Met het nieuwe jaar voor de deur wordt traditioneel ook even teruggeblikt op het afgelopen jaar. Wanneer we die blik op cybersecurity werpen merken we dat er heel wat over te vertellen vallen valt. Belgische organisaties worden merkelijk vaker slachtoffer van hacking en de impact lijkt groter te worden. Om je hier als organisatie tegen te wapenen is een gedegen cybersecuritybeleid essentieel. Dit bestaat uit technologieën, processen en mensen. Vandaag laten we even onze eigenste Security Engineer, Matthias Neuville, dieper ingaan op een oplossing die een combinatie tussen die drie maakt: Managed EDR.
Hij neemt je als het ware mee in de cockpit van ons SecOps team en schetst de context en de manier waarop deze oplossing tot stand kwam en op vandaag reeds meer dan 2.000 endpoints en servers beschermt.
In een steeds evoluerende IT markt is het belangrijk om mee te blijven met de verschillende nieuwe technologieën en andere evoluties. Mijn collega’s bij Lebon IT Services NV doen dit uiterst goed, bijvoorbeeld door de uitbreiding van ons portfolio met nieuwe storage oplossingen (Simplivity, Nimble), maar ook door ons aanbod van managed services steeds verder te laten groeien
Na mijn opstart bij Lebon IT Services als system engineer werd al snel duidelijk dat mijn passie en interesse veel meer in cybersecurity lag dan in de “klassieke” IT infrastructuur. Cybersecurity heeft een impact op de verschillende lagen van een organisatie: het beïnvloedt niet alleen alle technologische oplossingen, maar ook de mensen en de interne processen. Laat het net die waaier van samenwerking, integratie en vaak ook nog groei zijn wat mij enorm aanspreekt. In dat kader werd me dan ook bijna twee jaar geleden gevraagd of ik mijn schouders niet wilde zetten onder het uitbouwen van een dedidated security pijler binnen Lebon IT Services. Het werd het ons al snel duidelijk dat de toenmalige security oplossingen maar een fractie van een degelijke, professioneel en vooral kwalitatief cybersecurity aanbod waren.
In de loop van de voorbije twee jaar hebben we ons als trusted partner van onze klanten meer & meer ingewerkt in deze boeiende en uitdagende wereld. Zo hebben we (nieuwe) leveranciers en partners gezocht om een betrouwbare en volwaardige security audit te kunnen aanbieden. Ook met het Leuvense Phished.io zijn we in zee gegaan, waar we heel snel de vruchten zien bij de ingestapte klanten. Naast nog een aantal nieuwigheden die in de pipeline zitten is ons grootste project toch de centralisatie en verbetering van de legacy anti-virus oplossing geweest.
Rond maart 2021 werd het ons duidelijk dat de toenmalige endpoint (laptops, desktops en servers) bescherming niet meer volledig beantwoorde aan de bedreigingen waaraan IT omgevingen blootgesteld worden. Onze toenmalige oplossingen waren te divers en boden geen centraal overzicht. Hierdoor was een uniforme en gestandaardiseerde aanpak over onze klanten heen een serieuse uitdaging. . Na heel wat marktonderzoek hebben we in juli 2021 de eerste contacten gelegd met één van onze partners voor SentinelOne. In de tweede helft van 2021 hebben we de technologische oplossingen van SentinelOne verder getest en ons het platform eigen gemaakt.
Met de toegang tot het platform alleen hebben we echter niet genoeg, het was dan vooral kwestie van migraties uit te werken en in te plannen. Na eerst onszelf onboard te hebben ("eat your own dogfood") zijn we gestart met de klanten in onze managed endpoint en managed server oplossing. Hierin hadden we reeds een aantal SentinelOne agents, maar dit was een geïntegreerde oplossing met ook zijn beperkingen. Waar we dachten dat de migratie simpel ging zijn (lees: "stuur een nieuwe token en het is opgelost"), bleek dit toch iets moeilijker. Er moest een volledig proces uitgevoerd worden waar ook wat coördinatie en vooral communicatie aan te pas kwam. En eerlijk is eerlijk, die communicatie kon wel wat beter, maar we hebben er vooral lessen uit getrokken en nemen de communicatie nu als een vast onderdeel mee vanaf het begin bij dergelijke projecten.
Eens de grote migratie projecten uitgevoerd waren en we het platform nog veel meer in de vingers hadden, zijn we dan ook actief begonnen met onze managed EDR oplossing voor te stellen aan onze klanten. Een EDR oplossing biedt namelijk een veel betere en uitgebreidere beveiliging dan een klassieke anti-virus oplossing. Een Security oplossing is pas echt effectief als die ook consequent opgevolgd en gemonitord wordt. Met onze Managed EDR oplossing spreken we die opvolging duidelijk met de klant af. In het ProActive.Next model nemen wij de opvolging voor onze rekening. Bij Reactive.Plus staat de klant in voor de opvolging en springen wij bij waar nodig.
Dat brengt ons bij vandaag, waar we met trots kunnen vertellen dat we ondertussen 994 agents in onze ProActive.Next en 1101 agents in onze Reactive.Plus offering hebben. Met nog een duidelijke groei in de komende maanden. Sinds de migratie hebben we over al onze ProActive.Next klanten reeds meer dan 1000 incidenten gehad, waarbij het overgrote deel gelukkig false postives waren. Maar het is niet om dat een incident een false positive is, dat dit niet kwaadaardig is of op andere problemen kan duiden. Zo hebben we een excel bestand tegengehouden dat van het internet gedownload werd. Ondanks de standaard beveiliging om geen macro’s te activeren werd dit toch gedaan door de eindgebruiker. De macro’s waren, gelukkig, niet kwaadaardig maar werden wel preventief geblokkeerd door SentinelOne. De gebruiker had hier een inbreuk op het bedrijfsbeleid gedaan en kon zo potentieel kwaadaardige actoren toegang verschaft hebben tot de organisatie.
Onze managed EDR oplossing is niet het enige waar we vandaag mee bezig zijn. We zijn de laatste puntjes op de 'I' aan het zetten voor een laagdrempelige continue kwetsbaarheid detectie en zijn ook volop in onderzoek naar nog andere oplossingen die we zoals steeds op maat van onze, soms toch unieke, klanten willen brengen.
Of meer weten over onze Security aanpak en oplossingen?
Contacteer ons gerust via onderstaand formulier: