Nerium is gespecialiseerd in Managed Detection & Response (MDR) en Incident Response (IR). Dat zijn de twee diensten die het bedrijf levert. Cybersecurity-redacteur Jan Meijroos spreekt met Bob Hilgersom; medeoprichter van Nerium en verantwoordelijk voor Business Development.
Wat houdt Managed Detection & Response precies in?
Bob: “Het is een dienst waarbij specialisten 24/7 de systemen en het netwerk van een klant monitoren op cyberaanvallen om ze snel te detecteren en te stoppen. Wij leveren hiervoor maatwerk omdat iedere omgeving er anders uitziet en andere risico’s heeft. Zo bouwen wij op maat gemaakte detectie regels voor (bijvoorbeeld) klant-applicaties. En implementeren we honeytokens op strategische locaties op systemen om aanvallers tijdig te spotten.”
“Als we verdachte activiteit detecteren, kunnen wij op basis van een mandaat direct ingrijpen. Stel we zien dat een aanvaller actief is op je laptop, dan kunnen wij het op afstand isoleren en verder onderzoek doen. Omdat er al een mandaat is afgesproken hoeven wij niet eerst om toestemming te vragen, wat voorkomt dat kostbare tijd verloren gaat waardoor de aanvaller dieper in de omgeving kan komen. Wanneer de aanvaller gestopt is helpen we met aanbevelingen om de kans op herhaling te minimaliseren.”
Wat doet Nerium op het gebied van Incident Response?
Bob: “We ondersteunen overheidsorganisaties en bedrijven bij een grootschalig cyber security incident. Denk aan een ransomware aanval waarbij de organisatie niet meer kan werken omdat alles op slot is gezet. Dan gaan we de schade beperken, onderzoeken we wat er gebeurd is om herhaling te voorkomen en om te kijken welke data is gestolen.”
“Ook ondersteunen we organisaties die te maken hebben met een cyberaanval, aangestuurd door een overheid (denk aan China, Iran, Noord-Korea, Rusland), waarbij informatie stelen het doel is. Ook daar onderzoeken we wat er is gebeurd om herhaling te voorkomen.”
Wat maakt jullie uniek?
Bob: “Klanten die onze MDR-dienst afnemen, krijgen Incident Response zonder extra kosten. We leveren maatwerk – detectieregels, honeytokens – allemaal in de Microsoft-tenant van de klant. Hierdoor vermijden we vendor lock-in en behoudt de klant volledige controle.”
“Wij zien cybersecurity als een gedeelde verantwoordelijkheid: een goed ingerichte MDR verkleint risico’s en verplicht ons om kwaliteit te leveren. Hoe beter onze bescherming, hoe minder incidenten we hoeven op te lossen.”
Stel dat er Incident Response nodig is. Hoe pakken jullie dat aan?
Bob: “We starten met een inventarisatie om de aard van het incident vast te stellen, zoals phishing, Business Email Compromise (BEC) of ransomware. Veel problemen lossen we op afstand op, maar bij ernstige gevallen (of wanneer de klant de wens heeft) komen we on-site. Daar vormen we een crisisteam en nemen direct actie om het incident te beheersen.”
Zijn jullie wel eens te laat? Dat een bedrijf al forse schade heeft geleden voordat jullie in actie komen?
Bob: “Het gebeurt regelmatig dat wij organisaties helpen waar de bedrijfsvoering volledig stil ligt. Maar dat is nog nooit gebeurt bij een organisatie die al klant van ons is. We zien gelukkig steeds minder dat bedrijven het eerst zelf gaan proberen op te lossen. Waarna later pas – als ze er zelf niet meer uitkomen – om hulp gaan vragen.”
“De bedrijven die het meest snel herstellen hebben een goede back-up-oplossing. Een onderzoek is dan nog steeds van belang, want mogelijk zitten de aanvallers al lange tijd binnen, en komen ze terug omdat een achterdeur weer actief wordt op het moment dat de back-up terug wordt gezet.”
Begeleiden jullie onderhandelingen en betalingen?
Bob: “Ja. Als men overgaat tot een betaling verloopt dat meestal in drie stappen:
- Er wordt eerst een sanctie check gedaan;
- De vervolgstap is een proefbetaling (met Bitcoin) met een klein bedrag om te controleren of het geld op de juiste wallet binnenkomt.
- Daarna de uiteindelijke transactie.
Maar er zijn verschillende tactieken voor onderhandeling of betalingen. Als het getroffen bedrijf een hele goede back-up heeft, kun je wat agressiever te werk gaan. De positie van het getroffen bedrijf verandert natuurlijk naarmate het onderzoek en het herstel vordert. Het kan dus ook voorkomen dat men uiteindelijk niet tot betaling overgaat.
Tegelijkertijd willen aanvallers hun eigen business model in stand houden: want als ze na betaling toch de data publiceren, zijn slachtoffers minder geneigd om in de toekomst te gaan betalen.”
Waarom nemen jullie die onderhandelingen op jullie?
Bob: “Omdat wij het zakelijk en zonder emotie kunnen doen. Bovendien weten wij dat er altijd onderhandelingsruimte is. Hackers zetten in eerste instantie hoog in, maar door slim te onderhandelen krijgen we het losgeld vaak behoorlijk omlaag.
Daarnaast is onderhandelen een manier om tijd te winnen. Terwijl wij praten met de aanvallers, kunnen we op de achtergrond onderzoeken wat de klant zelf nog kan doen om te herstellen en te kijken wat er precies met de data is gebeurd. Dit doen we om de impact te bepalen. Dit verandert, zoals ik net al aangaf, de onderhandelingsstrategie.”
Kunnen jullie achterhalen hoe een aanval is gebeurd?
Bob: “Ja, hier doen wij onderzoek naar. Het doel hiervan is herhaling van een vergelijkbaar incident voorkomen en vaststellen of er data is gestolen en welke.”
De aankomende NIS2 wil bedrijven cyberweerbaar maken en zo cyberaanvallen voorkomen. Een belangrijke ontwikkeling?
Bob: “Jazeker! Maar kijk naar de invoering van de autogordel. Die werd in 1975 verplicht, maar het duurde 20 jaar voordat iedereen hem daadwerkelijk gebruikte. Vandaag de dag vinden we het vanzelfsprekend. Zo zou het ook moeten gaan met cybersecurity. Er is nu nog veel vrijblijvendheid, maar dankzij wetgeving zoals NIS2 moeten bedrijven verantwoordelijkheid nemen.”
Hoe bevorder je het nemen van die verantwoordelijkheid?
Bob: “Er moet meer regie komen vanuit management en directie; er wordt te weinig top-down beleid gevoerd. Daardoor ontstaat er ruis op de lijn tussen IT en management en dat zorgt ervoor dat cybersecurity niet altijd goed wordt opgepakt. Maar als je écht goed wilt beveiligen, dan moet je duidelijke afspraken maken én interesse tonen in elkaars vakgebied. Dat zorgt voor betere samenwerking en dus een betere beveiliging.”
Er zijn verschillende certificeringen, zoals ISO 27001 voor grotere bedrijven en het NIS2 Quality Mark; een keurmerk als laagdrempelig alternatief voor mkb’ers.
Hoe kijk jij daar naar?
Bob: “Ik vind het heel goed dat er zo’n tussenstap is. Niet elk bedrijf hoeft direct een zwaar ISO-certificering te halen.
Stel er is een bedrijf dat ventilatiesystemen op afstand beheert, die hoeft niet per se ISO 27001 te behalen. Maar het NIS2 Quality Mark biedt wél een haalbare basislijn met drie niveaus: Basic, High en Substantial. Dit zorgt ervoor dat bedrijven kunnen aantonen dat ze cybersecurity serieus nemen, zonder direct de complexiteit van ISO-certificeringen in te hoeven duiken.”
Veel bedrijven ervaren de NIS2 richtlijn als “weer een set regels erbij”. Hoe verander je dat sentiment?
Bob: “Het moet top-down gebeuren, maar het is ook een proces! Directies en bestuurders moeten wel steviger worden aangesproken op hun verantwoordelijkheid. Zij moeten het laten landen in hun organisatie. Maar als ze het niet doen, dan is dat hun risico.
Ik spreek bijvoorbeeld vaak met gemeentes. Die willen meestal wel, maar als een wethouder op het budget zit en geen geld vrijmaakt voor cybersecurity, dan gaat het mis. Dat betekent dat je moet werken aan awareness bij beleidsmakers en bestuurders. Want zonder draagvlak aan de top, blijft IT-beveiliging een ondergeschoven kindje.”
