Terugblik: InfoSec 2015

Terugblik: InfoSec 2015

DearBytesBlogTerugblik: InfoSec 2015

Deze week vond dé jaarlijkse technische security beurs in Nederland plaats: InfoSecurity in de Jaarbeurs in Utrecht, 4 en 5 november. Zoals elk jaar waren wij daar ook weer aanwezig met een mooie stand. Het leek mij leuk wat ervaringen te delen.

DearBytes InfoSec team 2015

Trots team

Het is allereerst elk jaar weer mooi te zien hoeveel plezier ons team beleeft aan de beurs. Dat is niet bij elke standhouder het geval denk ik, maar onze medewerkers voelen echt een zekere trots en hebben simpelweg plezier om met elkaar ons mooie bedrijf te mogen vertegenwoordigen. Ik weet, afgaande op reacties, dat dit ook gezien wordt door bezoekers en daar word ik nou echt blij van.

Van techniek naar services

DearBytes InfoSec running 2015De afgelopen jaren is InfoSec wel echt veranderd. Waar het oorspronkelijk vooral een technologie beurs was, zijn bezoekers vandaag de dag eigenlijk alleen nog maar geïnteresseerd in diensten, processen, uitkomsten. Partijen die alleen nog maar over technologische tools vertellen, en nog beweren dat daarmee elk probleem op te lossen is, zijn steeds schaarser en worden ook minder geloofd. Toevallig las ik op de Economist hierover een erg treffend artikel, dat precies die situatie schetst: The cost of immaturity. Een klein stukje daaruit:

“Purely technical solutions are also going out of fashion. Even the best technology doesn’t work if the humans who operate it are careless or ill-trained.”

Het is ook in lijn met de visie die Steve Grobman, CTO van Intel Security, uitte op de jaarlijkse FOCUS conferentie vorige week. Ik was erbij toen hij uitlegde dat het niet gaat werken om de snel toenemende en veranderende dreigingen te lijf te gaan met telkens nieuwe producten. Daarvoor is simpelweg de benodigde ontwikkeltijd van die nieuwe producten te groot. Dus zal Intel zich concentreren in het leveren van oplossingen waarmee security operators zichzelf kunnen redden, wat als eerste tot uiting komt in het nieuwe product Active Response. Wij zullen daar in onze FOCUS Recap sessie uitgebreid bij stil staan, hier een korte demo: https://youtu.be/AM7MY6_S5Do

Maar goed, terug naar Infosec: dus minder interesse in pure technologie, meer in oplossingen inclusief de beheerfunctie. En dus ontbreken grote vendoren zoals Intel Security en Symantec, terwijl vooral managed service providers zijn toegetreden. Een van de meest gevoerde gesprekken, ging dan ook over onze SOC services.

SOC vergelijkend warenonderzoek

SOC Den Haag screenshot videoToenemende behoefte aan security monitoring enerzijds, en schaarste op de arbeidsmarkt anderzijds zijn de laatste jaren aanleiding geweest voor een sterke groei in vraag naar SOC services. Dan doel ik op outsourcing van operationele taken in het beheer van beveiligingsoplossingen. Dat soort taken worden uitgevoerd vanuit een Security Operations Center, ofwel SOC, en ook DearBytes beschikt over zo’n centrum: DearSOC.

Een veelgestelde vraag op InfoSec was: “Hoe onderscheiden jullie van andere aanbieders van SOC?”

Daar geven wij het volgende antwoord op:

  1. Complete threat defense livecycle: Waar veel SOCs zich alleen bezig houden met detectie en response, is DearBytes ook in staat om preventie en correctie uit te voeren. Dat betekent dat wij niet de klant van instructies moeten voorzien om een configuratiewijziging te doen naar aanleiding van een incident, maar dit zelf kunnen uitvoeren. We beheersen dus de complete threat defense livecyle: Protect-Detect-Correct.
  2. 24/7 Eyes-on-Screen: Elk SOC zal 24/7 bereikbaar zijn, maar meestal wordt dat opgelost met een oproeptelefoon en piketdiensten voor operators. Bij DearBytes werken onze analisten in ploegendiensten en zit dus op elk moment een team feitelijk te monitoren. Dit is zover wij weten uniek in Nederland.
  3. ISO27001: Je zou verwachten dat een security operations center haar eigen beveiliging ook onder controle heeft, en dat zal vaak ook wel zo zijn, maar hoe valideer je dat? Wij hebben ons Information Security Management System laten certificeren op basis van ISO27001 ten behoeve van die validatie.
  4. Proven Technology: Omdat onze SOC services gebaseerd zijn op technologie van derden, zoals Intel Security, Fortinet, Fireeye, Forescout en RedSocks, wordt de zogenaamde “vendor lock-in” vermeden. Veel managed service providers richten een security infrastructuur in met behulp van eigen gebouwde tools, maar die zijn dan wel onlosmakelijk aan de service verbonden. Wij geloven dat onze manier van werken in het voordeel en belang van klanten is.
  5. Multi-disciplinair security specialist: Omdat bij DearBytes mensen werken in verschillende disciplines, maar allemaal in informatiebeveiliging, is er continu sprake van uitwisseling van kennis en ideeën. Het benaderen van problemen of incidenten vanuit verschillende invalshoeken komt de effectiviteit en efficiëntie ten goede.

Meldplicht Datalekken (NL) Whitepaper.compressed-1Meldplicht datalekken

Een ander veelbesproken thema was de meldplicht datalekken. Vlak voor de beurs hadden wij een nieuwe whitepaper gepubliceerd, en deze was gedrukt op onze stand beschikbaar. Het bleek dat we daarmee wel iets goed hadden gedaan, want die whitepapers gingen als warme broodjes over de toonbank.

Ook de meldplicht geeft aanleiding voor het inrichten of uitbreiden van monitoring. DearBytes is dus in staat om op dit vlak te ondersteunen. Daarnaast, en ook dat is iets voor DearBytes, is het cruciaal dat er een beleidskader ligt. Waarin rollen en verantwoordelijkheden beschreven staan, maar ook de frequentie van overleg en een risicoanalyse.

Red vs Blue

Tenslotte was het erg leuk om collega’s Rik van Duijn en Wesley Neelen op de stand een demo uit te laten voeren. Zij maken deel uit van het DearBytes team van pentesters. Rik kroop in de huid van de verdediger en Wesley was de aanvaller. Ze lieten zien hoe een typische, gerichte aanval op een netwerk eruit ziet, en welke slimme valkuilen je kunt plaatsen om die aanval te detecteren.

DearBytes InfoSec red vs blue 2015 - 2

Blijkbaar wekten we daarmee van veel mensen de interesse want de gang stond compleet vol. Kortom: een succes en leuk om te zien. Net zoals de presentatie die Rik op beide dagen gaf in zaal 1. Zowel de demo als de presentatie hebben wij opgenomen en zullen binnenkort op de website verschijnen om terug te kijken.

DearBytes InfoSec productdemo 2015Product Demo’s

Een deel van onze stand was ingericht om technologie te kunnen demonstreren. Dat was mogelijk voor diverse producten, maar de meeste aandacht ging duidelijk uit naar Forescout Counteract, een NAC oplossing, en Threat Intelligence Exchange (TIE) en Active Threat Defense (ATD) van Intel Security. Laatst genoemde combinatie is het antwoord van voormalig McAfee op continu veranderende malware. En in deze tijd van ransomware is het natuurlijk niet verwonderlijk dat men op zoek is naar oplossingen. Nu is er geen silver bullet voor het probleem, maar wij weten uit ervaring wel dat de combinatie TIE/ATD echt een groot verschil maakt.

Tot slot

Het was al met al weer een leuke ervaring. We hebben kennis gemaakt met veel nieuwe mensen, en hopen een goede indruk gemaakt te hebben als security partner. De komende dagen gaan we aan de slag om de gesprekken op te volgen, en hoop ik veel van u te mogen verwelkomen in ons SOC!