Ingenieursbureau VIRO laat zijn data actief beveiligen door het security operations center (SOC) van Microsoft-specialist Rapid Circle. Omdat VIRO veel grote OEM’s als klanten heeft, beheert het bijzonder gevoelige data. Aangezien dit vaak gekoppeld is aan geheimhoudingsovereenkomsten, is goede beveiliging een topprioriteit. Na uitrol van de volledige Microsoft Defender-suite is ervoor gekozen om VIRO aan te sluiten op het SOC van Rapid Circle. Hiermee werd al snel een ransomware-aanval verijdeld.

De keuze voor de beveiligingsoplossing is gebaseerd op een cybersecurity-evaluatie die VIRO liet uitvoeren door partner Rapid Circle. Het grote aantal verschillende beveiligingstools dat VIRO gebruikte vormde de aanleiding, zegt IT-manager van VIRO, Niek Rensen: “McAfee voor de endpoints, Barracuda en Netskope gaven ons een goed beeld van wat er gebeurde, maar het opvolgen van meldingen bleef door tijdgebrek een ondergeschoven kindje. Je moest in iedere omgeving gericht gaan kijken en zoeken naar incidenten die om actie vroegen. Dagelijks tijdrovend handwerk waar we lang niet altijd aan toekwamen.”

Uit de evaluatie kwamen geen grote verrassingen. Rensen: “De tools die we hadden, waren goed ingericht, maar we misten vooral de samenwerking hiertussen om ons een compleet beeld te kunnen geven. De evaluatie bleek een mooie kapstok voor het inrichten van de nieuwe Microsoft Defender-suite. Daarbij sprak de holistische benadering van Rapid Circle ons aan. In één omgeving hebben we alle informatie overzichtelijk en kunnen we veel beter relaties leggen tussen incidenten en daarmee aanvallers een stap voor zijn.”

Ransomware-aanval gestopt
De endpoints en servers van VIRO zijn daarop beveiligd met Microsoft Defender for Endpoint, en Identity Protection, Conditional Access en Defender for Cloud Apps zijn uitgerold om overzicht en grip op cloud-applicaties te houden. Daarbij werd VIRO ook aangesloten op het SOC van Rapid Circle. Direct kwam de eerste hacker in beeld: verdachte handelingen op de omgeving van VIRO wezen erop dat cybercriminelen een ransomware-aanval aan het voorbereiden waren.

Rensen: “We hebben toen direct opgeschaald. Rapid Circle haalde securityspecialist NorthWave erbij, plus mensen van de firewall-leverancier. Toen begon een kat-en-muisspel met de hacker. De hele avond en nacht hielden we met zijn allen de systemen in de gaten. Waar we verdachte activiteit zagen, zetten we meteen alles dicht.” Uiteindelijk gaf de hacker op en bleef de verstoring van het dagelijks werk na de aanval tot een minimum beperkt.

Met het aansluiten van het SOC is een grote stap gezet naar verdere modernisering van de infrastructuur, hoewel er nog steeds risico’s bestaan. Rensen: “De medewerker is nu het grootste risico. Er werken hier 850 mensen. Die krijgen, ondanks alle beveiliging, iedere dag malafide mails binnen. Dat is een groter risico dan de techniek. Ook de ransomware-aanval was uiteindelijk begonnen met een gecompromitteerd device door een foute mail of website. We zetten nu dus vol in op bewustzijn.”