12 mei 2022“WE KUNNEN INCIDENTEN EN AANVALLEN VEEL SNELLER STOPPEN.”
VIRO is een hightech adviesbureau met zo'n 850 medewerkers dat veel gevoelige data beheert. Met veel grote OEM's (original equipment manufacturers) als klant hebben zij te maken met strikte geheimhoudingsovereenkomsten en bijbehorende boetes. Dit stelt hoge eisen aan de beveiliging van al hun systemen.
Nadat Rapid Circle Microsoft 365 had geïmplementeerd, vroeg VIRO ons om een Cyber Security Assessment te doen. We hebben een roadmap gemaakt voor een geïntegreerde set beveiligingstools en hebben een Zero Trust-uitrol voltooid die onder andere de volledige Microsoft Defender-suite omvatte. Vervolgens hebben we VIRO aangesloten op onze Beheerd Security Operations Center (SOC).
https://en.rapidcircle.com/securityhealthcheck
VERSPREIDE BEVEILIGINGSTOOLSET
VIRO heeft 13 vestigingen verspreid over Nederland, België en Duitsland, maar de IT-afdeling werkt centraal vanuit het hoofdkantoor in Hengelo. IT-manager Niek Rensen had een uitgebreide maar verspreide security toolset tot zijn beschikking:
“Met McAfee voor de endpoints, Barracuda en Netskope dachten we dat we een goed idee hadden van wat er gebeurde, maar we hadden weinig tijd en beschikten niet over middelen, dus verzuimden we vaak om rapporten op te volgen. Toen onze collega's door corona thuis gingen werken, kregen we het gevoel dat we de regie aan het verliezen waren. We hadden drie verschillende portalen, zonder SIEM-oplossing die alle logs voor ons verzamelde of analyseerde, wat betekende dat we op elke omgeving moesten inloggen en op incidenten moesten controleren. Het was repetitief tijdrovend handwerk waar we niet altijd de tijd voor hadden.”
“Voorheen kwamen we er niet altijd aan toe om incidenten op te volgen.”
— Niek Rensen, IT-manager
CYBERVEILIGHEIDSBEOORDELING EN ROUTEKAART
Rapid Circle had met succes Microsoft 365 geïmplementeerd bij VIRO, dus Niek besloot ons in te huren om een Cyber Security Assessment voor de gehele omgeving uit te voeren en advies te geven over een meer geïntegreerde set beveiligingstools. “De tools die we hadden waren goed ingericht”, zegt Niek, “maar we misten de samenwerking van de tools om ons een compleet beeld te geven”. Uit de beoordeling van Rapid Circle bleek dat er geen bedreigingsbeheer was en dat er geen intelligente oplossing was die machine learning en AI combineerde.
“Het was goed om de resultaten van het assessment te zien en samen met Rapid Circle de prioriteiten te bepalen. Rapid Circle en Microsoft hebben een meer holistische benadering van cyberbeveiliging, wat ons erg aansprak. Een holistische kijk stelt ons in staat om verbanden tussen incidenten beter te zien en aanvallers een stap voor te zijn.”
Deze prioriteiten zijn vertaald in een roadmap. De eerste acties waren het beveiligen van de endpoints en servers met Microsoft Defender for Endpoint en het uitrollen van betere Identity Protection, Conditional Access en Defender for Cloud Apps. Deze zorgden voor betere controle en meer inzicht in cloudapplicaties en werden uitgevoerd volgens het Zero Trust Framework.
RANSOMWARE-AANVAL GESTOPT
Als proof of concept hebben we VIRO ook aangesloten op ons Managed SOC. Meteen zagen we de eerste hackpoging: verdachte acties op de omgeving van VIRO wezen erop dat cybercriminelen een ransomware-aanval aan het voorbereiden waren. “We hebben meteen opgeschaald”, zegt Niek. “Rapid Circle schakelde beveiligingsspecialist NorthWave en mensen van de firewallleverancier in. Toen begon een kat-en-muisspel met de hacker. De hele avond en nacht hielden we de systemen in de gaten. Waar we verdachte activiteit zagen, hebben we meteen alles afgesloten.”
“Onze SOC redde VIRO, ook in de testperiode, van een cyberaanval.”
— Niek Rensen, IT-manager
“Rapid Circle deed de MDR en schaalde op met de incidentresponsservice van NortWave. Uiteindelijk gaven de hackers het op. Onze Managed SOC had VIRO in de eerste testperiode gered van een mogelijk verwoestende cyberaanval. De verstoring van de dagelijkse werkzaamheden werd tot een minimum beperkt na de aanval en we konden doorgaan met de uitrol van Microsoft 365 Defender.”
“Gelukkig waren we net aangesloten bij het SOC. Hierdoor hebben we een hacker op tijd weten te stoppen.”
— Huub Kottink, financieel directeur
MICROSOFT 365 DEFENDER: IDEALE XDR-OPLOSSING
Defender is de ideale oplossing voor Extended Detection and Response (XDR) op Microsoft-omgevingen. Met Defender beveiligen we identiteiten, endpoints, cloud-apps, e-mail, data en documenten voor VIRO op een volledig geïntegreerde manier. Om de hoeveelheid werk voor de SOC te minimaliseren, heeft Defender een intelligent algoritme dat waarschuwingen analyseert en samenvoegt. Een groot deel hiervan wordt dan automatisch door het systeem zelf opgelost. De overige meldingen worden op volgorde van prioriteit gerapporteerd, zo werken we altijd aan het belangrijkste onderwerp van het moment.
BEDRIJFSZAAK
De gehele toolset wordt betaald uit een E5-licentie. Een kostenbesparende oplossing die garandeert dat VIRO in de toekomst altijd gebruik kan maken van de modernste security tooling. De businesscase voor de overstap naar een SOC was echter al gemaakt vóór de hack.
Niek: “De kosten van de tools zijn ongeveer hetzelfde als je het vergelijkt tussen Microsoft en onze oude toolset. Dan is de Managed SOC een meerkost bovenop E-5, maar wij vinden de investering het meer dan waard. We hebben veel klantgegevens in onze systemen. We zijn ons dus zeer bewust van onze verantwoordelijkheid voor gegevensbeveiliging. Bovendien heeft een van onze klanten onlangs veel schade opgelopen tijdens een hackpoging.”
Door de beveiliging uit te besteden aan ons beheerde SOC, krijgen onze IT-mensen meer tijd vrij. Zij kunnen de VIRO-medewerkers beter en sneller ondersteunen, waardoor de productiviteit in het hele bedrijf toeneemt.
STAP VOOR STAP IMPLEMENTATIE
Het proces dat Rapid Circle volgde werkte goed voor VIRO. “Door een gespreide implementatie heb je een goed overzicht van wat werkt en wat niet” zegt Niek. “We hebben gedurende het hele project nauw samengewerkt. We hebben veel nagedacht over het proces en hoe we vertrouwd konden raken met de tools. De implementatie is complex en de cloudtooling verandert voortdurend. Ook dat is een goede reden om de dagelijkse werkzaamheden uit te besteden aan een partner.
“Het is fijn om de implementatie stap voor stap te doen. Dan behoud je het overzicht.”
— Niek Rensen, IT-manager
VAN DETECTIE NAAR ACTIE
Het beheerde SOC van Rapid Circle bewaakt momenteel dag en nacht alle VIRO-systemen. Als we afwijkend gedrag constateren, nemen we contact op met hun IT-personeel. Omdat we nog niet al hun processen kennen, kunnen we niet beoordelen welk gedrag in de omgeving van VIRO kwaadaardig is. Daarom leggen we de geconstateerde incidenten alsnog aan hen voor, zodat zij een juiste inschatting kunnen maken. Hoe langer VIRO is aangesloten op ons beheerde SOC en hoe beter we hun processen kennen, hoe meer we proactief kunnen handelen. Dat verhoogt de snelheid en dus de veiligheid.
VOLLEDIGE FOCUS OP VEILIGHEIDSBEWUSTZIJN
Aansluiting op het beheerde SOC is een grote stap naar verdere modernisering van de infrastructuur van VIRO. Als u weet dat uw omgeving en gegevens veilig zijn, kunt u uw bedrijf blijven innoveren. Al gaat het bedrijf niet helemaal naar de cloud, zegt Niek: “We werken veel met technische tekeningen. Dit zijn zware dossiers die we voorlopig op locatie blijven bewaren. Maar zodra ze hier op de server zijn opgeslagen, vallen ze binnen het bereik van de SOC. En ook het back-upproces is goed ingericht.”
Een ander bedrijfskritisch systeem, het ERP, wordt door VIRO als SaaS afgenomen. Technisch gezien staat VIRO waar het wil zijn, maar er zijn nog risico's te beheersen.
“Werknemers vormen nu het grootste risico. Er werken hier 850 mensen en ondanks alle veiligheidsmaatregelen zullen ze kwaadaardige e-mails blijven ontvangen. Dit is een groter risico dan de technologie. De ransomware-aanval is ook afkomstig van een apparaat dat is gecompromitteerd met een e-mail of een website. Onze belangrijkste focus ligt op dit moment op security awareness”.
EN 
NL