Column


Mike Smart, Product Marketing Director bij Forcepoint:

‘Met Security Analytics zie je door de bomen het bos weer’

“Security Analytics is een groot deel van wat we nu doen, en waar we in de toekomst naartoe gaan”, zegt Mike Smart, Cyber Security Specialist en Product Marketing Director bij Forcepoint. SecurityVandaag sprak met Smart over hoe hij de toekomst van deze nieuwe ‘wetenschap’ ziet, en wat de strategie van Forcepoint is om de ‘outsider threat’ en de ‘insider threat’ met elkaar in verband te brengen. “We moeten oog hebben voor beide kanten van het verhaal.”

“Security Analytics is zeker niet nieuw”, zo werpt Smart aan het begin van ons gesprek op. “Bij Threat Intelligence maken we bijvoorbeeld al langer gebruik van zaken als machine learning, analytics en gedragsanalyses om zo patronen in het netwerkverkeer te ontdekken die kunnen wijzen op aanvallen vanuit de boze buitenwereld.”

“Wat wel nieuw is, is dat we Security Analytics nu ook intern gaan gebruiken om te kijken wat er zich binnen de organisatie afspeelt”, vervolgt Smart. “In die zin is Security Analytics een markt die nog maar net op komt zetten en in sommige opzichten nog veel weg heeft van een ‘wetenschap’ waarvoor specifieke vaardigheden nodig zijn die niet breed voorhanden zijn. Wel zien we nu dat er analytics-platformen beschikbaar komen die het makkelijker maken om security-data te verzamelen en analyseren.”

Wat is de kracht van Security Analytics? Wat bereik je met deze nieuwe ‘wetenschap’?
Mike Smart: “Dat je door de bomen het bos weer ziet. Sommige defensieve maatregelen zijn al heel goed geprogrammeerd om bepaalde afwijkingen te detecteren. Het probleem is echter dat een bedrijf misschien wel 25 ‘control points’ heeft die allemaal meldingen genereren, en met al die losse meldingen weet je nog steeds niet wat precies het probleem is. Ja, er is misschien een verbinding verbroken, en ja, er is misschien een file gedropt, maar daarmee zie je nog steeds niet wat er precies aan de hand is. Als je zeven of acht alert en acties met elkaar in verband brengt, kun je misschien vaststellen dat het om een gerichte aanval gaat die al enkele weken gaande is. Een interne gebruiker die inlogt vanaf een afwijkende locatie is misschien al verdacht, maar is dat helemaal als hij of zij vervolgens ook nog de DLP-functionaliteit probeert uit te schakelen en een verdachte file downloadt. Het gaat erom dat je de verschillende aanwijzingen met elkaar verbindt zodat je het totaalplaatje ziet.”

Wat wil je uiteindelijk met Security Analytics bereiken? Dat je sneller op een incident kunt reageren, of een incident zelfs kunt voorkomen? Of ligt de nadruk meer op het verzamelen van data die je kunt gebruiken voor het forensisch onderzoek na een incident?

“Alle drie eigenlijk. In eerste instantie gaat het vooral om de response. Security Analytics helpt je om scherp te krijgen wat er daadwerkelijk aan de hand is zodat je met Data Loss Prevention kunt voorkomen dat er data door een cybercrimineel of medewerker naar buiten worden gesluisd. Daarbij is het belangrijk dat de ‘outsider threats’ in verband worden gebracht met de ‘insider threats’. De focus ligt bijna altijd op de buitenstaander terwijl een interne medewerker bewust of onbewust ook een gevaar kan vormen en mogelijk is besmet is door een outsider. Security helpt om afwijkend gedrag van een insider sneller te detecteren. Met DLP kunnen we vervolgens veel blokkeren, maar een datalek is natuurlijk nooit helemaal te voorkomen. Als er toch iets is gebeurd, dan komt het aan op de forensics. Met SureView Insider Threat kunnen we bij de constatering van verdachte activiteiten de ‘opnamemodus’ inschakelen zodat je achteraf precies kunt achterhalen wat er is gebeurd. Deze functionaliteit bieden we nu al aan in de Verenigde Staten en komt binnenkort naar Europa.”

Je haalt al even SureView aan, een platform dat afkomstig is van Raytheon. Sinds januari van dit jaar is Forcepoint de nieuwe naam voor Raytheon|Websense. Wat heeft Forcepoint te bieden op het gebied van Security Analytics?

“Binnen Forcepoint komen meerdere technologieën van verschillende bedrijven samen. Websense had met ThreatSeeker en een uitgebreide Threat Intelligence al oplossingen op het gebied van Security Analytics. Met de security-oplossingen voor web en e-mail van Websense was het bovendien al mogelijk om ‘blended attacks’ te stoppen, door bijvoorbeeld een phishing-e-mail met daarin een kwaadaardige url te onderscheppen. Raytheon is al decennia actief op het gebied van de bestrijding van cyberwar, en heeft in die tijd interessante technieken en vaardigheden ontwikkeld om cruciale netwerken van bijvoorbeeld overheden en defensie te beveiligen. Die technieken, die Raytheon in veel gevallen zelf heeft ontwikkeld, gaan we nu inzetten voor een bredere markt en verder integreren in al onze producten. Zo moet het met SureView, dat bijvoorbeeld kijkt naar het gedrag van de interne gebruikers, mogelijk worden om inzichtelijk te krijgen wie de ‘risky users’ zijn binnen de organisatie en wat ze precies doen op het netwerk. Op die manier maken we data beter beschikbaar zodat je sneller en betere beslissingen kunt nemen.”

Daarmee is het weglekken van data nog niet voorkomen...
“Klopt. Bij de bescherming van data komt veel meer kijken. Data bevinden zich al lang niet meer op een enkele locatie, maar on-premise, in de cloud, op mobiele devices, et cetera. Locatie wordt steeds minder belangrijk; het gaat erom dat je de data beschermt waar ze zich ook bevinden. Beveiliging moet dus vooral ‘data-centrisch’ zijn. Dat betekent dat je data moet monitoren en moet blijven volgen. Daarnaast zullen defensieve maatregelen nodig blijven; die gaan niet weg. Zelfs signature-based antivirus is nog altijd waardevol als het gaat om het stoppen van de bekende dreigingen.”


Lees meer over