Dr. Richard Ford, Forcepoint: ‘cybersecurity meer dan enen en nullen’

Als het gaat om cybersecurity, ligt de nadruk doorgaans op zaken zoals het beschermen van de perimeter, noord-zuid en oost-west verkeer van malware, microsegmentatie, firewalls en ga zo maar door. Bij Forcepoint kijkt men hier uiteraard ook naar, maar ligt de nadruk ergens anders. Uiteindelijk is wat men bij Forcepoint the human point noemt van doorslaggevend belang. De mensen die binnen organisaties werken bepalen tot op grote hoogte hoe veilig een omgeving is. Wij spraken met Dr. Richard Ford, Chief Scientist bij Forcepoint over deze fundamenteel andere benadering van security.

De functietitel van Ford doet al meteen vermoeden dat we hier niet met een alledaags bedrijf van doen hebben. Het is geen Chief die je vaak tegenkomt bij commerciële bedrijven. Volgens Ford is er echter een ‘enorm gebrek aan wetenschap’ binnen de wereld waarin Forcepoint opereert. Er wordt niet of niet genoeg naar bewijs gezocht en gekeken voor de beslissingen die men neemt. In de basis is dat wel waar Forcepoint voor staat: evidence-based operations.

Menselijke benadering

Richard Ford zit al lang in de security-business. Hij heeft sinds 1989 al behoorlijk wat voorbij zien komen. Een jaar of 12 geleden is hij uit de commerciële wereld gestapt om aan de universiteit te gaan werken. Toch is hij na enige tijd weer uit de academische wereld gestapt en bij Forcepoint in dienst getreden, voornamelijk omdat een voormalig student dat vroeg. Ford gelooft in de ‘menselijke’ benadering van het bedrijf. Zoals hij het zelf stelt: ‘Cybersecurity shouldn’t be about ones and zeroes, but about the human element.

Forcepoint is overigens gedeeltelijk ontstaan uit de cybersecurity afdeling van Raytheon, een zogeheten contractor voor de Department of Defense in de VS. Forcepoint heette tot vorig jaar Raytheon|Websense. Het bedrijf heeft niet geheel verrassend veel ‘gevoelige’ klanten. Insider Threat en User Behavior (UEBA) zijn belangrijke onderdelen. Daarnaast richt men zich op Data security (DLP, zie onder) zowel on-premise als op endpoints. Verder is het bedrijf gespecialiseerd in firewalls en heeft het een cloud business unit (onder andere Email & Web-security en CASB).

Frictie

Een van de termen die tijdens ons gesprek heel erg vaak voorbij komt, is ‘frictie’. Dit is ook meteen een goed haakje voor de menselijke benadering. Uiteindelijk levert het toepassen van security-maatregelen namelijk altijd frictie op. De mensen binnen een organisatie willen er eigenlijk niet te veel over nadenken.  Een goed voorbeeld van iets wat frictie oplevert binnen een organisatie is Data-Loss Prevention (DLP). Zeker als je als bedrijf met vertrouwelijke data omgaat, is een bepaalde mate van DLP gewenst.

Met DLP-software kun je het al dan niet bewust lekken van data tegengaan. Het is in de basis het monitoren van het verkeer binnen een organisatie, dus de frictie bij medewerkers is te begrijpen. Mensen hebben in de regel niet graag het idee dat hun handel en wandel in de gaten gehouden worden. De komst van richtlijnen zoals GDPR zal DLP overigens wel beduidend hoger op de agenda’s gaan zetten, zo verwacht Ford. Blijven negeren is geen optie.

Frictie heeft in het algemeen twee gevolgen. Allereerst zijn er de medewerkers die andere manieren gaan zoeken om hun werk gedaan te krijgen. Traditioneel noemen we dit Shadow IT, maar Ford heeft het liever over Shadow Innovation. Soms is een bestaande manier ook echt hopeloos verouderd en vervelend om te gebruiken. Deze gang van zaken zorgt voor het tweede gevolg en dat is dat het geheel uiteindelijk minder veilig wordt.

Niet meer gericht op het buiten houden van dreigingen

Lange tijd waren de meeste oplossingen op de markt gericht op het buiten houden van dreigingen. Dat is gezien de praktijk niet de juiste benadering. Als verdedigende partij ben je altijd in het nadeel. Een aanvaller kan immers talloze keren verslagen worden, die heeft maar één succesvolle poging nodig. Als verdedigende partij mag je maar één keer verliezen.

Deze vaststelling is volgens Ford van cruciaal belang voor de manier waarop Forcepoint tegen de zaken aankijkt. Binnen komen ze toch wel, het gaat erom wat ze gedaan krijgen als ze eenmaal binnen zijn. Op dat vlak zijn de mensen de beslissende factor, aldus Ford. Het is dan ook van belang om geen software te maken waarvoor mensen moeten veranderen. Als voorbeeld geeft hij het gebruik van applicaties zoals Facebook en Slack. Verbieden heeft geen zin gezien de neiging van mensen om dan op zoek te gaan naar alternatieven die je helemaal niet in de hand hebt. Je kunt het beter zo inrichten dat het in ieder geval geen kwaad kan als die diensten toch gebruikt worden.

Handelswijze medewerkers

Bij Forcepoint is men er vast van overtuigd dat het mogelijk is om dreigingen zo goed als mogelijk te stoppen door naar de handelingen van medewerkers te kijken. Je moet security zoals al eerder aangegeven niet binair bekijken volgens Ford. Uiteindelijk gaat het volgens hem over levels of trust. Die zijn er nu al wel, maar niet fijnmazig genoeg. Nu wordt bijvoorbeeld het afspelen van Flash-filmpjes niet toegestaan, terwijl je dit af en toe ook zakelijk nodig hebt.

Als je als medewerker bijvoorbeeld toestemming hebt om bij gevoelige data te komen, dan kun je prima een enkel bestand downloaden. Download je de hele map binnen 15 seconden, dan is het verdacht. Uiteindelijk moet men ook afstappen van de silo-gebaseerde benadering binnen bedrijven. HR moet bijvoorbeeld gelinkt worden aan andere onderdelen. Als je van iemand weet dat hij aan het eind van de maand opstapt en hij downloadt nog snel even de volledige database, dan moeten de alarmbellen gaan rinkelen.

De grote vraag is uiteraard hoe je bij een dergelijke persoonlijke benadering de frictie kunt voorkomen die medewerkers als enorm vervelend en storend ervaren. Volgens Ford kun je hier allerlei dingen op verzinnen. Je kunt bijvoorbeeld encryptie toevoegen die alleen ontsleuteld kan worden op een computer van het bedrijf. Je stoort iemand die met legitieme redenen de bestanden downloadt niet, maar voorkomt dat de data meegenomen worden naar locaties buiten de organisatie. IT helpt de medewerkers dan uiteindelijk en kan ook langzamerhand af van het negatieve imago binnen bedrijven. Dat is een mooie bonus binnen een bedrijf volgens Ford.

Uniforme benadering

Ford maakt een interessant punt als hij zegt dat fysieke security en cybersecurity niet los van elkaar gezien kunnen worden. Zeker bij inside jobs zijn er ook wel degelijk patronen te ontdekken, zowel fysiek als digitaal. Een vreemde gedraagt zich anders binnen een gebouw en zal ook op een andere manier bij bestanden proberen te komen. Hoe iemand door een file system heen gaat, kan al veel zeggen over of deze persoon in een gebouw hoort te zijn of niet.

Uiteindelijk is het volgens Ford overigens zeker niet zo dat er een methode is die voor iedereen werkt, simpelweg omdat de mensen verschillend zijn en er met verschillende niveaus van gevoeligheid wordt gewerkt. Het zou ons niet verbazen als dit het implementeren van een security-oplossing er niet eenvoudiger op maakt in de praktijk. Als het goed is heb je er achteraf echter wel meer plezier van. Medewerkers hebben er minder ‘last’ van en het geheel werkt volgens Ford efficiënter. Als je op basis van het gedrag van mensen weet welke gebieden je in de gaten moet houden, kun je dreigingen sneller detecteren. Dat laatste is uiteraard van cruciaal belang voor organisaties.

Al met al hebben we een aardig inkijkje gekregen in de werkwijze van Forcepoint tijdens ons gesprek met Dr. Richard Ford. We zullen het bedrijf uiteraard blijven volgen.