AlgoSec brengt orde in de firewall-jungle, ook in de publieke sector

“Ik vond het erg interessant”, zegt Paul van der Wilk, de Regio manager Benelux van securityspecialist AlgoSec, over het Publiek Private IT Diner van Dutch IT Leaders op 23 mei. “Goede sprekers, maar ook interessante en relevante aanwezigen. Ik heb een aantal zeer interessante mensen ontmoet. Het had, als het aan mij ligt, nog een stuk langer mogen duren.”

Inzicht

“Op de vraag ‘Hoe manage ik mijn security-omgeving?’ geven wij al twintig jaar lang het antwoord”, zegt hij over AlgoSec. “Zo’n omgeving bestaat uit verschillende security-componenten, voornamelijk firewalls, en vaak van verschillende makelij. Firewalls maken gebruik van policiy’s en regels. Die dienen een bepaald doel, een intentie. Het gaat met name over wie er waarvandaan, wanneer en onder welke voorwaarden toegang krijgt tot een bepaalde applicatie of informatie. De administratie van die regels is vaak een ramp. We komen echt stuitende dingen tegen. Regels blijven bijvoorbeeld voorbestaan wanneer applicaties niet meer gebruikt worden. Het inzicht in de risico’s ontbreekt volledig, met alle gevaren van dien.”

Die chaos maakt securityomgevingen kwetsbaar, zo legt hij uit. “Niet bij de kruidenier op de hoek, maar zeker wel bij overheden, financiële instellingen en andere grote organisaties. Die hebben een veel grotere complexiteit. Bij dat soort organisaties vinden veel policy-veranderingen plaats, soms meer dan honderd per dag. Die worden vaak handmatig ingevoerd, met daardoor kans op fouten. Bovenal is de context van een change, een rule of een policy op termijn volstrekt onduidelijk. De intentie waarmee ze zijn doorgevoerd ontbreekt helemaal.”

AlgoSec lost dat probleem op, onder meer met een analyse-tool. “Daar komt een risk assessment uit. Wij doen vervolgens aanbevelingen over bijvoorbeeld regels die riskant zijn, dubbelop zijn of niet gebruikt worden. Vervolgens leggen we de uitkomst van de analyse naast alle mogelijke verschillende regulatory compliance-maatstaven of de eigen baseline compliance van een organisatie.”

“Bovenop de Algosec Firewall Analyser beschikt het platform over een change automation tool”, vervolgt hij. “Daarmee kun je op een geautomatiseerde manier veranderingen doorvoeren. Met behulp van een zogeheten Traffic Simulation Query controleren we vooraf wat zo’n wijziging voor invloed heeft op de omgeving, bijvoorbeeld qua compliancy. Je krijgt te zien of een verandering geen of misschien wel juist heel veel risico met zich meebrengt en op basis daarvan kun je een weloverwogen afweging maken. Met deze tool bespaar je op menskracht en elimineer je de kans op menselijke fouten. De tijdwinst die je hiermee kunt boeken is natuurlijk enorm.”

Woordenboek

Alles draait tegenwoordig om de applicatie, merkt ook Van der Wilk. “Applicaties die klaar zijn, moeten gisteren live. Of regels moeten meteen aangepast worden. Security is dan vaak het ondergeschoven kindje. Securityspecialisten worden onder druk gezet, ze moeten mee in de vaart der volkeren. Dat zien we zowel bij publieke als bij private organisaties.”

Er bestaat een kloof tussen applicatieontwikkelaars en securityspecialisten, zo merkt hij. “Die eerste groep wil applicaties snel operationeel hebben en is niet bezig met security. Die tweede groep is niet geïnteresseerd in applicaties, want die bezorgen alleen maar extra werk, ellende en risico’s. Ze spreken een verschillende taal en wij zijn het woordenboek tussen beiden. We zorgen ervoor dat securityengineers DevOps-mensen kunnen helpen om applicaties snel en veilig operationeel te krijgen.”

AlgoSec is opgericht in de tijd dat firewalls altijd ‘on premise’ stonden. “Ook die verhuizen tegenwoordig naar datacenters en naar de cloud, maar ook daar heb je te maken met security-policies die gemanaged moeten worden. Dat kunnen wij ook. Onze markt wordt er alleen maar groter door.”

Overheden

AlgoSec heeft veel publieke organisaties als klant, zowel op landelijk als op Europees niveau. “Overheid is een heel belangrijke doelgroep voor ons, net als finance en chipmanufacturing. We hebben onder meer een groot aantal EU-instituten als klant. Maar ook grote financiële knooppunten en andere financiële instellingen.”

Die sectoren verschillen van elkaar, maar hebben ook veel overeenkomsten. “Financiële instellingen beschermen persoonlijke data en natuurlijk ook geld. Chipmakers willen vooral inzichtelijk hebben hoe goed hun intellectueel eigendom wordt beschermt. Bij overheden gaat het met name om persoonlijke data. Het nut van het automatiseren van de grote hoeveelheden rules en policy changes blijft bij overheden vaak nog onderbelicht. De private sector is daarin wel verder, lijkt het. Maar er is ook een overeenkomst: de barrière tussen applicatieontwikkeling en security speelt zowel bij publieke als bij private bedrijven.”

Slaap terugkrijgen

Op het eerste gezicht zijn er best veel bedrijven die doen wat AlgoSec doet. Maar de werkelijkheid is anders, vertelt Van der Wilk. “Veel leveranciers die firewalls managen en automatiseren, benaderen dat vanuit hun eigen platform. Als je een security-omgeving hebt die is opgebouwd uit oplossingen van verschillende fabrikanten, zoals in de praktijk vaak het geval is, ben je soms aan de goden overgeleverd. Wij werken weliswaar nauw samen met Cisco samen, maar onze oplossing werkt voor elk fabricaat firewall.”

“Als je investeert in AlgoSec, krijg je er slaap voor terug”, sluit hij af. “Risk officers en security officers willen risico’s kunnen beheren in plaats van risico’s moeten afkopen. Wij geven ze het inzicht om dat voor elkaar te krijgen en de tool om de beheerslast te marginaliseren.”