De laatste jaren valt de naam CrowdStrike steeds vaker in gesprekken over threat intelligence en security in het algemeen. De beveiligingsspecialist is reeds enkele jaren actief in Nederland en heeft hier een aantal grote klanten weten te strikken. CrowdStrike levert niet zozeer beveiligingssoftware - ook al is dat een onderdeel van de portfolio - maar geeft grote bedrijven de tools om hun beveiliging zelf naar een hoger niveau te tillen. We interviewden Ronald Pool, Cyber Security Specialist bij CrowdStrike, om te zien hoe deze leverancier zich verhoudt tot andere partijen in de markt.
Fancy Bear
Je bent een term van het beveiligingsbedrijf waarschijnlijk al eens tegengekomen als je de naam Fancy Bear ooit hebt gehoord. "We gebruiken een naamconventie met het nationale dier van het land in kwestie", legt Pool uit. Voordat de termen Fancy Bear en Cozy Bear het nieuws haalden, stonden ze in de beveiligingswereld bekend als aanvalsgroepen met namen als APT28, Strontium en Sofacy Group.
CrowdStrike-oprichter Dmitri Alperovitch deed uitgebreid onderzoek naar staatshackers. Het bedrijf publiceerde onderzoeken naar aanvallen in Oekraïne en de beruchte aanval op de Democratische Partij in de VS. Alperovitch' naamgeving voor de verantwoordelijke groep hackers werd breed opgepikt. De naamconventie heeft verder natuurlijk niet zo'n grote impact op beveiliging an sich, maar het onderstreept dat de leverancier een partij is in de wereld van threat intelligence waar naar wordt geluisterd.
Van tactiek naar strategie
Endpointdetectie is natuurlijk nog steeds een belangrijk onderdeel van het pakket van diensten dat het bedrijf biedt, maar de meerwaarde ten opzichte van diverse andere meer traditionele beveiligers lijkt te zitten in de threat intelligence als bron voor de endpoint beveiliging,maar ook als als IoC-feeds die organisaties zelf kunnen embedden, YARA- of SNORT-rules voor het verbeteren van preventieve tools en uitgebreide rapportages die beveiligers van een klant zelf kunnen uitpluizen, licht Pool toe.
Dat is logisch, dit is een trend waar de securitymarkt al jaren heen beweegt: van tactische beveiliging (bijvoorbeeld met software op endpoints of hardwarematige appliances) naar een overkoepelende strategie (bijvoorbeeld met een dedicated SOC). Alle grote bedrijven en conferenties die we de afgelopen jaren bezochten benadrukken deze tak van sport meer dan traditionele tools als AV-software - overigens altijd nog wel een belangrijk onderdeel van de bedrijfsvoering.
"Dit is een markt met veel spelers", merkt Pool op. "Een voordeel van CrowdStrike is dat het volledig cloud-native is. We zijn niet overgestapt op, maar geboren in de cloud. Onze sensoren zijn heel lichtgewicht. De allerzwaarste die we hebben is 40 MB en die doet dan ook alles, bijvoorbeeld Endpoint Detection & Response, IT Hygiene, Device Control & Vulnerability Management."
Databronnen voor inlichtingen
De hoofdzaak van het bedrijf lijkt daarom vooral cyber threat intelligence (CTI) te zijn. CTI is een groeiende markt, beveiligingsinstituut SANS becijferde dit jaar dat waar in 2017 al zestig procent van de bedrijven CTI gebruikte om netwerkbeveiliging te verbeteren, dat dit vorig jaar verder groeide naar 72 procent. Daarbij wordt steeds meer geautomatiseerd, omdat handmatig verwerken van CTI vaak een tijdrovende klus is die veel specialisme vereist.
De informatie van welke dreigingen rondwaren en nieuw zijn, haalt CrowdStrike overal vandaan, legt Pool uit. Er is natuurlijk de telemetrie van klanten (hierbij gaat het om metadata van miljoenen sensoren), maar ook hybrid analysis, waarbij klanten verdachte content in een cloudgebaseerde sandbox draaien om gedragingen te bekijken. "Zo zien we bijvoorbeeld of malwarebestanden naar eerder onbekende command-and-control-servers verbinden", die dan weer op de radar staan om geblacklist/gemonitord te kunnen worden.
Maar er wordt ook gebruikgemaakt van gevoeligere bronnen om CTI te verzamelen, bijvoorbeeld informatie die wordt verspreid op het darkweb. Daarbij worden alle middelen ingezet, bijvoorbeeld door het gebruik van regionaal specialisme. "Iemand die van oorsprong Chinees is, begrijpt niet alleen de taal goed, maar kan ook tussen de regels door lezen en interpreteren wat iets dat bijvoorbeeld de Volksrepubliek zegt of doet betekent", vertelt Pool.
Behoefte aan talent
Over specialisme gesproken, in de beveiligingswereld wordt de laatste paar jaar gewaarschuwd voor een dreigend personeelstekort. In de jaren 20 vrezen diverse bedrijven in de knel te komen. Zo zie je dat Dell bijvoorbeeld zoekt naar herintreders, allochtone medewerkers en diverse minderheidsgroepen - mensen die traditioneel minder kans hebben op de arbeidsmarkt - om op te leiden tot beveiligingsspecialisten.
Pool vertelt dat het bedrijf zelf nog niet veel hinder van dat voorziene tekort lijkt te ondervinden, hoewel wervingsprocessen inmiddels langere trajecten opleveren dan voorheen, maar hij vermoedt dat de knel meer bij organisaties komen te liggen waar beveiliging niet de hoofdzakelijke bedrijfsvoering is.
"We hebben werknemers die threat hunting doen namens klanten en dan heel vaak interessante dingen vinden", vertelt Pool. Dat is een van de aantrekkelijke dingen om juist voor een beveiligingsorganisatie te werken als beveiligingsspecialist: "Als je kunt kiezen of je als incident responder zo nu en dan aan de slag kan bij een bedrijf of constant bij grote bedrijven aan incident response werkt, dan is dat natuurlijk veel interessanter."
En dat is een probleem voor bedrijven die zulk specialisme in huis willen halen. Er is namelijk een krapte in het aanbod van gespecialiseerde IT-beveiligers. De mensen die deze vaardigheden hebben, vinden in de regel een beveiligingsbedrijf aantrekkelijker dan de meeste andere organisaties. "Ik denk dat je daarom zal zien dat de markt meer richting serviceproviders gaat", verwacht Pool, simpelweg omdat deze andere organisaties security moeten uitbesteden aan beveiligingsbedrijven.
Evolutie van threat intelligence
Nog een reden dat CTI steeds meer een zaak wordt van gespecialiseerde organisaties in plaats van een SOC binnen een organisatie waar beveiliging geen specifieke bedrijfsvoering is, is de enorme groei van informatie. "De hoeveelheid data is explosief gegroeid", weet Pool, "en het is bijna niet meer te doen om dat zelf te doen op menselijke kracht".
SANS meldt dat ook in zijn whitepaper eerder dit jaar: CTI is geëvolueerd van het leveren van ruwe data naar strategische rapportages over trends en ontwikkelingen. "CTI is enorm veranderd in slechts een paar korte jaren en gaat niet alleen meer over IoC's (indicators of compromise, red.), maar bevat nu TTP's (Tactics, Techniques, Procedures, red.), gedragingen van dreigingen, bewustwording over het aanvalsoppervlakte en strategische beoordelingen" staat te lezen in de whitepaper van SANS.
Ook geen wonder dat automatisering een groeiende rol speelt voor threat intelligence en security in het algemeen. Het gestructureerd verzamelen en verwerken van CTI om de beveiliging te verhogen is niet zozeer een nice to have, maar een need to have geworden. Zo biedt CrowdStrike feeds voor bedrijven om te verwerken in hun eigen tooling, en services voor kleinere organisaties die daar de resources niet voor hebben.
Reageer
Preview