‘Beveiliging is belangrijk, maar vergeet even de software’

“A fool with a tool is still a fool.” Hoewel het juiste gereedschap een belangrijke plaats heeft binnen de beveiliging van een bedrijf, is het minstens even belangrijk om de onderneming te structureren met security in het achterhoofd. Techzine praat daarom met het Belgische Toreon, dat focust op dergelijke preventiemaatregelen.

Niemand zal ontkennen dat goede endpointbeveiliging, een degelijke firewall en kwalitatieve netwerkbescherming een must zijn voor een veilige bedrijfsomgeving. Sebastien Deleersnyder, oprichter en CEO van Toreon, focust echter niet op de tools. Hij maakt zich sterk dat de juiste ingesteldheid en vooral maturiteit minstens even essentieel zijn voor een goed beveiligingspostuur.

Onafhankelijk en preventief advies

Toreon is een atypisch beveiligingsbedrijf. Het is geen integrator en bouwt evenmin eigen hardware of beschermingssoftware. Wat doet Toreon dan wel? “We helpen klanten met de beveiliging van kritieke systemen aan de hand van consulting op specifieke projecten”, verduidelijkt Deleersnyder. “We verkopen geen producten, maar positioneren ons als een onafhankelijk adviesbedrijf. Onze dienstverlening is preventief: hoe kan je een cyberaanval voorkomen of minstens op tijd ontdekken. Preventie betekent vooral het verhogen van de maturiteit van een bedrijf.”

Dat betekent concreet dat Deleersnyder en zijn team van intussen 43 mensen binnenkomt bij bedrijven om een concreet probleem op te lossen. “Tooling kan daarbij een rol spelen, maar vaak gaat het om de verbetering van interne processen en awarenesstraining.” Phishing blijft immers één van de belangrijkste aanvalsvectoren en zeker nu mensen massaal thuiswerken is de menselijke component als snel de zwakste schakel in de beveiliging.

Phishingsimulaties

Zo zorgt Toreon voor phishingcampagnes op maat van de verschillende profielen in het bedrijf. Cruciale profielen in kritieke posten worden anders geviseerd dan medewerkers met minder belangrijke toegang. Aan de hand van gesimuleerde phishing-aanvallen raken mensen steeds beter gewapend tegen echte malafide mails.

De aanpak is niet nieuw: verschillende beveiligingsbedrijven bieden vandaag ook al tools en diensten aan om phishing te simuleren en het bewustzijn te verhogen. Voor Toreon is die dienst maar het tipje van de ijsberg. Deleersnyder: “We hebben twee belangrijke specialiteiten: softwaresecurity en industriële controlesystemen. Voor bedrijven met veel ontwikkelaars voorzien we trainingen om beveiliging vanaf de start in te bouwen.”

Unieke ontwikkelaarstraining

De ontwikkelaars leren welke tools ze kunnen gebruiken om bugs te detecteren en wat ze moeten doen om hun code veilig te houden. De nichetraining zette Toreon op de kaart. “We waren al aanwezig op de Black Hat-conferentie en zijn het eerste Belgische bedrijf dat daar trainingen geeft”, vertelt de trotse CEO.

Voor industriële systemen is Toreon dan weer erg op de hoogte van de unieke problemen die SCADA en OT met zich meebrengen. “Dat is een totaal ander soort technologie met een levensduur van 20 of zelfs 30 jaar.” Dergelijke systemen raken steeds meer geconnecteerd met traditionele IT-infrastructuur en dat brengt risico’s met zich mee. Toreon is erin gespecialiseerd om dergelijke omgevingen structureel te beveiligen.

Procesmaturiteit

In beide gevallen legt het bedrijf een grote nadruk op de optimalisatie van processen. “We hebben veel kennis rond governance, risk en compliance. Onze specialiteit is om risico’s te vertalen naar processen binnen de organisatie. We maken de vertaalslag naar wat er in de praktijk echt moet gebeuren.” Toreon gebruikt daarbij de ISO27000-standaard als raamwerk.

Lees ook: Cyberaanvallen op kritieke OT-infrastructuur nemen explosief toe

Elk bedrijf dat bij Deleersnyder voor de verbetering van zijn beveiliging aanklopt, krijgt een analyse van de totale werking. Daarna helpen experts om die te optimaliseren met praktische beveiliging in het achterhoofd. Security wordt doorheen de hele werking ingebakken en ontwikkelaars leren hoe ze hun code veilig houden. Verdere awarenesstraining zorgt er dan weer voor dat alle werknemers zich bewust zijn van risico’s zoals phishing. “Mensen, processen en dan pas technologie”, is de volgorde waar Deleersnyder bij zweert.

Als dat allemaal snor zit, heeft een bedrijf een beveiligingspostuur die als stevige fundering dient om beveiligingshard- en software uit te rollen, al verwijst Toreon klanten voor de implementatie door naar partners. Wat het bedrijf wel doet, is de efficiëntie van de beveiliging opvolgen.

Pentests als meettool

Daar komt een laatste expertiseluik van Toreon naar boven: de penetratietests. “Pentests zijn een uitstekende manier om te meten hoe veilig iets is”, weet Deleersnyder. “Het is geen preventiemaatregel.” Minder volwassen organisaties kiezen soms voor een jaarlijkse pentest en beveiligen dan de problemen die ze vinden, maar dat vindt Deleersnyder een ongebalanceerde aanpak. “Een zwangerschapstest is ook geen middel tegen zwangerschap. Je moet eerst kijken of je al het andere werk dat je moest doen, goed gedaan hebt. Daarna is testen pas relevant.”

Penetratietests zijn geen preventiemaatregel.

Toreon biedt de pentests dus aan bij ‘volwassen’ bedrijven om te meten of hun beveiligingspostuur nog volstaat. Organisaties evolueren, nieuwe zaken worden uitgerold waardoor er hier en daar gaten ontstaan en dingen over het hoofd worden gezien. Door preventief op zoek te gaan naar dergelijke lekken, kunnen processen en implementaties structureel bijgestuurd worden voor een hacker ze kan uitbuiten. In de regel is het een goed idee om structureel pentests uit te voeren. Sommige tests kunnen zelfs geautomatiseerd worden, al blijft die aanpak zoals gezegd enkel nuttig voor organisaties die hun huiswerk al gemaakt hebben.

Deleersnyder ziet één belangrijke uitzondering: “Een IT-specialist met een veel te laag budget kan een pentest gebruiken om zwart op wit aan te tonen hoe erg het gesteld is met de bedrijfsbeveiliging. Het eindrapport staat in dat geval vol met problemen. Hij krijgt dan een testrapport met een hele lijst van aanbevelingen terug waarmee hij naar het management kan stappen.”

Op zoek naar overbodigheid

De formule van Toreon lijkt te werken. De preventiefocus van het bedrijf gecombineerd met de vendor-onafhankelijkheid maakt het een vreemde maar gegeerde eend in de bijt, zeker in de focusdomeinen van ontwikkelaars en OT-organisaties. Overheden en energiebedrijven maken dan ook een belangrijk deel uit van het klantenportfolio van de onderneming. “Bedrijven komen meestal bij ons met een specifiek probleem dat we helpen oplossen. Vaak evolueren we naar een lange termijnpartner. Het is onze ambitie om onszelf overbodig te maken, maar dat lukt niet zomaar. Naarmate de maturiteit van een bedrijf evolueert, komen er immers nieuwe vragen die we mee helpen beantwoorden.”