NTT Security is de beveiligingstak van NTT Group, een van de grootste telecom- en technologiebedrijven ter wereld, en in ons land een nobele onbekende. In België doet de naam van dochterbedrijf Dimension Data alvast meer belletjes rinkelen. "We zijn nochtans een oud merk", zegt Kai Grunwitz, senior vice president EMEA bij NTT Group. "Het bedrijf bestaat al 120 jaar in Japan. We willen dat vanaf nu meer uitspelen."
...

NTT Security is de beveiligingstak van NTT Group, een van de grootste telecom- en technologiebedrijven ter wereld, en in ons land een nobele onbekende. In België doet de naam van dochterbedrijf Dimension Data alvast meer belletjes rinkelen. "We zijn nochtans een oud merk", zegt Kai Grunwitz, senior vice president EMEA bij NTT Group. "Het bedrijf bestaat al 120 jaar in Japan. We willen dat vanaf nu meer uitspelen." Een en ander past in een strategie waarbij het bedrijf zich als alleskunner naar voren schuift. Het van oorsprong telecombedrijf, dat geldt als een soort Japanse Proximus, heeft daartoe de voorbije jaren de gaten in zijn expertise opgevuld via research en acquisities. "We kunnen het end-to-end-verhaal brengen", zegt Grunwitz. "We werken op business modernisation en innovatie, vooral via R&D, venture capital in start-ups en dergelijke. Daarnaast werken we sterk op de digitale tranformatie bij onze klanten." In dat rijtje: consulting rond het ontwikkelen van applicaties, digitale transformatie en SAP ontwikkeling, systeemintegratie via Dimension Data, datacenters en communicatiediensten, en beveiliging. Het is de beveiligingstak die Data News bezoekt in Zweden. NTT Security heeft een van zijn Security Operations Centers in Gothenborg, een centrum van waaruit de analisten van het bedrijf de beveiliging van verschillende 'managed security' klanten beheren. Het idee achter die managed security is dat een bedrijf de eigenlijke monitoring van netwerken, samen met het detectie- en preventiegegeven, grotendeels uit handen geeft. "Veel bedrijven huren hun fysieke security bij een gespecialiseerd bedrijf, en voor IT-beveiliging is dat nog logischer, want om dat goed te doen heb je een stevige kennis nodig", zegt Fredrik Westerdahl, die het SOC in Gothenborg runt. "Net als fysieke beveiliging krijgen wij een alarm als er iemand probeert in te breken. Alleen zijn het er heel veel. Onze analisten bekijken 10.000 alerts per dag. Daar zitten er misschien tien tot vijftig bij die geldige incidenten zijn." De job van de analisten bestaat er dan voornamelijk in om het kaf van het koren te scheiden. "Veel vendors leveren een product rond het detecteren van dreigingen. Maar dan krijg je vaak veel alerts, en niet elk bedrijf heeft de methodologie om daar mee om te gaan", zegt Westerdahl. "Niet alle alerts die je krijgt zijn waarschuwingen en je wil vermijden dat ze de belangrijke alerts gaan negeren omdat de lijst te lang is. Wij laten onze klanten daarom grotendeels met rust. Security draait om vertrouwen. Ze moeten op ons vertrouwen, en ze moeten weten dat als ze niets van ons horen, dat het goed is, maar als wij hen bellen, dat het dan echt wel om een belangrijk incident gaat." De SOC past in een breder securityverhaal dat, het zal u niet verbazen, end-to-end is. "We willen de volledige coverage hebben", zegt Grunwitz, "Van consulting tot operations. Met een 'full cycle' van preventie tot response." Net als bij de businesstransformatie, verkoopt NTT Security zich hier als een strategische consultant, voornamelijk aan grotere bedrijven. "De meeste bedrijven focussen op een component van security, maar de meeste klanten moeten net beter begrijpen wat er specifiek is aan hun bedrijf. Ze moeten weten wat hun risicoprofiel is, zodat ze aangepaste security hebben daarvoor", legt Grunwitz uit. "Het draait niet om het aankopen van een component voor de security. Het draait om strategie. Daar zit veel consultancywerk in." Voor zijn securityverhaal ziet NTT Security ook een bijzonder voordeel in het bestaan van de rest van de groep. "Twintig jaar geleden kon je je security beheren met firewalls", zegt Patrick Shraut, VP consulting Europe bij NTT Group. "Toen was preventie genoeg, maar dat werkt niet langer. Je moet nu ook problemen detecteren en erop kunnen reageren." Hier komt de telco van pas. "We hebben het grote voordeel dat we een groot deel van het internetverkeer zien", aldus Shraut. "We zijn Tier 1 ISP. Als een exploit er is, zien wij of die gebruikt wordt." "We gebruiken een grote dataset", voegt Charles Bovy, director MSS Pre-Sales, EMEA, daaraan toe. "We analyseren elk jaar 6,1 biljard aan logbestanden. We zien ook 40 procent van het globale internetverkeer. Een groot deel van de backbone van het internet wordt door NTT beheerd. We zien veel aanvallen dus in een vroeg stadium." NTT runt dan wel een backbone van het internet, Bovy benadrukt dat ze de inhoud van dat verkeer niet kunnen zien. Waarvoor wordt het dan wel gebruikt? "Botnetdetectie, bijvoorbeeld", zegt Bovy. "We zien wie er van A naar B gaat met welk soort applicatie. We zien de payload niet, maar we bekijken wel de flows, om zo een grafiek te bouwen van verdacht internetverkeer." Komt er een aanval of waarschuwing van een verdacht IP-adres, dan kan de analist dat opzoeken in de grafiek, om te zien of het nog met andere klanten van NTT Security probeert te communiceren. "Als het een bot is of een botnet, kunnen we dat proberen uit te tekenen, en ook proberen de botmaster te vinden." Dat alles wordt aangevuld met de typische gedeelde kennis van andere beveiligingsfirmas, en een eigen 'honeypot' netwerk, een reeks netwerklocaties waarmee het bedrijf probeert om aanvallen uit te lokken. "Als je de data niet hebt, kan je er geen gebruik van maken", zegt Bovy daarover. "We gebruiken daarom klantendata om te verbeteren. Daarnaast gebruiken we ook de data waarvan we weten dat ze kwaadaardig zijn. We draaien zo'n 600 honeypots en krijgen zo 10.000 malware samples per maand die we kunnen analyseren.