Noodzaak tot consolidatie rode draad tijdens Security Summit Firewall

Transcriptie

1 SE C U R I T Y D O S S I E R CHA NNELCO NNECT Security Summit Firewall 2018 Rashid Niamat Verslag van Security Summit Firewall van ChannelConnect Noodzaak tot consolidatie rode draad tijdens Security Summit Firewall Op 6 september werd door ChannelConnect de jaarlijkse Security Summit gehouden. Inhoudelijk was het een van de beste sessies tot nu toe. De deelnemers spraken vrijuit over de vragen en stellingen die werden gepresenteerd en wisten daar interessante aanvullingen op te geven waar men met elkaar over in discussie ging. Aan de 2018 editie van de Channel Connect Security Summit Firewall werd deelgenomen door: Rik Chorus security channel manager Cisco Tim Hoefsloot R egional Director Sales Benelux Forcepoint Bernard Schep Regional Sales Manager A10 Networks Fred Streefland Chief Security Officer NEEUR Palo Alto Networks Stein Tiebosch channel manager Fortinet AVG ontnuchtering De eerste vraag van de dag is of de AVG echt iets heeft opgeleverd of dat de sector ontnuchterd is. Rik Chorus (Cisco), reageert als eerste. Op zich valt het tegen, maar we moeten het in een bredere context zien. Iets meer dan een jaar terug hebben we de wet meldplicht datalekken van kracht zien worden. Ondernemers zijn toen geschrokken en hebben een hoop geregeld. Vervolgens hebben ze er niets meer van gemerkt. Hierdoor heeft volgens Chorus het bedrijfsleven toen de AVG ter sprake kwam vooral een afwachtende houding aangenomen. Die inschatting wordt door alle aanwezigen gedeeld en dat geldt ook voor zijn opmerking dat een groot aantal organisaties is geschrokken van wat ze allemaal moeten doen. Daarbij speelt volgens Fred Streefland (Palo Alto Networks) dat de AVG niet het enige is dat op het bordje van de IT-afdelingen of security-officers is gekomen. Die hebben er nu gewoon nog iets bijgekregen. Als er al iets uitzonderlijks zou zijn aan de AVG, dan is het volgens hem dat de belangstelling hiervoor vooral door druk van boven is gekomen. Directies hebben er voor gezorgd dat het meer prioriteit krijgt en zoiets gebeurt bij andere onderwerpen zelden Summit Firewall.indd :18

2 Stein Tiebosch (Fortinet) wijst op zijn beurt op een punt dat verder in het gesprek nog meerdere keren zal opduiken: de aandacht ebt snel weg. Ik zie daar een sterke overeenkomst met de aandacht voor ransomware. Daar was opeens iedereen mee bezig en het zou lange tijd voor veel business zorgen. Maar kijk wat daarvan is uitgekomen. Bij de meeste eindgebruikers was het binnen twee weken al weer van de agenda af en dan is er voor de partners, distributeurs en ons weinig meer mogelijk. Bernard Schep (A10 Networks) zit ook op die lijn, al legt hij daarvoor de link met het millennium probleem: Dat was op zich een serieus issue, maar het is onnodig groot gemaakt door consultancybedrijven die dachten daarmee de kip met de gouden eieren in handen te hebben. Er zit door dat soort ervaring tegenwoordig teveel realisme in de markt om het hoofd op hol te laten brengen. Tim Hoefsloot (Forcepoint) is het met de voorgaande sprekers eens maar en heeft een interessante aanvulling: Ook wij zijn verrast als het gaat om de impact van de AVG op onze business. Inmiddels begrijpen we ook waarom dat zo is. We hebben ons onvoldoende gerealiseerd wat er allemaal op de bedrijven is afgekomen. Eerst moesten de analyses worden gedaan, de DPO s worden aangesteld en pas daarna kan men gaan nadenken met welke tools de AVG-compliance kan worden bijgehouden. Pas dan komen onze oplossingen in zicht. Ze weten nu pas wat ze willen en gaan daarom nu pas op zoek naar de oplossingen, rechtstreeks of via de partners. Wij staan gewoon helemaal achter in de rij. Ik deel dus niet de mening dat hier iets niet is uitgekomen, het is veel meer dat het nóg niet is uitgekomen. Ik ben optimistisch dat het nog goed gaat komen. Die woorden leiden tot instemmende reacties van de aanwezigen. Zowel fabrikanten, distributeurs als partners kunnen er dus rekening mee houden dat de echte vraag naar tools om AVG-compliant te worden nog zal komen. Dat de hooggespannen verwachtingen nog niet zijn uitgekomen rekent men zich ook wel een beetje zelf aan. Chorus verwoordt het als volgt: We zijn als leveranciers snel geneigd tegen de klant te zeggen: kijk we hebben hier een hele mooie doos en dat is de oplossing. Techniek is mogelijk te snel naar voren geschoven als de AVG-oplossing, terwijl de beoogde klant daar niet voor openstond. Waar de groep het verder met elkaar over eens is, is de opmerking dat bedrijven er goed aan doen eerst na te denken over de eigen strategie en pas dan over de techniek die dat mogelijk kan maken. Dan pas de gesprekken aangaan met de IT-partners is de juiste volgorde. Waarbij men aangeeft dat dit nog te weinig voorkomt. Verbazing Na de gerichte vraag over de impact van de AVG is de algemene vraag gesteld waarover men dit jaar het meest is verbaasd. Schep heeft zijn antwoord paraat: De Wannacry Maersk-affaire is van vorig jaar, maar ik ben verbaasd dat we iets vergelijkbaars, een Maersk 2.0, dit jaar nog niet hebben meegemaakt. Ondanks alle kwetsbaarheden draait alles nog. Streefland haakt daar op in. Ik ben het compleet met Bernard eens. Alles secure krijgen is enorm lastig. Er is zoveel data en er zijn ontelbaar veel bedrijven met dito endpoints die zelf door de bomen het bos niet meer kunnen zien. Dat we geen megagroot incident hebben met OT of bij de kritische infra verbaast me. De toenemende complexiteit werd in 2008 door Gartner al genoemd als oorzaak van de meeste problemen, zegt Tiebosch. Als ik om me heen kijk, zie ik de complexiteit alleen maar toenemen en de gedachte bij veel eindklanten dat dat bijdraagt aan meer veiligheid. Dat laatste verbaast mij. Hoefsloot haakt in op de opmerking van Schep over het uitblijven van een Maersk 2.0. Het is ook best opvallend dat ik naar aanleiding daarvan amper vragen uit de markt heb gekregen. Complexiteit en consolidatie Complexiteit is een van de begrippen waar vendoren veel mee te maken hebben en ook zelf mee worstelen. Chorus zegt daar het volgende over: Er ligt hier een belangrijke taak voor vendoren en partners. We hebben jaren gezegd we hebben de best of breed, koop deze doos. Nu hebben we een enorm gefragmenteerd landschap waarvan de eindklanten niet meer weten hoe ze het moeten inzetten en onderhouden, helemaal omdat er geen securityspecialisten te krijgen zijn. De complexiteit aanpakken is hard nodig. Hoe dat gerealiseerd moet worden lijkt betrekkelijk eenvoudig. De meeste vendoren kunnen de eigen diensten en devices met de van de concurrentie laten communiceren. API s zijn natuurlijk de uitkomst. A10 gaat verder door de diensten via de Azure-marktplaats aan te bieden. Palo Alto Networks heeft inmiddels een eigen appstore waar de diensten van derden op kunnen worden aangeboden. De term die allen gebruiken is dat men onderdeel is van een breed ecosysteem. Dat wordt gezien als een belangrijke voorwaarde om de complexiteit te versimpelen en de noodzakelijk geachte consolidatieslag van de talloze devices en applicaties bij klanten mogelijk te maken. Streefland: Dat consolideren is niet iets waar alleen wij op hameren. Wij zien het bij de grotere eindgebruikers gelukkig vaker voorkomen. Ze willen niet blijven investeren in hardware, daar alle details van kennen en exact weten wat er onder de motorkap zit. Ze willen dat het probleem wordt opgelost. Dat zoiets alleen met forse consolidering te realiseren is, zien we ze echt wel. Alleen dan krijgen ze de rust in de tent die nodig is om de digitale transformatie te realiseren. > Summit Firewall.indd :18

3 Security Summit Firewall 2018 Bernard Schep Tim Hoefsloot Rik Chorus Tiebosch plaatst daarbij wel de kritische kanttekening dat iedere vendor claimt de juiste basis en oplossing te bieden. Wat ontbreekt, is een vorm van een alliantie, zodat er een echt breed gedragen standaard komt, anders blijft het landschap te versnipperd. Dan blijft het voor eindklanten en partners te complex en valt de consolidatie uiteindelijk tegen. Hoe wenselijk dat ook is, men ziet wel dat dit op gespannen voet staat met de commerciële belangen en een praktisch punt dat Streefland noemt: We moeten realistisch zijn. We zijn een vooruitgeschoven post van global players. Wat er aan kennis gedeeld kan worden, wordt elders bepaald. Het afbouwen van de complexiteit, een stap die iedereen als hard nodig beschrijft, komt wat de deelnemers aan de ronde tafel betreft te langzaam uit de startblokken. De belangrijkste reden die daarvoor wordt aangegeven is het gebrek aan kennis. Kennis en distributeurs Kennis is een begrip dat tijdens de bijeenkomst veel ter sprake komt. Er is ook op doorgevraagd, bijvoorbeeld toen het gesprek ging over de rol van de distributeurs en partners en over hoeveel kennis zij kunnen beschikken. Zijn de eisen die klanten of misschien ook vendoren stellen nog wel realistisch? Schep: Nederland is een land met partners. Die hebben bij security lang kunnen volstaan met het schuiven van de dozen. Daar nam de markt, de klant, genoegen mee. Inmiddels is dat landschap te complex geworden om op dezelfde voet verder te gaan. Maar wie kan nu van zichzelf zeggen dat hij over alle kennis beschikt om zowel de consolidatie als de adoptie van een nieuw framework of ecosysteem mogelijk te maken en de bepaalde legacy in de lucht te blijven houden? Het is niet alleen somberheid troef voor Schep, hij ziet ook positieve ontwikkelingen: Ik zie steeds meer gespecialiseerde integrators die zich richten op thread analyse, forensics en dergelijke. Dat zijn deels nieuwe spelers, maar deels ook bestaande partners die het roer omgooien. Van dat soort partijen gaan we meer merken de komende periode. Chorus: Het is niet realistisch te verwachten dat partners over alle kennis op het gebied van IT-security beschikken. Het kennistekort is op alle vlakken, bij ons, de distributeurs en de partners enorm en het wordt alleen maar groter omdat het IT-landschap in omvang toeneemt. We kunnen hier alleen maar een slag maken door te consolideren, het aantal solutions verminderen, zodat het voor partners en integrators mogelijk wordt het securitylandschap af te dekken. Tiebosch onderschrijft dat en voegt daar aan toe dat wat hem betreft de vendoren de partners in dat proces actiever moeten ondersteunen. Streefland bekijkt het issue vanuit een andere invalshoek. We zien dat grotere klanten steeds meer ontzorgd willen worden. Een klant kan alle techniek niet meer volgen, dat is zijn core business niet, die wil een simpel antwoord op zijn vraag. Dat vergt ook wel wat van partners. Tijdens zijn betoog laat Streefland ook een uitgesproken mening over de vele start-ups, die de securitymarkt betreden, doorschemeren: Ik denk dat veel cybersecuritystart-ups het uiteindelijk niet gaan redden, omdat wat ze bieden in de praktijk toch weer de complexiteit doet toenemen. Die opmerking lokt de nodige reacties uit, onder andere van Hoefsloot: Start-ups zijn nodig voor innovatie. Het is de kleine luis in de pels die de groten en de rest van de markt scherp houdt. Daar is Streefland het mee eens. Hij noemt de appstore bij Palo Alto Networks, een platform waar derde partijen hun dienst kunnen aanbieden als model om start-ups beter tot hun recht te laten komen. De afnemers daarvan, partners voor de eindklanten, worden daardoor agile, er hoeft niet meer voor drie jaar aangeschaft te worden Summit Firewall.indd :18

4 Stein Tiebosch Fred Streefland en ze kunnen tussentijds makkelijk switchen naar de meest innovatieve oplossingen. Op die manier kunnen de issues complexiteit en noodzaak voor diepgaande kennis getackeld worden. Dat Palo Alto Networks daarmee tot op zekere hoogte concurreert met distributeurs geeft hij direct toe. Die moeten goed nadenken wat hun rol in dit veranderende veld wordt. De opmerkingen van Streefland over de appstore zijn voor Schep redenen om op te merken dat A10 Networks inmiddels als dienst vanuit Azure wordt aangeboden. Dat is best ingewikkeld omdat dat je het kanaal op z n kop zet. Hoefsloot heeft over beiden een duidelijke mening. Als je kanaal geen toegevoegde waarde meer heeft dan valt het vanzelf uiteen. Dus het is aan een distributeur toegevoegde waarde te blijven bieden richting zijn kanaal. Een reseller, kent de klant en moet over kennis beschikken, dat laatste is deels de taak van de distributeur. Ook Chorus ziet de trend naar meer software en de mogelijkheden die platformen en appstores bieden. Dat wil volgens hem echter niet zeggen dat de rol van een distributeur vervalt. Alles behalve dat, die rol wordt anders, maar wel steeds belangrijker. De distributeur wordt bijvoorbeeld steeds meer financiële dienstverlener en onmisbare schakel bij de marketing. Dat zijn wel twee belangrijke terreinen die specifieke kennis vergt die standaard buiten de scope van een partner ligt. Wat Chorus ook aanstipt is dat er veel IT-partners, en dan helemaal de echte kleine, zijn die echt geen kaas gegeten hebben van security maar dat wel heel graag willen leveren. Hij ziet daardoor de vraag naar managed dienstverlening, zoals incident response toenemen. Distributeurs zouden volgens hem op die vraag kunnen inspelen, bijvoorbeeld door het opzetten van een SOC-omgeving om die kleine partners te kunnen ondersteunen. Wat hij oppert roept de nodige reacties op, want iedereen ziet dat spanning ontstaat als distributeurs bijvoorbeeld een SOC-dienst aan kleinere partners gaan leveren. Dat zal door de grotere partners die in een eigen SOC hebben geïnvesteerd worden opgevat als het in het zadel helpen van kleine partijen en ongelijke concurrentie. Hiermee wordt duidelijk dat als distributeurs van rol veranderen dit ook impact heeft op het partnerlandschap. IoT Na de lunch werd het rondetafelgesprk hervat en het eerste onderwerp daar was IoT: wat merken de vendoren hiervan? Het antwoord op die vraag laat zich raden,. Men merkt dat er steeds meer devices komen die connected zijn en dat daarmee ook het attack-vectoroppervlak snel toeneemt. Streefland: Bedrijven hebben geen idee wat er allemaal gekoppeld wordt en wie er met wat communiceert als we het over IoT-devices hebben. IoT is een enorme business opportunity voor Palo Alto Networks. Bij Fortinet zien ze ook de businesskansen die IoT met zich meebrengt. Het kanaal speelt er volgens Tiebosch nog te weinig op in. Technisch gezien zijn er oplossingen voor IoT. De kennis die bij de partners zit is vooral gebaseerd op het beveiligen van traditionele netwerken. IoT vergt nieuwe kennis en die is er nog onvoldoende. Daarom is het beveiligen ervan nu nog een ondergeschoven kindje. Streefland haakt in op die laatste zin: Het gaat ook hier weer over kennis. Ik vind dat wij als fabrikanten wat meer moeten doen om die slimme devices die geen uitknop hebben te beveiligen. Door de opmerking van Streefland komt de vraag naar boven wie verantwoordelijk moet zijn voor een veilig IoT. Schep zegt het een lastige vraag te vinden. We hebben het over fabrikanten die we niet kunnen dwingen goede software te gebruiken en kopers die niet begrijpen dat het eventueel mogelijk is username en wachtwoord te wijzigen. De enige waarvan je die kennis mag verwachten zijn de verkopers en de partners. In een aantal gevallen zijn daar ook de serviceproviders aan zet. Maar hoe dat in de praktijk kan werken is mij nog niet duidelijk. Tiebosch heeft een helder antwoord: Je moet er gewoon vanuit gaan dat IoT-devices niet veilig zijn want daar zijn ze niet voor gemaakt. Dus wij als securityvendoren moeten daar wat aan doen. > Summit Firewall.indd :18

5 Security Summit Firewall 2018 in de regel niet duidelijk wie waarvoor verantwoordelijk is. Daar ligt een schone kans voor de vendors, distributeurs en vooral partners om de markt te informeren en te ondersteunen. Interessant detail tijdens de discussie is de opmerking van Schep dat IoT A10 Networks heel veel business gaat leveren. Die devices zijn allemaal IPv4, dus daar gaan problemen komen om die met IPv6-netwerken te laten praten. Die NAT-appliances leveren wij en IoT wordt ook de driver voor 5G. Daar hebben wij ook de nodige ijzers voor in het vuur liggen. Aandacht en awareness Omdat er met IoT nog al wat fout gaat, haalt het vaak de pers. Heeft die aandacht, net als berichten over hacks, spionage en dergelijke eigenlijk impact. Leidt het tot meer vragen en omzet? Hoefsloot is de eerste die hier op reageert: Ik mis iets bij die vraag. Hackers zijn maar deel van het risico. Voor bedrijven is de insider, de medewerker die hackt of domme dingen doet, de grootste bedreiging. Of het nu gaat om phishing, het verlies van unencrypted data of devices, daar zit een heel groot probleem en vanwege de AVG verdient dat meer aandacht. Het is alleen iets waar we in gesprekken met bijvoorbeeld de distributeurs weinig vorderingen maken. Die praten er alleen over als het hen zelf is overkomen. Ik merk ook weinig dat partners bij hun klanten de kwetsbare medewerkers pro-actief benoemen. Wat mij betreft blijft er omzet liggen omdat het belangrijkste risico onderbelicht blijft. Tiebosch is altijd blij met aandacht voor incidenten. Hoe meer, des te beter, dat leidt tot meer awareness en dat is goed. Hij ziet wel een probleem met het op de agenda houden van de onderwerpen bij zowel de distributeurs, partners als eindklanten. En een van de redenen daarvoor is toch weer de kennis. Chorus raadt daarom distributeurs aan focus aan te brengen op een topic binnen het brede securityveld en dat echt langere tijd vast te houden. Wat ik zie is dat ze van alles aan de man willen brengen, wat eigenlijk met hagel schieten is. Ja, natuurlijk willen ze veel omzet, maar die aanpak is niet effectief. Voor de volgende keer Traditiegetrouw wordt aan het eind van de rond tafel gevraagd welk onderwerp is gemist of men graag op de agenda van de volgende bijeenkomst ziet staan. Van meerdere kanten is te horen dat cloudsecurity meer aandacht verdient. Voor eindgebruikers moet duidelijker worden dat data en applicaties in de cloud daar niet automatisch secure zijn. Dat zelfde geldt voor het werken met meerdere clouds. Sowieso, als het over cloud gaat is bij gebruikers Wat verder wordt genoemd is het veranderd perspectief. Vroeger werd ervan uitgegaan dat verkeer van buiten naar binnen als enige moest worden gecontroleerd. Tegenwoordig moet ook verkeer van binnen naar buiten denk aan het verspreiden van malware onder de loep worden genomen. Het gevaar van de insider en de trend naar User Behavior Analytics (UEBA) horen ook daarbij. In hoeverre de markt daar de noodzaak van inziet en of de partners daar de juiste boodschap hebben, wordt een thema voor een volgende summit. Daarmee te maken heeft ook de aandacht voor de drie verschillende soorten werkplekken: office, homeoffice en flexplekken onderweg. Alleen al daardoor is een nieuwe kijk op security nodig. De oplossingen zijn er, een bedrijf als Forcepoint heeft daar de marktbenadering volledig op ingericht. Of resellers over dit soort trends en noodzakelijke oplossingen genoeg het gesprek aangaan met de klanten in de woorden van Chorus het opvoeden van de klant zonder daarbij direct te vervallen in het dozen schuiven en welke steun daarvoor van de distributeur en vendor wordt verwacht, is eveneens een thema dat volgende keer op de agenda zal staan Summit Firewall.indd :18