was de ransomware destijds natuurlijk een stuk minder geavanceerd dan tegenwoordig.

Remco weet nog goed hoe de zaal reageerde op zijn presentatie. “De eerste twee punten, die kon men wel plaatsen. Op ransomware werd vooral met veel ongeloof gereageerd. Het idee dat iemand je computer of server kon overnemen en dan ontoegankelijk maken, vergde een mindset die voor velen nog een brug te ver was.”

Dat iedere MKB-er inmiddels uit eigen ervaring of via het netwerk weet dat ransomware bestaat, behoeft verder geen uitleg. “Als er iets in tien jaar is veranderd, dan is dat het wel. Ransomware staat bij al onze klanten en prospects op nummer 1,2 en 3 van dreigingen. Pas daarna komt dataverlies of diefstal,” vertelt Remco.

De retailsector kent nog steeds uitdagingen, maar in de EU zone is het elektronisch betalingsverkeer flink veranderd. Voor online bankieren is MFA inmiddels wettelijk verlicht.

Hoe zit het dan met DDoS-aanvallen, is dat nog een issue? Remco stelt als eerste dat de doelwitten van 10 jaar geleden inmiddels zoveel maatregelen hebben getroffen en kennis hebben opgebouwd dat zij zeer goed in staat zijn dit soort aanvallen af te slaan, zonder dat de klanten daar veel van merken. “De groei van bedrijven als Akamai bewijst dat de afgelopen jaren behoorlijke vorderingen zijn gemaakt. Dat wil niet zeggen dat DDoS-aanvallen zijn verdwenen. Maar, en dat zal niet verbazen, voor criminelen zijn er tegenwoordig makkelijkere manier om bedrijven af te persen. Ransomware en datadiefstal dus.”

In tien jaar tijd is er natuurlijk nog veel meer veranderd. Sommige bedreigingen, zie boven, lijken te zijn afgenomen. Andere bedreigingen zijn een alledaags verschijnsel geworden. Het gebruik van IT is in een hoog tempo veranderd. “Het aantal bedrijven dat tegenwoordig alles in eigen beheer en on-premise heeft is nog maar een fractie van tien jaar geleden. Data en applicaties staan tegenwoordig overal en dat zorgt voor een compleet veranderde IT-architectuur, bij kleine, grotere en hele grote bedrijven.”

Om dat IT-landschap veilig te houden, volstaan beveiligingsmethoden en oplossingen van toen niet meer. “Een muur om je serverpark heen in de vorm van proxies en firewalls, het was allemaal gebaseerd op hardware. Tegenwoordig zijn het clouddiensten die op andere plaatsen in de  omgeving actief zijn. OT dat voorheen helemaal geïsoleerd was en tegenwoordig vaker aan IT is gekoppeld, zorgt voor nog meer complexiteit.”

Daarmee komt het gesprek op SIEM. “In 2014 was dat de Holy Grail voor security,” zegt Remco. “Iedereen ziet tegenwoordig dat de wereld snel verandert. De snelheid waarmee nieuwe risico’s ontstaan is in uren of zelfs minuten aan te geven. Dat betekent dat aanvallen ook zo snel als mogelijk in de aanvalsketen gedetecteerd en gestopt moeten worden. De functie van SIEM verandert daarin meer van threat detection naar threat management.”

Het aanvalsoppervlak van een organisatie is 10 jaar later bovendien een stuk groter geworden. Medewerkers werken vanaf verschillende locaties, het aantal apparaten en de hoeveelheid data zijn exponentieel gegroeid.

"Effectief kunnen handelen is vanwege de snelheid waarmee risico’s zich ontwikkelen essentieel. Het is tegenwoordig bijna onmogelijk om adequaat te handelen, wanneer je alle signalen handmatig of in verschillende tools moet analyseren. AI-gedreven tooling en automatische response, waarbij je dreigingsinformatie kunt correleren en prioriteren, is bittere noodzaak om snel en effectief te kunnen handelen als securityspecialist. De tijd tussen detecteren en handelen is cruciaal.”

Dat betekent een andere omgang met data. Remco benadrukt daarbij, of het nu gaat om SIEM, NDR of EDR, aanvallers weten dat dit wordt ingezet en ze doen er alles aan om onopgemerkt te blijven.

Dit is dus niets anders dan een wapenwedloop en één die de afgelopen tien jaar in een steeds hogere versnelling is gezet. Het wil overigens niet zeggen dat Remco van mening is dat het afweren van aanvallen steeds lastiger wordt. “Als je focust op je netwerk en endpoints ben je, gebruikmakend van de juiste technologie, in staat het grootste gedeelte van de bedreigingen vroegtijdig te signaleren en af te weren. Voor doorsnee bedrijven met doorsnee producten en diensten is dat voldoende om aanvallers buiten de deur te houden. Die gaan op zoek naar doelwitten die de zaakjes minder goed op orde hebben.”

Dat zoeken naar makkelijke slachtoffers speelde overigens 10 jaar gelden ook al. Zo beschouwd is er niet zo veel veranderd.