In 2021 lijkt Security meer dan ooit om overzicht te draaien. In de race om kwetsbaarheden in netwerken, webapplicaties of Cloud configuraties te elimineren, moet jij de eerste zijn om kwetsbaarheden te vinden. En zonder overzicht wordt dat een bijna onmogelijke taak.
Diversificatie IT-landschap
De infrastructuur van een gemiddeld bedrijf smeert meer en meer uit over diverse platformen. Waar vroeger de servers netjes in de spreekwoordelijke bezemkast opgesteld stonden, is een enorme diversificatie van het IT-landschap aan de gang. Prima ontwikkeling, zo denken wij. Maar de rol als IT-manager of MSP verandert daar ook significant door. We merken tegelijkertijd dat niet ieder bedrijf daar al helemaal op ingericht is.
Security risico
Gepaard met de uitbreiding van de infrastructuur komt dus een situatie waarin verantwoordelijkheden in de keten gedeeld moeten worden. En daar ligt precies het Security risico. De gemiddelde organisatie leeft in een zwart-witte wereld, het gaat goed, tot het fout gaat. De MSP is in de regel verantwoordelijk dat de wereld veilig blijft, dat preventief alle incidenten voorkomen worden. Maar bij een gedeelde verantwoordelijkheid tussen meerdere partijen is het dus belangrijk taken en verantwoordelijkheden overzichtelijk te hebben. Een stuk eenvoudiger als grotere financiële instelling met een GRC-team, maar veel uitdagender als MKB’er.
Als voorbeeld voor deze situatie de bekendmaking van de remote code excecution vulnerability in Log4j. Deze kwetsbaarheid kan op diverse onderdelen in de stack opduiken, een webapplicatie, maar ook binnen virtualisatieplatformen of binnen third party packaging, soms dan weer gehost door andere partijen. Hoe zorg je dat je grip op de risico’s krijgt?
SISS-propositie
Dit vraagstuk stond al langer bij Surelock op de radar. Na kwetsbaarheden in Citrix, Solarwinds en Exchange werd ons logischerwijs duidelijk dat de markt een gedegen oplossing nodig heeft. Een oplossing om grip en regie te krijgen op dit soort Security risico’s, slimme controle vanuit een alles omvattend perspectief. We hebben om die reden begin 2021 onze SISS-propositie gelanceerd; Surelock IT Security Services.
De filosofie; we laden alle assets van een bedrijf in binnen onze eigen ontwikkelde applicatie Holmes. De datacenter omgeving, kantoornetwerk, webapplicaties, Cloud omgevingen en starten de Holmes scanners. Binnen 48 uur zijn we in staat alle kwetsbaarheden te identificeren op de diverse componenten in de stack. Een securityconsultant van Surelock bespreekt samen met de klant de prioriteiten en plan van aanpak. In een Agile-workflow wordt de ‘Vulnerability Sprint’ gemanaged en afgesloten met nieuwe scans. Zijn de vulnerarbilities juist verholpen? Dan sluiten de taken in het overzicht binnen Holmes. De volgende concrete set met configuratieverbeteringen of patches zijn door Surelock alweer klaargezet. Een zeer effectieve methode om als organisatie de regie te pakken. Samen met de MSP, de leverancier van Cloudsoftware of eigen ontwikkelde webapplicaties concreet aan de slag het volgende niveau te halen.
In 2022 werken we door aan de verdieping op deze dienstverlening. Het Surelock Pentest team wordt flink uitgebreid zodat prioriteiten nog scherper gesteld kunnen worden. Met het aantrekken van een UX-researcher wordt de gebruiksvriendelijkheid van het platform verder verbeterd. Met het aantrekken van nieuwe securityconsultants zijn we meer en meer in staat grotere organisaties als CISO-as-a-Service in de volle breedte te ondersteunen. Van Vulnerability Scans tot Security Awareness met Holmes. Van SOC2 rapportages tot de implementatie van een SSLDC met onze mensen.
Ezra Windhorst, Surelock