Interview met Martijn van Lom van Kaspersky Lab

Digitale beveiliging is belangrijker dan ooit en dat realiseren we ons bij Techzine ook. We zijn dan ook druk in gesprek met allerlei beveiligingsbedrijven om te kijken hoe wij onze lezers hier nog beter over kunnen informeren. Eerder deze week waren wij te gast bij Kaspersky Lab in Nederland voor een interview met de general manager, Martijn van Lom. Van Lom is inmiddels al 6,5 jaar general manager van Kaspersky Lab Benelux en weet als geen ander wat er op dit moment speelt in de markt en waar een bedrijf als Kaspersky naar toe wil.

Kaspersky Lab is een van de grotere merken in de antivirusmarkt. Op dit moment is het naar eigen zeggen de derde speler in de consumentenmarkt en de vierde speler op de zakelijke markt. Daarmee is het bedrijf tevreden, al denkt het binnen twee jaar op de zakelijke markt te kunnen doorgroeien naar de derde plaats. Daar moeten we wel bij vermelden dat de concurrentiestrijd om de derde plaats in de zakelijke markt een pittige is, want verschillende beveiligingsbedrijven doen hun best om die plek in handen te krijgen.

Natuurlijk is een goede marktpositie belangrijk voor een fabrikant, maar een goed product en een goede strategie is minstens zo belangrijk. Als beveiligingsbedrijf moet je weliswaar snel kunnen handelen, maar een lange termijnvisie is ook zeer belangrijk. Uiteindelijk valt of staat de hele positie in de markt toch met de kwaliteit die een bedrijf kan leveren.

Kaspersky-producten

Aangezien we ons bij Techzine hoofdzakelijk bezighouden met zakelijke producten, gaat daar ook onze interesse naar uit bij Kaspersky. Van Lom benadrukte echter dat voor Kaspersky de consumentenmarkt ook zeker belangrijk is. De data van cyberaanvallen en malware die met het consumentenproduct worden verzameld zijn extreem belangrijk om ook weer goede zakelijke producten te kunnen ontwikkelen. Het een gaat simpelweg niet zonder de ander. Inmiddels komen er elke dag ruim 310.000 malware-samples voorbij in het lab van Kaspersky en veel daarvan wordt afgevangen door de consumentenproducten.

Elk beveiligingsbedrijf heeft de lastige taak om uit die duizenden samples een analyse te maken en overeenkomsten te ontdekken tussen de samples van die dag, maar ook tussen samples van de dagen, weken, maanden en jaren daarvoor. Soms duurt het wel 12 jaar voordat Kaspersky iets zinnigs kan zeggen over een bepaald type malware, omdat de overheden of criminelen die erachter zitten deze met veel geduld hebben ontwikkeld. Dit geldt zeker als het gaat om malware met een specifiek doel, bijvoorbeeld een bepaald bedrijf of overheidsinstelling penetreren. Kaspersky investeert dan ook fors in analyses en onderzoek, maar ook in software-ontwikkeling om cybercriminelen tegen te houden.

Van Lom liet weten dat in de nieuwste producten van Kaspersky Lab inmiddels een hele goede verdedigingslaag is opgenomen tegen ransomware, toch wel één van de grootste malware-problemen van 2016. Waarschijnlijk ook een type malware dat in 2017 nog voor veel slachtoffers gaat zorgen. De nieuwe software van Kaspersky kan vrijwel elke vorm van ransomware tegenhouden, want de software staat niet langer toe dat bestanden worden versleuteld. Daarmee heeft het een zeer effectief middel ontwikkeld om ransomware tegen te houden. Natuurlijk zullen de cybercriminelen proberen hierom heen te werken, maar dat is het kat- en muisspel waar beveiligingsbedrijven op zijn ingericht en aan gewend zijn.

Kaspersky MKB-producten

Hoewel kleine ondernemers vaak kiezen voor een consumentenproduct om hun computers te beveiligen, wordt het steeds eenvoudiger om ook de zakelijke producten, endpoint security, van bijvoorbeeld Kaspersky te gebruiken. Waar je vroeger een Windows Server nodig had met een Active Directory waar alle clients weer mee verbonden waren, kan het tegenwoordig allemaal een stuk eenvoudiger en zonder al te veel IT-kennis. Het beheren van de computers binnen je netwerk kan tegenwoordig namelijk vanuit de cloud. Kaspersky heeft hiervoor de KES Cloud ontwikkeld en biedt verschillende producten aan zakelijke klanten om hun netwerk en apparaten beter te beveiligen.

1361_box_ksos-2017_mini_eng_sh

Kaspersky Small Office Security

Zo biedt het Kaspersky Small Office Security, een pakket dat geschikt is voor maximaal 50 pc’s en waarvan het beheer en monitoring is verplaatst naar de cloud. Dit pakket is overigens geschikt voor Windows, Mac, iOS en Android. De Windows- en Mac-versie doen veel denken aan de consumentenedities, maar doordat de monitoring is verplaatst naar de cloud biedt het wel een veel beter overzicht van hoe veilig de computers in het bedrijf zijn.

kaspersky-endpoint-cloud

Kaspersky Endpoint Security Cloud

Boven Small Office Security biedt Kaspersky Lab het product Kaspersky Endpoint Security Cloud aan. Hiermee kunnen Windows-computers en mobiele Android en iOS-apparaten worden beveiligd. Ondersteuning voor macOS is op dit moment niet beschikbaar, maar dat lijkt een kwestie van tijd. Wel kan dit pakket worden geïnstalleerd op maximaal 1000 computers, daarmee is dit product al geschikt voor veel meer bedrijven. Het volledige beheer en monitoring is uitbesteed aan de cloud, zodat je geen extra hardware hoeft neer te zetten in de vorm van een server. Dit is ook handig als je een externe systeembeheerder inhuurt, die kan dan op afstand inloggen en over je bedrijfsnetwerk waken.

Kaspersky Endpoint Security Select en Kaspersky Endpoint Security Advanced

Kaspersky heeft met Kaspersky Endpoint Security Select en Advanced ook oplossingen voor de enterprise-markt. Bij deze pakketten wordt er nog wel een server in het bedrijfsnetwerk gehangen die het beheer doet over alle clients, iets wat bij veel grotere organisaties ook de voorkeur heeft. Daarnaast hebben organisaties van een wat groter formaat vaak ook nog specifieke wensen, bijvoorbeeld een anti-spionage oplossing of een extra beveiligingslaag die datadiefstal moet voorkomen. Dit is populair bij bijvoorbeeld autofabrikanten die hun ontwerpen en technologieën geheim willen houden, maar ook overheden die veel gevoelige data hebben. Hoewel er wel wat verschillen zijn tussen de Cloud-editie en de Select-editie zal de toekomst gaan uitwijzen dat voor de gemiddelde MKB’er de cloudoplossing goedkoper en efficiënter is.

Kaspersky APT Threat Intelligence

Op het hoogste niveau zijn de beste tools en de meeste informatie beschikbaar. Dat is wel vaker het geval, maar zeker in de beveiligingswereld is een stukje extra veiligheid gewoon vroegtijdig in te kopen. De beveiligingsbedrijven noemen dit Threat Intelligence, informatie over mogelijke gevaren voor een bedrijf. Een beveiligingsbedrijf zoals Kaspersky heeft honderden zo niet duizenden werknemers in dienst die de hele dag malware analyseren. Je kan ze vergelijken met een paleontoloog die een eerste stukje bot vindt en vervolgens de andere botten probeert te vinden om zo het skelet te kunnen reconstrueren. Dat geldt eigenlijk ook voor zeer geavanceerde malware. Als je daarvan voldoende gelijkwaardige samples kan onderscheppen, dan kan je op een gegeven moment een link leggen en daar analyses op los laten om vervolgens inzicht te krijgen in het doel van de malware en de maker ervan. In sommige gevallen kan dit binnen enkele weken, in andere gevallen duurt dat jaren.

Beveiligingsbedrijven hebben vaak ook namen voor bepaalde digitale criminele organisaties die ze al langere tijd in de gaten houden. Hiervoor stellen ze ook rapporten op, waar allerlei nuttige informatie in te vinden is. Bijvoorbeeld via welke ip-adressen en domeinnamen de malware wordt aangestuurd, de zogenaamde command & control-servers. Natuurlijk zijn ook de malware-samples zelf in kaart gebracht, dus bijvoorbeeld alle gedetecteerde .exe-bestanden, maar ook de hashes van deze bestanden. Als de malware een specifiek doel lijkt te hebben dan wordt dat ook in het rapport gemeld, bijvoorbeeld als alleen een specifiek land of bedrijf het doelwit lijkt te zijn.

Deze rapporten werden in het verleden alleen intern gebruikt, maar sinds enige tijd beginnen de beveiligingsbedrijven deze rapporten ook te delen met enterprise-organisaties die bereid zijn hiervoor te betalen. Deze rapporten mogen in veel gevallen alleen gebruikt worden om aanvallen te voorkomen, de informatie mag niet gedeeld worden door de enterprise-organisaties.

Kaspersky biedt deze rapporten ook aan, onder de naam APT Intelligence Reporting. Hierin zijn publieke maar ook nog niet publieke APT’s te zien. APT staat voor Advanced Persistent Threat. Deze rapporten kunnen worden afgenomen via een abonnement, maar Kaspersky biedt niet de mogelijkheid aan elke organisatie om dit abonnement af te nemen. Dit is alleen weggelegd voor overheden en grote publieke en private ondernemingen.

Kaspersky heeft een hele portal opgezet waar bedrijven die een dergelijk abonnement hebben op kunnen inloggen. Zij kunnen daar filteren op industrie, land en zelfs op specifieke hackersgroepen en criminele organisaties. Tot slot is er de mogelijkheid om de belangrijke informatie over dreigingen te exporteren naar IOC en YARA-bestanden, om deze vervolgens te importeren in het beveiligingsproduct bij het bedrijf. Bijvoorbeeld om de domeinnamen, ip-adressen en hashes van specifieke malware uit voorzorg te blokkeren. Zo kan het voor banken interessant zijn om alle malware die erop gericht is banken te infiltreren op voorhand al te blokkeren.

Kaspersky OS in Dubai

Een ander nieuw product van Kaspersky is Kaspersky OS, een eigen besturingssysteem. We hebben het dan niet over een besturingssysteem voor op je laptop of smartphone, maar eentje speciaal ontworpen voor beveiliging dat kan worden toegepast op bijvoorbeeld een Layer 3-switch. Het besturingssysteem van Kaspersky is eind vorig jaar gepresenteerd en is maar liefst 14 jaar in ontwikkeling geweest.

13-960x600

Het doel van het besturingssysteem is om het netwerk veilig te maken. Dit doet het door het gedrag van apparaten en dataverkeer te monitoren. Voornamelijk met de opkomst van de Internet of Things kan het Kaspersky OS uitkomst gaan bieden. Op dit moment is Kaspersky OS nog een echt enterprise product, maar wij verwachten, dat Kaspersky OS uiteindelijk ook voor de consument beschikbaar komt in bijvoorbeeld routers van derde partijen. Van Lom kon dit nog niet bevestigen maar hij vond het zeker niet onrealistisch.

We hebben recent gezien dat Internet of Things-apparaten werden misbruikt voor een grote DDOS-aanval op de DNS-servers van DynDNS. Hiervoor werden onder meer camera’s ingezet. Van Lom legde uit dat het netwerkverkeer met Kaspersky OS echt helemaal dichtgetimmerd kan worden. De camera kan wel beelden leveren richting een centrale, maar er kan geen data terug worden gecommuniceerd naar de camera om deze te hacken of te misbruiken.

Natuurlijk is dit in de basis een dienst die een netwerkleverancier ook kan leveren, maar Kaspersky beschikt over veel meer data van criminele organisaties, zoals domeinnamen en ip-adressen met een zeer slechte reputatie. Ook kan het verdacht gedrag sneller detecteren. De exacte werking van het besturingssysteem van Kaspersky is nog niet bekendgemaakt, dus veel meer kunnen we er hier nog niet over zeggen. Wat Eugene in een blog erover heeft gezegd is dat het op maat kan worden gemaakt voor diverse hardware, dat het gebruikmaakt van unieke handtekeningen die alleen tegen zeer hoge kosten eventueel gekraakt kunnen worden en dat het vooral veiligheid moet bieden. Het besturingssysteem is verder niet gebaseerd op bestaande populaire software, het draait bijvoorbeeld niet op unix of Linux.

dsc02541-960x600-1

Kaspersky blijft verder bij zijn leest door alleen de software te ontwikkelen, voor de hardware heeft het verschillende partners die de layer 3 switch kunnen leveren. In Rusland is Kraftway een van de partners van Kaspersky Lab. Welke partners Kaspersky nog meer heeft is nog niet duidelijk. Wel heeft het een groot project aangenomen dat het zal gaan beveiligen met Kaspersky OS en dan komt er mogelijk ook meer informatie beschikbaar.

Dubai

In Dubai wordt op dit moment op een opgespoten eiland een gigantisch reuzenrad gebouwd, met daaromheen hotels en andere attracties. Ook moeten er zelfrijdende voertuigen komen. Aangezien het een smal opgespoten eiland betreft met maar één toegangsweg, is veiligheid vanzelfsprekend belangrijk. Daarom zullen er de nodige camera’s worden ingezet om niet alleen de mensen en de veiligheid te waarborgen, maar ook de werking van de zelfrijdende voertuigen goed in de gaten te houden. Dat betekent dat er op dit eiland zeer veel verbonden apparaten zullen zijn die goed beveiligd moeten zijn. Zowel de camera’s als de zelfrijdende voertuigen moeten te allen tijde beschikbaar en veilig zijn.

bluewaters-meras-holding

Kaspersky Lab is de partij die deze beveiliging zal gaan leveren door middel van zijn nieuwe besturingssysteem. Het bedrijf heeft overigens nog even de tijd om zich voor te bereiden op dit project, want in Dubai zijn ze nog druk aan het bouwen. Wanneer dit nieuwe eiland voor de kust van Jumeirah Beach (JBR) af is weet niemand. In Dubai lopen bouwprojecten nog weleens uit. Medio 2015 stonden de pilaren voor het reuzenrad al overeind, maar vandaag de dag is de helft van het rad zelf nog niet gebouwd. Ook alle gebouwen eromheen zijn nog lang niet klaar en er wordt nog volop gebouwd. Waarschijnlijk is het eiland pas op zijn vroegst in 2018 open. Wel heeft de stad dan het grootste reuzenrad ter wereld en een hagelnieuw beveiligingssysteem van Kaspersky.

Strubbelingen met Microsoft

We hebben met Van Lom gesproken over de producten van Kaspersky maar ook over de actualiteit. Een actuele discussie speelt tussen de beveiligingsbedrijven en Microsoft. Microsoft heeft besloten om in Windows 10 de beveiligingsbedrijven een stuk minder speelruimte te bieden en dat gaat ten koste van het marktaandeel van de bedrijven.

Het eerste probleem is dat Microsoft ervoor heeft gekozen om Windows 10 de komende jaren aan te houden en deze Windows-versie voorlopig te blijven doorontwikkelen. Op zich is dat geen probleem voor de beveiligingsindustrie. Het probleem is dat Microsoft de bedrijven niet de tijd gunt om hun producten geschikt te maken voor Windows 10 of een nieuwe versie van Windows 10. Het bedrijf uit Redmond heeft weliswaar het Windows Insider-programma, waardoor de beveiligingsbedrijven wel een idee hebben welke kant Microsoft op beweegt, maar bij het uitbrengen van een nieuwe definitieve Windows 10-versie kunnen er zomaar nieuwe zaken zijn opgenomen die effect hebben op de werking van het geïnstalleerde beveiligingspakket.

Bij de lancering van Windows 10 kregen beveiligingsbedrijven maar liefst zes dagen de tijd om hun beveiligingsproducten geschikt te maken voor Windows 10, een onhaalbare termijn waardoor eigenlijk geen enkel beveiligingsproduct geschikt was voor Windows 10. Het gevolg was dan ook dat gebruikers die upgraden naar Windows 10 allemaal over werden gezet op Windows Defender, het beveiligingsproduct van Microsoft, en de bestaande pakketten werden uitgeschakeld.

Windows 10 14328

Op dit moment hanteert Microsoft nog steeds een onvriendelijk beleid tegenover deze bedrijven, want als de licentie is verlopen, krijgen de pakketten niet langer de mogelijkheid een popup te tonen die de klant verzoekt hun licentie te verlengen. Deze popups worden door Microsoft onderdrukt en na drie dagen schakelt Microsoft automatisch Windows Defender in en het beveiligingspakket uit. Dit kost deze bedrijven serieus veel marktaandeel.

De bedrijven zijn nu al enige tijd in discussie met Microsoft om het op andere gedachten te brengen en deze manier van handelen aan te passen. Vooralsnog lijkt het nog niet veel uitgehaald te hebben. Microsoft blijft weliswaar in gesprek met de beveiligingsbedrijven, maar de termijn om producten geschikt te maken voor Windows 10 is sindsdien alleen maar korter geworden. Ook ziet Kaspersky bij elke nieuwe Windows-lancering een explosie aan supporttickets vanuit klanten, omdat Microsoft geen mogelijkheid biedt op voorhand de producten geschikt te maken. Voor Eugene Kaspersky, de oprichter en eigenaar van het gelijknamige bedrijf, was de maat vol en hij besloot een klacht in te dienen bij de verschillende autoriteiten wegens machtsmisbruik.

In Rusland is momenteel een onderzoek gestart naar de werkwijze van Microsoft, vanuit de Europese Commissie moet nog een reactie komen. Vanuit de beveiligingsbedrijven is verschillend gereageerd op de actie vanuit Kaspersky. Sommige concurrenten hadden vertrouwen in de dialoog met Microsoft en andere zijn blij dat Kaspersky de knuppel in het hoenderhok heeft gegooid.

Dit verhaal krijgt ongetwijfeld nog een staartje. Volgens van Lom heeft het echter geen effect op de relatie met Microsoft, de bedrijven werken nog steeds nauw samen.

Toekomst

De grote vraag na zo’n uitgebreid interview is natuurlijk altijd; wat zijn we nu wijzer geworden? We hebben in elk geval geconcludeerd dat een goede toekomstvisie belangrijk is. Het feit dat Kaspersky Lab komt met een eigen besturingssysteem waar het 14 jaar aan heeft gewerkt, laat zien dat het bedrijf vooruit denkt. Het zal 14 jaar geleden niet hebben gedacht een besturingssysteem te ontwikkelen voor het “Internet of Things”, maar waarschijnlijk wel dat beveiliging op een ander niveau wenselijk kan zijn. Op dit moment nog puur op enterpriseniveau, op termijn waarschijnlijk ook voor het Internet of Things in kleine bedrijven en bij mensen thuis.

Op de redactie zijn wij er niet zo’n fan van als bedrijven producten gaan ontwikkelen die in het vaarwater komen van andere specialisten, onder het motto ‘dat doen we er wel even bij’. Dan worden wij altijd bijzonder kritisch. Daarom denken wij dat het goed is dat Kaspersky kiest voor hardwarepartners waarop het zijn software kan uitrollen, in plaats van dat het zelf layer-3 switches en routers gaat ontwikkelen. Andersom kan het voor veel netwerkbedrijven interessant zijn om nu al met Kaspersky rond de tafel te gaan om te kijken hoe ze Kaspersky OS in de toekomst in hun routers kunnen toepassen, in plaats van zelf proberen iets te ontwikkelen.

Verder gaat Kaspersky ook mee in verschillende trends. Zo zien we dat een eigen bedrijfsserver steeds overbodiger wordt, doordat allerlei soorten software, waaronder dus ook beveiligingsoftware, de overstap maakt naar de cloud. Beheer en monitoring hoeft niet meer te gebeuren vanaf een bedrijfsserver in het netwerk, maar kan vanuit de cloud van de leverancier. Voor veel kleine bedrijven levert dit ongetwijfeld een kostenbesparing op, daarnaast wordt het installeren en beheren van software een stuk eenvoudiger.

Ook gaat Kaspersky mee in de trend dat de data die het bedrijf bezit steeds waardevoller worden en er een businessmodel zit in het beschikbaar stellen van die data aan enterprise-organisaties. Met de APT Intelligence Reporting kan het bedrijven helpen hun netwerken beter te beveiligen. Dit zal waarschijnlijk altijd alleen beschikbaar zijn voor een kleine groep bedrijven en overheden met diepe zakken, omdat de data te gevoelig is om publiekelijk te delen.