Hoe groter de dataset, hoe beter. Dat is het idee achter veel analyse-projecten, ook die in cyberbeveliging. Het is hier dat een bedrijf als NTT Security zijn voorsprong ziet. ‘Een groot deel van de backbone van het internet wordt door ons beheerd. We zien aanvallen dus in een vroeg stadium.’
NTT Security is de beveiligingstak van NTT Group, een van de grootste telecom- en technologiebedrijven ter wereld, en in ons land een nobele onbekende. In België doet de naam van dochterbedrijf Dimension Data alvast meer belletjes rinkelen. “We zijn nochtans een oud merk”, zegt Kai Grunwitz, senior vice president EMEA bij NTT Group. “Het bedrijf bestaat al 120 jaar in Japan. We willen dat vanaf nu meer uitspelen.”
Een en ander past in een strategie waarbij het bedrijf zich als alleskunner naar voren schuift. Het van oorsprong telecombedrijf, dat geldt als een soort Japanse Proximus, heeft daartoe de voorbije jaren de gaten in zijn expertise opgevuld via research en acquisities. “We kunnen het end-to-end-verhaal brengen”, zegt Grunwitz. “We werken op business modernisation en innovatie, vooral via R&D, venture capital in start-ups en dergelijke. Daarnaast werken we sterk op de digitale tranformatie bij onze klanten.” In dat rijtje: consulting rond het ontwikkelen van applicaties, digitale transformatie en SAP ontwikkeling, systeemintegratie via Dimension Data, datacenters en communicatiediensten, en beveiliging.
Wij laten onze klanten grotendeels met rust
Kaf en koren
Het is de beveiligingstak die Data News bezoekt in Zweden. NTT Security heeft een van zijn Security Operations Centers in Gothenborg, een centrum van waaruit de analisten van het bedrijf de beveiliging van verschillende ‘managed security’ klanten beheren. Het idee achter die managed security is dat een bedrijf de eigenlijke monitoring van netwerken, samen met het detectie- en preventiegegeven, grotendeels uit handen geeft. “Veel bedrijven huren hun fysieke security bij een gespecialiseerd bedrijf, en voor IT-beveiliging is dat nog logischer, want om dat goed te doen heb je een stevige kennis nodig”, zegt Fredrik Westerdahl, die het SOC in Gothenborg runt. “Net als fysieke beveiliging krijgen wij een alarm als er iemand probeert in te breken. Alleen zijn het er heel veel. Onze analisten bekijken 10.000 alerts per dag. Daar zitten er misschien tien tot vijftig bij die geldige incidenten zijn.”
De job van de analisten bestaat er dan voornamelijk in om het kaf van het koren te scheiden. “Veel vendors leveren een product rond het detecteren van dreigingen. Maar dan krijg je vaak veel alerts, en niet elk bedrijf heeft de methodologie om daar mee om te gaan”, zegt Westerdahl. “Niet alle alerts die je krijgt zijn waarschuwingen en je wil vermijden dat ze de belangrijke alerts gaan negeren omdat de lijst te lang is. Wij laten onze klanten daarom grotendeels met rust. Security draait om vertrouwen. Ze moeten op ons vertrouwen, en ze moeten weten dat als ze niets van ons horen, dat het goed is, maar als wij hen bellen, dat het dan echt wel om een belangrijk incident gaat.”
De SOC past in een breder securityverhaal dat, het zal u niet verbazen, end-to-end is. “We willen de volledige coverage hebben”, zegt Grunwitz, “Van consulting tot operations. Met een ‘full cycle’ van preventie tot response.” Net als bij de businesstransformatie, verkoopt NTT Security zich hier als een strategische consultant, voornamelijk aan grotere bedrijven. “De meeste bedrijven focussen op een component van security, maar de meeste klanten moeten net beter begrijpen wat er specifiek is aan hun bedrijf. Ze moeten weten wat hun risicoprofiel is, zodat ze aangepaste security hebben daarvoor”, legt Grunwitz uit. “Het draait niet om het aankopen van een component voor de security. Het draait om strategie. Daar zit veel consultancywerk in.”
Een groot deel van de backbone van het internet wordt door NTT beheerd. We zien veel aanvallen dus in een vroeg stadium
Datasets
Voor zijn securityverhaal ziet NTT Security ook een bijzonder voordeel in het bestaan van de rest van de groep. “Twintig jaar geleden kon je je security beheren met firewalls”, zegt Patrick Shraut, VP consulting Europe bij NTT Group. “Toen was preventie genoeg, maar dat werkt niet langer. Je moet nu ook problemen detecteren en erop kunnen reageren.” Hier komt de telco van pas. “We hebben het grote voordeel dat we een groot deel van het internetverkeer zien”, aldus Shraut. “We zijn Tier 1 ISP. Als een exploit er is, zien wij of die gebruikt wordt.”
“We gebruiken een grote dataset”, voegt Charles Bovy, director MSS Pre-Sales, EMEA, daaraan toe. “We analyseren elk jaar 6,1 biljard aan logbestanden. We zien ook 40 procent van het globale internetverkeer. Een groot deel van de backbone van het internet wordt door NTT beheerd. We zien veel aanvallen dus in een vroeg stadium.”
NTT runt dan wel een backbone van het internet, Bovy benadrukt dat ze de inhoud van dat verkeer niet kunnen zien. Waarvoor wordt het dan wel gebruikt? “Botnetdetectie, bijvoorbeeld”, zegt Bovy. “We zien wie er van A naar B gaat met welk soort applicatie. We zien de payload niet, maar we bekijken wel de flows, om zo een grafiek te bouwen van verdacht internetverkeer.” Komt er een aanval of waarschuwing van een verdacht IP-adres, dan kan de analist dat opzoeken in de grafiek, om te zien of het nog met andere klanten van NTT Security probeert te communiceren. “Als het een bot is of een botnet, kunnen we dat proberen uit te tekenen, en ook proberen de botmaster te vinden.”
Dat alles wordt aangevuld met de typische gedeelde kennis van andere beveiligingsfirmas, en een eigen ‘honeypot’ netwerk, een reeks netwerklocaties waarmee het bedrijf probeert om aanvallen uit te lokken. “Als je de data niet hebt, kan je er geen gebruik van maken”, zegt Bovy daarover. “We gebruiken daarom klantendata om te verbeteren. Daarnaast gebruiken we ook de data waarvan we weten dat ze kwaadaardig zijn. We draaien zo’n 600 honeypots en krijgen zo 10.000 malware samples per maand die we kunnen analyseren.
Hoe beveiligt u een fabriek?
In het lijstje van ‘full cycle’ beveiliging hoort ook steeds vaker die van Operational Technology, ofte het beveiligen van belangrijke industriële en andere infrastructuur. Denk daarbij bijvoorbeeld aan elektriciteitscentrales en grote fabrieken, die zo hun eigen uitdagingen hebben. “Toestellen als laptops worden om de paar jaar vervangen, en krijgen dan meteen ook de nieuwste securitysoftware aan boord. Maar een fabrieksmachine, die zit vaak nog op Windows 95, zonder updates. Want als ze die gaan updaten, vrezen bedrijven dat ze hun productie daarvoor moeten stilleggen, ” zegt Patrick Shraut. Hij geeft aan dat voor grote producenten de beschikbaarheid van productiemachines vaak belangrijker is dan de beveiliging ervan.
Dat maakt van het leveren van OT security een speciaal beestje. “Het gaat om het opzetten van processen”, zegt Shraut. “Want als we detectiesystemen inzetten om virussen te vinden, en er zit malware op je systeem, kan je dan de productie stilleggen? Het IT-departement heeft die macht meestal niet, en de fabrieksmanager verkiest vaak om productie niet stil te leggen, dus waarom zou je dan investeren in die detectie?” Voor Shraut moet OT security daarom veel vroeger beginnen, zodat er ergens de mogelijkheid is om wel iets te doen. “Een van de mogelijke oplossingen is segmentatie”, zegt hij, “zorgen dat als je een aanvaller krijgt in een deel van het netwerk, dat daarmee niet het hele netwerk en de productie-omgeving open ligt. En daar is nog wel werk aan de winkel. Meer dan 50 procent van de bedrijven heeft nog een flat netwerk, hoewel die technologie al jaren bestaat.”
NTT in cijfers
283.000
medewerkers wereldwijd
120
jaar oud
106
miljard dollar aan inkomsten per jaar
3,6 miljard
investeringen in research en development
Fout opgemerkt of meer nieuws? Meld het hier