Cisco en Lancope. Van latrelatie naar huwelijk?
[vc_row][vc_column][vc_column_text]
Het zal je misschien niet ontgaan zijn dat Cisco vorige week opnieuw heeft aangekondigd van plan te zijn een acquisitie te doen. Lancope zal in januari worden bijgeschreven op de lange lijst van bedrijven die zich bij Cisco voegden en zal dan evenals Sourcefire, Cognitive Security, ThreatGRID, Portcullis, Neohapsis en OpenDNS worden ondergebracht in Cisco’s Security Business Group.
Je zou kunnen zeggen dat deze acquisitie opnieuw bevestigt dat Cisco cybersecurity serieus neemt. En dat is absoluut waar, maar wat gaat Lancope nu nog toevoegen aan Cisco’s portfolio of innovatieplannen?
Cisco en Lancope
werken immers al een lange tijd ontzettend nauw samen. Dit blijkt onder andere uit het feit dat je de producten van Lancope kunt terugvinden op Cisco’s prijslijst en dat deze producten zelfs gebundeld worden aangeboden met netwerk switches om een slimme gecombineerde security-oplossing naar de markt te brengen. Gebruik het netwerk als een ‘security-sensor‘ en gebruik het netwerk vervolgens als een ‘policy enforcer‘. Dat is wat de samenwerking tussen Lancope en Cisco al geruime tijd mogelijk maakt; een security-oplossing die concreet wordt een technische-architectuur voor ‘Cyber Threat Defence’.
Maar ondanks het feit dat het partnership goed werkt, heeft Cisco nu besloten om Lancope over te nemen. Redenen waarom overnames plaatsvinden zijn vaak het winnen van marktaandeel of het betreden van een markt waar de acquirerende partij voorheen niet actief was. Maar dat is hier allemaal niet aan de orde.
Cisco’s strategie voor acquisitie is al vaak toegelicht door voormalig CEO John Chambers en één van de prominente uitgangspunten is telkens dat een overnamekandidaat zich onderscheidt met unieke technologie die niet gemakkelijk kan worden gekopieerd. Naar mijn idee is dat ook nu weer het geval. Cisco is volgens mij niet geïnteresseerd in de opbrengsten uit de verkoop van Lancope Stealthwatch appliances die t.z.t. worden voorzien van een Cisco logo. Het is alles wat Lancope een echt slim bedrijf maakt, ofwel de ‘secret sauce’ onder de motorkap van Stealthwatch, waar Cisco mee aan de slag wil. We hebben het dan met name over de analyses die Lancope maakt van netwerkgedragspatronen en afwijkingen hierop, alsmede de kennis die ze jarenlang hebben opgebouwd over de wijze waarop dit resulteert in detectie van infecties.
Cisco switches (fysiek en virtueel), routers, firewalls en tegenwoordig zelfs UCS servers ondersteunen Netflow. De meeste lezers van deze blog zullen het wel kennen. Het is een concept dat Cisco rond 1990 al introduceerde in IOS 11.x. en diende destijds als mechanisme om netwerkperformancemetingen te kunnen doen. Netflow is inmiddels al jaren lang een open standaard en doorontwikkeld in meerdere opvolgende versies en variaties. Je zou Netflow kunnen zien als een telefoonrekening van je netwerk. Het geeft een overzicht van wie met wie wanneer heeft gesproken en hoe lang een gesprek heeft geduurd. Wat je niet op de de rekening ziet is de inhoud van het gesprek zelf. Dat zou teveel informatie zijn om de rekening overzichtelijk te maken. Een Netflow implementatie in een netwerkcomponent (routers, switches etc.) zorgt er voor dat er een log entry wordt vastgelegd van elke conversatie (flow) dat door het betreffende component getransporteerd wordt. En elke log entry bevat vervolgens gedetailleerde informatie zoals bron, bestemming, protocol, tijdsduur, router/switch interface, etc.
Als je nu bedenkt dat het Netwerk er altijd en overal is en dat het Netwerk het hele IT-landschap verbindt, hoeveel ‘visibility’ heb je dan als je in staat bent om al die Netflow-data te analyseren en te verwerken tot security-relevante informatie?
Het idee is simpel, maar de uitwerking ervan – Network Behaviour and Anomaly Detection ofwel NBAD – is uitermate complex. In het kort komt het erop neer dat NBAD helpt bij het detecteren van malware infecties die onder de radar van traditionele sensoren door glippen en vaak ook actief zijn in netwerksegmenten die ‘achter de firewall’ als veilig verondersteld worden. Denk dan bijvoorbeeld aan Botnet Command & Control, Data Exfiltratie of verspreiding van infecties aan de binnenkant het netwerk. Zie ook de blog ‘School of NBAD Series’ voor een introductie van de principes achter zo’n 130 geraffineerde algoritmes.
Nu blijft nog steeds de vraag: wat is Cisco van plan met de acquisitie van al dit vernuft?
Helaas heb ik het antwoord op deze vraag ook nog niet. Maar bedenk dat een Cisco-netwerk voorziet in unsampled (!) Netflow, altijd en overal. Combineer dat met de technologie van Lancope en maak van dat hele netwerk een security-sensor met een reikwijdte tot in de verre uitlopers van je organisatie. Wat zou je dan kunnen doen? Wat zou je bijvoorbeeld kunnen bereiken als je deze nieuwe kennis en inzichten samenbrengt met een systeem dat automatisch zichtbaar maakt welke assets je in jouw netwerk moet beschermen (SNORT en OpenAppID)? Wat zou het opleveren als je ook een real-time beeld hebt van jouw kwetsbaarheden en daarmee ook de voor jou relevante globale dreigingen (Talos)? Zou het dan mogelijk zijn om een keten van defensieve maatregelen geautomatiseerd in stelling te brengen tegen op handen zijnde aanvallen?
Het zijn zo maar wat voorbeelden van ingrediënten uit de keuken van Marty Roesch, Cisco’s Chief Security Architect die er binnenkort weer een mooi stukje technologie bij krijgt. Er staat wat te borrelen in zijn security-keuken, want Marty geeft aan dat hij werkt aan een betere geïntegreerde security-aanpak. Ultieme Visibility, Threat Intelligence, Context, Control en Automation moeten leiden tot wat hij een ‘systemic response’ noemt. Het zou mij niet verbazen als Network Behaviour and Anomaly Detection hier een belangrijke rol gaat spelen.
[/vc_column_text][/vc_column][/vc_row]
