7 min Security

HarfangLab positioneert zich als de open en Europese EDR-speler

HarfangLab positioneert zich als de open en Europese EDR-speler

Het in Parijs gevestigde HarfangLab wil afwijken van de meeste endpoint security-spelers. CSO Anouck Teiller legt uit hoe het bedrijf inspeelt op de behoeften van Europese organisaties en waarom openheid in cybersecurity cruciaal is.

De differentiatie van HarfangLab ten opzichte van CrowdStrike of SentinelOne is in drievoud uit te leggen. Twee daarvan zijn technisch. Allereerst: in tegenstelling tot veel concurrenten, die data in hun eigen cloud verwerken, kan HarfangLab volledig binnen de klantomgeving opereren. “We kunnen on-premise deployen, maar ook in de public cloud of via onze OVHcloud”, legt Teiller uit. Deze aanpak stelt HarfangLab in staat om tegemoet te komen aan specifieke regelgeving, vertrouwenseisen of bestaande werkwijzen van klanten.

Ten tweede streeft HarfangLab bovenal transparantie na. Teiller benadrukt: “Endpoint security-oplossingen zitten diep genesteld in IT-systemen. Meestal zijn ze een black box.” Bij HarfangLab zijn alle detectieregels open, beschikbaar en aanpasbaar. Dit geeft security-professionals meer controle en vertrouwen in het systeem dat ze gebruiken. Er is een REST API beschikbaar zodat klanten zelf integraties kunnen toevoegen met hun bestaande tooling waar ze ontbreken. Wie hulp nodig heeft op dit gebied, kan altijd bij HarfangLab aankloppen.

Europese visie

Het laatste punt waarop HarfangLab zich van de concurrentie onderscheidt, is het feit dat het volledig Europees is. Niet alleen is het zeker dat data op het continent blijft, maar ook stelt Teiller dat haar bedrijf in brede zin dezelfde waarden erop nahoudt als de Brusselse regelgevers. De boodschap is duidelijk: GDPR-naleving en bescheiden, beheersbare dataverzameling bij de klant staan centraal. Wie niet wil dat HarfangLab meekijkt, kan dit eenvoudig zo afspreken. Daarnaast hebben de vier oprichters gezamenlijk ervaring vanuit Franse militaire takken en cybersecurity-eenheid ANSSI. Dergelijke cv’s geven de beloftes het nodige gewicht.

Dit alles valt nog steeds niet hard te maken zonder transparantie. De open benadering van HarfangLab biedt volgens Teiller belangrijke voordelen. Het geeft analisten de controle die ze nodig hebben om de oplossing aan te passen aan de specifieke IT-omgeving van de klant. “Elke klant is specifiek”, benadrukt Teiller. Deze flexibiliteit stelt HarfangLab in staat om zowel kleine bedrijven als grote ministeries te bedienen, zonder dat het product per se voor het ene of het andere doel ingericht was. De schaalbaarheid en flexibele deployment zijn sinds de oprichting in 2018 speerpunten geweest.

Hoewel geen klant precies hetzelfde is als een ander, zijn er wel overeenkomsten. Opnieuw schetst Teiller een drievoud: zeer volwassen organisaties, partijen die wat opstarthulp vereisen en klanten met een gebrek aan expertise die een MSSP kunnen raadplegen. Die laatste groep vergt vanzelfsprekend het meeste werk en kunnen ook bij HarfangLab terecht voor het dagelijks draaien van de tooling. Organisaties die wél een MSSP inschakelen, kunnen HarfangLab afnemen bij meer dan 50 verschillende partners van het bedrijf.

Wel kernel mode

Endpoint security is steeds relevanter geworden. De waarheid blijft dat cyberdreigingen toenemen en slinkser toeslaan. Aanvallers treden organisaties binnen via de haarvaten van IT-systemen en zijn regelmatig nauwelijks te detecteren. De conclusie van endpoint-vendoren is dat er tot op het diepste niveau monitoring nodig is, anders hebben hackers vrij spel.

Dit brengt ons bij het beruchte CrowdStrike-incident van 19 juli 2024. Organisaties moesten wereldwijd hun werk stilleggen door een mislukte update aan een Channel File, een configuratie voor de meest actuele dreigingen. Windows-pc’s schakelden zichzelf uit doordat CrowdStrike’s software een bug op kernel mode-niveau introduceerde. Een pijnlijke en zeer kostbare fout, maar CrowdStrike blijft erbij: dit diepe niveau van het OS is nu eenmaal vereist om endpoint security goed te doen, blunder of niet.

Ook HarfangLab draait op kernel mode-niveau. Het gevaar van fouten maken bestaat dus ook hier. Echter zit er een cruciaal verschil in de opzet van HarfangLab: klanten bepalen zelf wanneer updates worden uitgevoerd. Ook hebben zij altijd de kans om een update geleidelijk uit te rollen en op de rem te drukken als er iets niet naar wens verloopt. “Als we geen kernel level-toegang hadden, zouden we die cyberdreigingen niet kunnen zien op dat niveau”, legt Teiller uit. Ze benadrukt dat HarfangLab zich aan strikte regels houdt om deze toegang verantwoord te gebruiken. Microsoft, dat als Windows-eigenaar volledige controle heeft over het OS, moet nu eenmaal concurrentie dulden in de kernel.

Gefedereerd securityplatform

Een trend binnen cybersecurity in algemene zin is de zogeheten ‘platformisering’. We hebben al uitgebreid hierover gesproken en allerlei experts uit het veld om hun input gevraagd. Maar hoe kijkt HarfangLab hier tegenaan?

Allereerst vindt Teiller dat er simpelweg te veel agents actief zijn op endpoints. “Er moet een rationalisering van endpoint agents zijn. Ze drukken gezamenlijk de prestaties omlaag en gebruiken te veel geheugen en CPU-tijd.” De agent van HarfangLab moet daarom zoveel mogelijk werk verrichten met een zo klein mogelijke footprint. Dat vergt wel samenwerking met andere partijen, zodat er niet dubbel werk wordt verricht.

Mede op HarfangLab’s initiatief ontstond het Open XDR Platform in 2021, een Frans collectief aan integraties tussen securityspelers. Wellicht heb je niet van ze allemaal gehoord, maar ze werken wel allemaal met elkaar samen. Teiller legt uit dat het een belangrijke stap was om deze verschillende tools plug-and-play te maken, waardoor ze gezamenlijk bijna alle security-belangen behartigen. Toch is dit slechts een beginpunt.

HarfangLab zet namelijk in op Europese samenwerking om een geïntegreerd securityplatform te creëren, met Open XDR Platform als referentiepunt. Het bedrijf werkt al samen met het Oostenrijkse Ikarus, dat alles van mailsecurity tot antivirus levert. In het lijstje van managed opties staat al de EPP-tool HarfangLab Guard. “We zijn er zeker van dat het security-speelveld het zinnigst uit te denken is op Europees niveau”, aldus Teiller.

Sturing ontbreekt

Die samenwerking vindt al plaats, soms zelfs voorbij Europa. Denk aan de actieve houding die HarfangLab heeft als het om het MITRE-framework gaat en het delen van threat intelligence. Incidenten bij klanten zijn tevens regelmatig de moeite waard om te rapporteren aan de buitenwereld, zodat iedereen ervan leert. Teiller: “Als er een kwetsbaarheid optreedt of een aanvalstechniek, is er binnen 24 uur een aanvaller bezig met een actieve exploitatie.” Dit motiveert vendoren om naar buiten te treden met hun kennis.

Volgens Teiller drijven ransomware en datalekken een verbetering van het securityniveau van organisaties helaas soms meer dan regelgeving. Hoewel NIS2 (zelfs in uitgestelde vorm in veel EU-lidstaten) eraankomt, is de precieze verantwoordelijkheid nog vaag. Een incident heeft momenteel nog een veel duidelijker effect.

HarfangLab wil wel via de regelgever meer sturing krijgen. Het ontving als eerste een ANSSI-certificaat in 2020, dat een strenge test vereist op kwetsbaarheden, encrypties en het dagelijks veilig houden van software development. In 2024 is dit certificaat vernieuwd, dat eveneens door het Duitse BSI erkend wordt. Echter lopen klanten in Duitsland nog niet zo warm voor een Franse verificatie; zij vertrouwen op hun eigen graadmeters. In 2018 was het de ambitie van de Europese Unie om voort te bouwen op de EU Cybersecurity Act, maar Teiller kaart aan dat er feitelijk weinig is veranderd op dit gebied. Er komt niet op korte termijn een Europees certificaat aan.

Conclusie: een open plan

HarfangLab heeft een eigen karakter gekweekt. In een druk speelveld is dat een voordeel. Toch moet er vanuit Europese regelgeving een nog strengere blik zijn om endpoint security op EU-waarden te promoten. Zo tekenden Lenovo en Dell deals met respectievelijk SentinelOne en CrowdStrike om vooraf geïnstalleerde EDR-tooling te leveren. Teiller ziet dit als een zorgwekkende ontwikkeling die negatief voor klanten uit zal pakken. “Het risico met deze OEM-integraties is dat het sommige klanten vendor lock-in geeft.” Men hoeft niet HarfangLab te kiezen, maar de keuze moet er zijn, zo stelt ze.

Weliswaar heeft HarfangLab nog niet het universele profiel van de grotere Amerikaanse spelers. Ook heeft het genoeg Europese concurrentie, zoals Sophos, ESET en Bitdefender. Maar door de controle te geven aan security-professionals, heeft HarfangLab op meerdere manieren kans op adoptie. De tools zijn modulair opgebouwd en zoals gezegd te updaten wanneer het uitkomt, zaken die zeker sinds de tumult van medio 2024 rondom endpoint security behoorlijk aantrekkelijk klinken.

Lees ook: WatchGuard versnelt groei in MDR-markt door overname ActZero