Dr. Richard Ford har doktorgrad i kvantefysikk og har jobbet med datasikkerhet i flere tiår.
Dr. Richard Ford har doktorgrad i kvantefysikk og har jobbet med datasikkerhet i flere tiår.

Annonse


Sikkerhetsekspert: – Hjertet mitt brister når jeg tenker på sluttbrukerne

I forrige uke gikk Paranoia-konferansen av stabelen i Oslo Spektrum, og i den anledning fikk vi storfint besøk av Dr. Richard Ford, som er vitenskapssjef i sikkerhetsselskapet Forcepoint.

Dannet av Raytheon
Forcepoint er dannet blant annet av den amerikanske forsvarsgiganten Raytheon, og de selger sikkerhetsløsninger og brannmurer til alt fra regjeringer over hele verden til vanlige småbedrifter.

Dr. Richard Ford selv har en doktorgrad i kvantefysikk fra universitetet i Oxford, og har jobbet med datasikkerhet i akademia og næringslivet i en årrekke.

Brister hjertet mitt
På turen innom Oslo skal han blant annet holde et foredrag om datasikkerhet, og om viktigheten av å fokusere på sluttbrukeren – mennesket – i stedet for å se seg grønn på data og teknologi.

Annonse


På spørsmål fra ITavisen om hvordan ståa er for sluttbrukerne sier han blant annet følgende:

– Det jeg ser med fleste sluttbrukerne brister hjertet mitt. For det vi ser er at vanlige folk blir skadet, og det gjør meg trist, for ofte er det de mest sårbare folkene som blir rammet.

Les videre for å få med deg kommentarene hans om hvordan man kan gjøre datasikkerhet mer prosess- og menneskevennlig, om hva Dr. Ford synes om kryptering og bakdører, phishing-angrep og ikke minst status på sikkerheten for hjemmebrukeren og om hva du kan gjøre for å gjøre datamaskinen din tryggere:

– Kan du fortelle litt om foredraget ditt?

– En av de morsomme tingene med å være vitensskapssjef i et stort selskap er at du får muligheten til å holde foredrag som er litt lengre fremme enn der alle er, slik at du kan se litt på fremtiden. En av de tingene jeg snakker om i dette foredraget er om hvordan de mentale modellene du har virkelig driver hvordan du tenker på sikkerhet.

Jeg stiller spørsmål ved om mange av disse mentale modellene vi har daglig faktisk hjelper noe særlig når det kommer til sikkerhet. Så hvis vi flytter og litt vekk fra teknologi – for vi er teknologer, ikke sant? Når det er et problem, er det første vi gjør å vende oss til teknologi, og en av de modellene og tankene vi har er at den menneskelige delen av formelen er vel så viktig som teknologien.

– Men dette har vært rundt siden Kevin Mitcnick (som brukte sosiale metoder for å hacke inn i nettverk)?

– Ja det har det, men vi har ikke gitt det nok oppmerksomhet. Så det stemmer, Mitnick skrev en flott bok – The Art of Deception – og folk driver fortsatt med sånne greier. Så poenget er at du aldri vil kunne endre på folk. Spørsmålet er hvordan du kan få teknologien til virke bedre med folk for å oppnå resultatene du ønsker.

– Hvordan kan du få til det?

– Ja, det er vanskelig. Det første trinnet er imidlertid å endre på måten du tenker på et problem på. For når du endrer på hvordan du tenker på et problem, vil du også endre på måten du finner løsninger. La meg gi deg et enkelt eksempel. Vi snakker om datavirus mye, og fordi vi kaller dem virus, tenker vi på ting som infeksjoner og desinfeksjoner og vi tenker på datamaskinhygiene.

Vi trekker inn alle disse konseptene, som ikke nødvendigvis er relaterte til et program som kan kopiere seg selv. Så tenk om vi i stedet sa: La oss tenke på dette som virus, la oss tenke på det som rovdyr og bytte. Det er ulv på jakt etter en kanin. Da vil du plutselig begynne å tenke på andre løsninger, fordi du trekker inn en annen mental modell. Så med rovdyret på jakt etter byttet, vil du kanskje for eksempel tenke på at det er en kostnad for rovdyret. Så hvis jeg jager på denne kaninen, kan jeg ikke jage etter den andre. Eller hvis denne kaninen ikke smaker noe særlig, er den ikke verd å jakte på.

– Så du begynner å se på andre løsninger basert på den mentale modellen som du har. I sikkerhet pleier vi å fokusere mye på angriperen, og vi har fortsatt denne modellen med forsvarsmurer og vollgraver, og vi lar alltid angriperen gå først – så vi responderer alltid på det angriperen gjør. Som vi ikke kontrollerer noe av.

Men det vi faktisk kontrollerer er dataene og tilgangen til disse. Og folk er folk. De endrer seg ikke. Så måten du bruker datamaskinen din på er omtrent det samme hver gang. Det varierer, men hvis du ser tilbake på hva du har gjort, vil du kunne identifisere når det var deg som brukte maskinen din og når det kanskje var sønnen din, datteren din eller konen din eller noen andre. Så vi kan gjøre det samme med prosesser, og begynne å si at vi kanskje burde gjøre noe med de tingene som vi kontrollerer, enn med tingene som vi ikke kontrollerer.

– Men hvordan vil dette fungere i praksis?

– I praksis i USA så er DLP (Data Loss Prevention) nokså vanlig. Og jeg synes at penetrasjonen av DLP i markedet ikke har gått så langt som den burde, med hensyn til databeskyttelse. Så jeg vet at DLPR kommer til å drive en del bruk av DLP her i Europa. Men DLP er en teknologi som handler mer om å stanse egress (altså at data og filer forlater basen, red. anm.), og det er et første skritt mot å tenke på at dårlige ting allerede rører ved dataene dine, og om vi kan gjøre dette bedre.

Hvis vi tar det til det neste trinnet og tenker på ting som innsidetrusler, og da tenker vi gjerne på tre klasser av brukere: Vi har ondsinnede brukere, som for egen vinning eller andre grunner ønsker å skade organisasjonen, og så har du uheldige brukere som er de som mottar phising-eposter og klikker på dem. Og så har du kompromitterte brukere, som er en bruker som allerede har blitt kompromittert og nå er det skadevare som kjører som denne brukerkontoen. Og når du begynner å bryte ned verdenen inn i disse seksjonene, begynner du å se forskjellige løsninger.

– For eksempel med en kompromittert bruker kan du tenke på måter å oppdage kompromotering på, men en annen modell er å si at dette er en maskerade, at denne prosessen oppfører seg veldig definitivt forskjellig fra hvordan brukeren vanligvis oppfører seg. Så det er et attribusjons-problem; så for eksempel kan en fil som har blitt lastet ned fra Internett kryptere hver .doc-fil på denne maskinen. Det ser ikke ut som Richards normale oppførsel, så kanskje dette er et løsepengevirus, som later som om det er Richard. Og på samme måte hvis vi tenker på en ondsinnet bruker, eller en som er en forræder mot organisasjonen og ikke handler i tråd med interessene dens, og dette er ting som oppdages. Så i stedet for å oppdage trusselen, i stedet for å se etter en bestemt type løsepengevirus, som programmereren kan lage en ny kopi av når som helst med små forandringer inntil et av dem kommer gjennom, kan vi i stedet se etter måter ting interagerer med dataene våre på, og hvordan dette avviker fra bruksmønsteret til denne bestemte brukeren.

Dere gjør mønstergjenkjenning, altså?
– Det kan være mønstergjenkjenning, det kan være anomali-oppdagelse, men det er blind mønstergjenkjennelse, det er veldig fokusert på hva dataene er. Så, for eksempel: Det er filer på harddisken din som bruker jevnlig, og det er filer på harddisken din som du antakelig ikke har brukt på årevis. Når maskinen din blir angrepet, begynner dette programmet å røre ved dataene, men det har null peiling på brukermønsteret ditt. Så det vil begynne å røre ved data, mørk data, som du vanligvis ikke bruker, og det kan være et tegn på det ikke står bra til. Så jeg vil ikke si at “murer og vollgraver” skal gå vekk, vi lager produkter i dag som passer med dette bildet, som den neste generasjonen med brannmur fra oss, som er en fantastisk brannmur og gjør en storartet jobb med å beskytte nettverket. Men selv der kan vi bøye oss mer rundt mennesker i stedet for nettverk.

– Vi forestiller oss en brannmur som en nettverksenhet. Den har ingenting å gjøre med vanlige mennesker, men det er faktisk to måter som denne brannmuren kan sno seg rundt mer av dette menneskelige elementet, der data er mest brukbart, men også mest sårbart. Den første er når det kommer til brukervennlighet. Så mange ganger når en brannmur blir hacket, er det ikke fordi brannmuren har gjort noe feil, men det er fordi den er feil satt opp. For når du har en stor organisasjon med mange hundre filialer, har du også hundrevis av brannmurer, og det blir veldig vanskelig å forstå hva den globale policien er. Så vi har investert tungt i å forsøke å redusere antallet feil som en bruker som konfigurerer denne brannumuren kan gjøre. Og vi gjør det mer gjennomsiktig for brukeren, slik at de kan treffe fornuftige valg.

– En annen enkel sak, som i hvert høres enkel ut, og som burde gjøres av alle, er at når vi tenker på å sette denne maskinen bak en brannmur, tenker vi på maskinen, mens vi skulle tenke på kombinasjonen av maskinen og brukeren, og på prosessen, og så bruke brannmur-reglene i tråd med disse tre. Så hvis jeg for eksempel logger på denne maskinen her, er systemet vårt smart nok til å vite at det er meg. Så hvis vi hypotetisk sett har blokkert utgående FTP (File Transfer Protocol) i hele organisasjonen, er det fortsatt noen i organisasjonen som har lov til å bruke FTP, fordi de har spesielle privilegier, har fått ekstra trening eller at de bare kjempet mot IT-avdelingen lenge nok. Men brannmuren vår skal være smart nok til å gi privilegier til personen, maskinen og prosessen. Så hvis jeg bruker FTP fra en forskjellig maskin, som er uventet, kan dette være et problem. Men hvis jeg gjør det på måten jeg vanligvis gjør det, fungerer det fint.

– Ideen er å tilpasse seg mennesket og konteksten, og et av poengene i foredraget mitt er at vi som datasikkerhetsfolk er veldig, veldig gode på å fortelle om hva som har skjedd. Det er bare å gå inn i logg-filen, og der kan du se med massiv detaljrikdom, og så kan du si:

Dette er det som har skjedd. Men det du ikke kan si er hvorfor det skjedde. Og hvorfor er mye viktigere enn hva. Så dette vil jeg si er den neste generasjonen sikkerhet, som er å bevege seg mot hensikten. Hva er det som skjer, og hva er sammenhengen. Fordi vi treffer sikkerhetsbeslutninger i isolasjon, og vi ser på objekter som at dette objektet er bra eller dårlig, men jeg vil si at dette ikke henger sammen. Det vi trenger å gjøre er å se på sammenhengen rundt, og så treffe en risiko-basert beslutning om hvorvidt dette er smart eller ikke.

– Men for å gjøre dette automatisk, trenger dere vel en slags kunstig intelligens?

– Ja, men kunstig intelligens er et massivt overdrevet ord i datasikkerhetsverdenen, men, ja, det vil nok kreve en form for begrenset maskinlæring. Men selv der er det utrolig hva du kan gjøre uten for mye av dette. For eksempel er en av teknikkene vi bruker i dag i produktene våre noe vi kaller et Basium belief-nettverk, som er en ganske enkel form for kunstig intelligens, så enkel at jeg nøler med å bruke ordene kunstig intelligens, men den er veldig gjennomsiktig, enkel å forstå, og får flotte resultater, og den hjelper oss med å ta masse svake indikatorer og treffe beslutninger om disse. Så du trenger ikke et massivt datasenter for å gjøre kunstig intelligens, du trenger bare å være smart og å bruke det på en passende måte.

– Men de fleste dataangrepene kommer fra noe så enkelt som phishing-angrep?

– Ja, helt riktig. Veldig enkle angrep. Et sjokkerende stort tall.

– Hvordan kan du stoppe det?

– Det er mange forskjellige måter. Så til å begynne med eksporterer jeg ikke typisk ikke tonnevis med data til DropBox? Det ville være en massiv endring i oppførsel for meg. På samme måte kan jeg være logget på en konsoll på hovedkvarteret mitt i Austin, og da skal systemet være smart nok til å sjekke denne VPN-forespørselen fra for eksempel Oslo, som ikke henger på greip siden jeg er fysisk tilkoblet en konsoll i Austin. Men siden vi fortsatt har en tendens til å se på hendelser i isolasjon, er vi ikke så flinke til å oppdage dette. UBA vil potensielt fortelle deg om det, men den vil fortelle deg om det etter at det har skjedd. I stedet vil det være mer fornuftig å gjøre dette samtidig som vi driver overvåking, og det er på en måte vår visjon. Og dette går tilbake til hva Forcepoint egentlig er. Fordi jeg vet at Forcepoint er et rimelig nytt navn i sikkerhetsverdenen.

– Det viktige her er at selskapet vårt var spesiallaget for det vi gjør. Raytheon har veldig dype kunnskaper i datasikkerhet, åpenbart, som en del va rollen deres som en av de store amerikanske forsvarsselskapene, og de var smarte nok til å spesial-lage et selskap som har som mål å snu sikkerhetsverdenen på hodet. For jeg tror at du og jeg som profesjonelle vet at vi egentlig ikke er i ferd med å vinne denne kampen når det kommer til sikkerhet. Og det hjelper ikke å gjøre de samme tingene om igjen og om igjen. Vi trenger å gjøre noe forskjellig.

– Det er for enkelt å være en angriper. Hvis du ga meg valget mellom å være en angriper eller å være en forsvarer, ville jeg ha snudd meg mot angrepssiden, fordi det er mye mer gøy, og det er veldig mye enklere. Og det er derfor at konferanser som denne er såpass mye moro, der vi kan komme oss ut og snakke med likesinnede folk, som er veldig åpne til nye ideer.

– Tenker dere mye på å utdanne sluttbrukeren, for eksempel?

– Det er et veldig interessant poeng. Det er et par ting. En av de tingene vi trenger å forstå er du og jeg ikke er rasjonelle. Du visste kanskje dette om akkurat oss to, men generelt er mennesker veldig emosjonelle. Vi treffer emosjonelle valg. Vi treffer ikke nødvendigvis logiske valg. Vi er mer som Kaptein Kirk enn vi er Spock. Så fordi brukerne typisk befinner seg i det vi kaller enn oppgavesentrisk kognintiv modus, som vil si at du gjør det du gjør, og at du ikke bruker noe tid på å tenke på ting som ligger på siden av dette når du gjør det. Så det vil si at utdannelse spiller en rolle, men det kommer ikke til å endre verdenen når det kommer til sikkerhet. For nå du bruker denne enheten, tenker du på hvordan du skal gjennomføre en jobb, ikke på hvordan du skal være trygg som mulig. Så utdannelse er viktig, men det trenger å gjøres på en måte som forstår at vi som mennesker er risikotakere. Det er en av de vakre tingene med å være menneske. Som vil si du vil ta risikoer fordi mennesker er, tro det eller ei, optimister. De vil heller kaste terningene og håpe på å vinne, heller enn å ta et definitivt, men lite tap.

– Men det påvirker jo sikkerheten fordi den ikke kan være for påtrengende i forhold til oppgavene til brukeren?

Ja, det stemmer helt presist. Så når vi interagerer med brukeren, må vi gjøre det på en måte som reduserer friksjon, men som forsøker å drive oppførselen til det vi ønsker i stedet for å bare vise dem en dialogboks med informasjon og si “du burde gjøre dette.” Så vi trenger å håndtere mennesker som mennesker, og jeg synes det er noe vi feiler med å gjøre som en industri.

Har du noen gang brukt en øysporings-enhet? Som viser hvor øyene dine er når du ser på en skjerm.

– Nei, men vi har satt mange øyekart…

– Nettopp. Så en av de morsomme tingene å gjøre er å se på hvor brukernes øyner går når det dukker opp en dialogboks. Den går rett til “ok” eller “avbryt.” De kommer seg kanskje ikke en gang til ordene, de vil bare gjøre oppgaven sin. Så når vi interagerer med brukerne, kan vi ikke bare lage en større dialogboks. Vi trenger å huske på at de er mennesker, at dette er måten de er skapt på, og på hvordan vi best kan operere med disse folkene på. Vi trenger å menneskeliggjøre sikkerhet.

– Det hjelper ikke å legge til mer teknologi. Jo mere teknologi du legger inn i nettverket, desto flere ting blir det for en angriper å bryte seg inn i.

– Hva synes du om kryptering, og om stater som krever bakdører?

– Problemet med bakdører er to ting. Det er sosiale problemer med det som vi trenger å snakke om, og det er en stor diskusjon om forholdet mellom sikkerhet og privatliv, som noen ganger er i motsetning til hverandre, og for øvrig er en av de tingene jeg tror på er at det å si at du må gi opp privatlivet for sikkerhet er en falsk sammenheng. Jeg tror at hvis vi prøver godt nok, kan du få mye sikkerhet uten å gi slipp på for mye personvern. Og det er en av forskningsforslagene jeg har gitt til sjefen vår, og det er en av de tingene han har gitt masse støtte til. Han vil at vi skal være det selskapet i verden som tar best vare på personvernet og at vi skal tilby topp sikkerhet mens vi sikrer personvernet til individet. Så det er veldig positivt.

– Det er vel nettopp det dere ønsker å sikre?

– Ja, så på en måte er handler det om sikre mennesker like mye som det handler om data. Fordi data handler om hvordan det berører mennesket.

– Så det er dette, og det andre problemet er bakdører. For problemet med bakdører er at det ikke alltid er klart hvem det er som ender opp med nøkkelen. Noen ganger kan disse svakhetene ende opp med å gi mer enn ett sett med folk tilgang. Så dette er veldig vanskelige valg, men typisk sett har det ikke fungert veldig bra når noen forsøker å installere en bakdør. Man ender opp med å bryte protokollen uten å ville det.

– Hvordan føler du at den vanlige sikkerheten til folk flest er?

– Det jeg ser med fleste sluttbrukerne knuser hjertet mitt. For det vi ser er at vanlige folk blir skadet, og det gjør meg trist fordi, for ofte er det de mest sårbare folkene som blir rammet.

– Jeg kan for eksempel tenke på moren min, som begynner å bli litt gammel nå, og hun har mange bilder på maskinen sin. Og jeg kan tenke, om hun blir rammet av et løsepenge-virus, så kommer hun ikke til betale de pengene – men hun kommer til å miste alle minnene. Og det er bare trist. Jeg synes at datateknologi er en av de mest fantastiske tingene som menneskeheten har skapt, og det gjør meg genuint lei meg å se skaden som skjer med sluttbrukerne.

– Og dette sprer seg mest som phising-angrep igjen? Folk har vel lært seg nå å ikke laste ned programvare fra lugubre sider?

– Ja, absolutt. Problemet er at når du leser eposten din, og du får en epost som ser ut som om den er fra en venn, og husk at du er kognitivt oppgavesentrert, så tenker du ikke på sikkerhet, men du tenker at oi – vennen min sendte meg denne kule tingen, jeg burde se på hva det er. Så tilstanden til sluttbrukerens sikkerhet er nokså dårlig, men det er viktig å gi skylden til offeret. Det er lett å si at brukerne burde oppdatere, at de burde kjøre antivirus, at de burde sikkerhetskopiere, som er intelligente ting å gjøre, men de fjerner ikke på noen måter ansvaret som ligger på personen som brøt seg inn i maskinen deres.

– De gode nyhetene er at det er mange gratis verktøy som brukerne har tilgang til for tiden. Så de trenger egentlig ikke å betale for sikkerhet lenger.

– Er Windows Defender bra nok?

– Ja, jeg synes faktisk det. Windows Defender har kommet veldig langt. Og for en hjemmebruker, som moren min, sier jeg bruk dette, eller bruk Avast eller AVG eller en av disse. De er alle nokså bra. Windows Defender er blitt veldig bra oppigjennom årene. Og den andre tingen jeg forteller moren min er at hun må holde datamaskinen sin oppdatert, så da jeg satte opp maskinen hennes for henne installerte jeg et gratis verktøy som bare viser grønt, gult eller rødt på bunnen av skjermen avhengig av om maskinen er oppdatert eller ikke. Hun er veldig fornøyd med det, og liker å holde det grønt og da er hun tryggere på nettet.

– Det er trist, men i hvert for den aldrende befolkningen har det blitt en del interessant forskning. Som er interessant fordi vi ser på de aldrende som den som er mest sårbar, men det er de egentlig ikke – det er den yngre befolkningen som er det, fordi de laster ned og prøver alt. Så problemet med den aldrende befolkningen er noen ganger at de ikke vil prøve noe. Moren min vil for eksempel ikke bruke kredittkortet sitt på nettet. Og det er dumt, fordi det finnes ting som vil gjøre det lettere for henne hvis hun gjorde det, men hun er redd for bruke kortet sitt. Så på noen måter er hun tryggere, men hun går glipp av en del fordeler.

– For eksempel når jeg landet i Oslo, brukte jeg en app på telefonen for å kjøpe togbilletten min, og det fungerte kjempebra. Men moren min ville aldri har gjort dette. Selv om jeg fortalte henne hvordan, blir hun redd for hva som kan skje med kortet hennes.

– Frykt synes jeg er veldig trist følelse. Det hadde vært fint om vi kunne bevege oss fremover uten denne.

– Så jeg synes at det for sluttbrukerne, sikkerhetmessig, kan være nokså bra, hvis du har peiling. Men problemet er at sluttbrukerne er at de er bekymrer for sikkerheten, men de tenker ikke på sikkerheten.

Annonse