Achtergrondartikel


Senior Vice President Heath Thompson van Forcepoint:

‘De focus moet verschuiven naar de mens’

Forcepoint onthulde begin dit jaar een nieuwe visie. Volgens het securitybedrijf ligt de focus momenteel veel te veel op de externe dreiging en moet er meer aandacht komen voor ‘the human point’. Motivator Magazine sprak er in Genève over met Heath Thompson, bij Forcepoint Senior Vice President en general manager voor Data and Insider Threat Security. “We staan aan het begin van een nieuw tijdperk.”

Door Bart Verhaar, productmanager bij Motiv

Het klonk bijna als een bekentenis, toen CEO Matt Moynahan van Forcepoint tijdens de RSA Conference in februari van dit jaar verklaarde dat ‘wij als security-industrie hebben gefaald’. “Onze klanten hebben miljarden geïnvesteerd in security, maar uit onderzoek van Forcepoint blijkt dat slechts een derde het gevoel heeft waar voor zijn geld te krijgen.” Ongekend, volgens Moynahan. “Wanneer is het voor het laatst voorgekomen dat iemand 20, 30, 40 of 50 miljard ergens aan uitgaf en zich vervolgens niet goed voelde over die aankoop?”

Minder dan de helft van de door Forcepoint ondervraagde securityprofessionals heeft er vertrouwen in dat de aanschaf van nog meer technologie voor meer veiligheid gaat zorgen. “Onze industrie loopt het risico om irrelevant te worden”, zo waarschuwde Moynahan in San Francisco. “Security wordt steeds belangrijker, en de dreiging steeds prominenter, maar als security-industrie slagen we er steeds slechter in om de behoefte van onze klanten in te vullen. We moeten veranderen.”

Zwarte gaten
Deze ‘noodkreet’ was begin maart ook te horen tijdens een klanten- en partnerevenement van Forcepoint in het Zwitserse Montreux. “Volgens Gartner gaven bedrijven in 2016 81 miljard dollar uit aan producten en diensten voor IT-security. Toch heeft 90 tot 95 procent volgens Gartner al eens te maken gehad met cyberincidenten”, aldus Heath Thompson. “Als het gaat om security hebben we echt te maken met blinde vlekken.”

Waar worden die blinde vlekken door veroorzaakt?
Thompson: “Op de eerste plaats worden nog altijd heel veel puntoplossingen ingezet, zoals firewalls, antimalware, antispam, et cetera. Die puntoplossingen kijken allemaal naar een deel van de IT-omgeving en leveren verschillende logbestanden op. Securityprofessionals moeten vervolgens op zoek naar een speld in een hooiberg om uit al die logbestanden de incidenten te filteren. Daardoor missen ze bepaalde zaken.”

“Een andere oorzaak is het virtueler worden van de perimeter. Uit eigen onderzoek blijkt bijvoorbeeld dat van de bedrijfskritische data 25 procent beschikbaar is via verwijderbare media, 28 procent via mobiele privéapparaten en 21 procent via de publieke cloud. Op mobiele apparaten vindt bovendien rechtstreekse uitwisseling van data plaats tussen zakelijke en mobiele apps. Door die ontwikkelingen is een deel van de IT-omgeving en de data niet meer onder controle van het bedrijf en ontstaan blinde vlekken. We moeten de grens opnieuw definiëren.”

Hoe doen we dat? Hoe zorgen we voor een security-aanpak die effectiever is?
“We moeten onze focus verleggen. We zijn nu geobsedeerd door externe dreigingen, door malware en hackers. Die externe dreiging wordt echter pas een probleem als een cybercrimineel binnen is, zich als iemand anders voor gaat doen en je in plaats van één Bart meerdere Barts op je netwerk hebt. Eenmaal binnen gedraagt malware zich altijd als een mens. Een ‘outsider’ laat altijd een ‘insider’ het werk doen. De focus moet dus ook op de mens komen te liggen en minder op de techniek.”

“Door het gedrag van individuen of groepen gebruikers te analyseren en alert te zijn op afwijkend gedrag, kom je bijvoorbeeld een gecompromitteerde gebruiker direct op het spoor. Maar dat geldt ook voor bedroefde, frauduleuze of boze medewerkers die door cybercriminelen eenvoudig zijn te beïnvloeden en het bedrijf misschien zelfs wel schade willen toebrengen, bijvoorbeeld door intellectueel eigendom te stelen. En ook de alledaagse fouten die mensen nu eenmaal maken, zoals per ongeluk toch op dat verdachte linkje klikken, signaleer je met ‘user behaviour analytics’ snel. Deze laatste groep is niet onbelangrijk, want de ‘happy normal person’ die ’s ochtends vrolijk naar zijn werk gaat, is verantwoordelijk voor 40 procent van de schade.”

Voor het detecteren van afwijkend gedrag van gebruikers of groepen gebruikers biedt Forcepoint ‘Insider Threat’. Kun je op hoofdlijnen uitleggen hoe deze oplossing werkt?
“We hangen als het ware camera’s op om te kijken wat er met de data van een bedrijf gebeurt. Insider Threat is in feite een stukje software op de endpoints van een gebruiker dat alle acties registreert, van de muisbewegingen en toetsaanslagen tot de documenten die een gebruiker benadert en verstuurt. Zolang er geen sprake is van ‘afwijkend gedrag’ wordt er ook niet ingegrepen. Is er wel sprake van afwijkend gedrag, dan grijpt een andere oplossing in. Zo kunnen we met Data Loss Prevention voorkomen dat een geïnfecteerde of frauduleuze medewerker vertrouwelijke informatie zoals intellectueel eigendom naar buiten stuurt. We bieden dus bescherming door te kijken naar wat wij noemen ‘the human point’.”

Als je ‘camera’s ophangt’, vinden medewerkers dat niet eng en loop je niet tegen privacybezwaren aan?
“Als je uitlegt waarom je die camera’s ophangt, dan begrijpen mensen het wel. Het is om ze te beschermen tegen cybercriminelen en de gevolgen van de fouten die ze per ongeluk kunnen maken. Met Insider Threat krijgen we een veel beter begrip van de manier waarop mensen omgaan met data en intellectueel eigendom, en hoe cybercriminelen dat gedrag beïnvloeden. En dat allemaal om de bad guys te stoppen, en de good guys ongestoord hun werk te laten doen.”


Lees meer over