Et af de største problemer for it-chefer i dag kan være at besvare nogle helt basale spørgsmål som "hvor er virksomhedens data?" og "hvor er virksomhedens netværk?"
Det er ikke, fordi it-cheferne er inkompetente, men en rivende teknologisk udvikling kombineret med forretningsmæssige krav om et fleksibelt it-miljø, der understøtter en dynamisk forretning, nedbryder grænserne mellem firmaets interne infrastruktur, samarbejdspartneres it-infrastruktur og det globale internet.
Når firmaets tidligere veldefinerede netværksgrænser udviskes, bliver det også sværere at holde styr på data.
Det opløste firmanetværk
"Man kan sige, at netværk og infrastruktur i dag er sådan en stor udflydende masse. I gamle dage havde man en firewall, og så sad folk bag ved den med deres desktop-maskiner og arbejdede. Dengang kunne man lave en tegning over virksomhedens netværk på én A4-side. De tider er forbi. I dag kræver det nærmest en hel telefonbog for at kunne tegne netværket," siger Ulf Munkedal, administrerende direktør i sikkerhedsfirmaet Fort Consult.
Kravet om adgang til virksomhedens forretningssystemer fra stadig mere mobile medarbejdere til en tættere sammenkobling af virksomhedens it-infrastruktur med leverandører, datterselskaber og samarbejdspartnere, betyder, at der skal etableres massevis af forbindelser.
De tæller etablering af VPN-forbindelser til rejsende konsulenter, etablering af faste tunneller til virksomhedens samarbejdspartnere samt tilpasning af infrastrukturen, så forskellige mobile enheder kan understøttes.
Via sit rådgivningsarbejde om it-sikkerhed for en række danske virksomheder har Ulf Munkedal et godt indblik i de udfordringer, som den udvikling fostrer.
Udviklingen har været i gang i mange år.
Eksempelvis udgav den internationale sikkerhedssammenslutning Information Security Forum i 2007 en rapport med titlen "Disappearance of the Network Boundary", der beskriver de udflydende grænser mellem virksomhedens netværk, andre organisationers netværk og internettet, som Ulf Munkedal dagligt ser.
Den mobile nedbrydning
Nedbrydningen af netværksgrænserne er siden accelereret.
"Først begyndte medarbejderne gudhjælpemig at arbejde hjemmefra, så begyndte de at løbe rundt med deres bærbare i lufthavne og alle mulige andre steder. Så begyndte man at koble hovedkontoret sammen med lokalkontorer og datterselskaber. Det blev endnu mere kompliceret med eksterne konsulenter, der skulle have adgang til netværket. Nu er vi så igang med cloud, hvor data og funktionalitet lægges ud i skyen," siger Ulf Munkedal.
"Så man kan godt spørge, hvor pokker er vores netværk egentlig henne?"
Hvor dælen er mine data henne?
Når der er tvivl om, hvor netværksgrænserne egentlig er, så kan det også blive svært at holde styr på, hvor data er.
Det er noget helt grundlæggende sikkerhedsmæssigt set.
Hvis man ikke ved, hvor data er, så kan det være meget svært, for ikke at sige umuligt, at sikre dem. Det kan måske være lidt overraskende, at det er den slags spørgsmål, som virksomhederne i dag kæmper med.
"Det er back to basics. Det er helt basale og banale spørgsmål, som virksomhederne kæmper med. Hvor er mine data? Ligger de i skyen, på en filserver eller hos en samarbejdspartner? Hvor er mine data egentlig henne; de data, som jeg skal beskytte mod hackere? Det er ikke altid, de er klar over, at det er det, der er årsag til deres utryghed. Man ser det, når de prøver at gøre noget nyt. Når man så stiller de grundlæggende spørgsmål, så finder man ud af, at det er de helt basale ting, der ikke er helt styr på," siger Ulf Munkedal.
Når det simple bliver komplekst
Den mere komplekse infrastruktur betyder, at det er sværere at honorere det gode gamle Keep It Simple-princip, hvilket sikkerhedsmæssigt er et problem.
Derfor begynder it-folk at introducere andre it-værktøjer i infrastrukturen, der kan være med til at skabe et overblik.
"Det bliver sværere og sværere at holde det simpelt. Der er så forskellige typer af systemer, som forsøger at hjælpe mellemstore og store virksomheder med at holde en eller anden form for styr på deres netværk og systemer," siger Ulf Munkedal.
"Teknologierne giver på forskellige måder virksomhederne overblik. Overblik over firewall-regler, over netværkstrafik, hvilke computere der er i virksomheden, hvilken malware, der er, og så videre. Det er løsninger og systemer, som kan analysere firewall-regler, forskellige log-opsamlingssystemer samt system- og network-management-systemer, der kan analysere netværkstrafik og lave asset management af deres infrastruktur," forklarer Ulf Munkedal.
Her er løsningerne
Analyse af netværkstrafik kan eksempelvis være med til at identificere ondsindede angreb og malware, som måske ellers ville forblive uopdaget.
"Hvis der eksempelvis kommer ondsindet kode ind på en arbejdsmaskine uden at blive fanget af antivirussen, kan den stå og hygge sig, for der er ingen, der lægger mærke til, hvad den laver," siger Ulf Munkedal.
Det kan undgås ved at anvende Intrusion Detection-systemer/Intrusion Prevention-systemer, der står på et konkret sted i netværket og holder øje med, hvilken slags trafik, der kommer forbi.
Hvis netværkstrafikken opfører sig anderledes end normalt, kan det indikere et ondsindet angreb, men der kan også blot være tale om en større ufarlig trafikmængde end normalt.
Der kan så være andre systemer, som opsamler data fra blandt andet IDS og IPS og vurderer, om der er noget på netværket, som man skal bekymre sig om.
Bevar overblikket
Paradoksalt nok bidrager den slags overbliksskabende systemer yderligere til kompleksiteten i infrastrukturen.
En trend er derfor at forsøge at give et holistisk syn på infrastrukturen ved at analysere log-data fra en række forskellige systemer.
Et ekstremt eksempel på den slags meta-overbliksskabende systemer er MetaGrid fra Red Lambda, der henvender sig til de helt store globale virksomheder.
MetaGrid anvender kunstig intelligens-lignende værktøjer til at analysere millioner af log-entries og hændelser i netværket for at finde frem til sikkerhedstrusler eller andre unormale hændelser, som ellers ville forblive uopdaget.
Red Lambda fremhæver blandt andet, at de kan opdage et angreb, der bliver udført ved at benytte sig af flere angrebspunkter end en enkelt sårbarhed i en enkelt server.
Det er en god strategi, da hackere i dag netop benytter sig af flere angrebspunkter.
"De kombinerer forskellige måder at angribe på. De gør det ikke kun på én måde, men de gør flere ting. Det er ikke kun én nørd, der sidder et sted og udnytter en sårbarhed et bestemt sted. Det er koordineret og smart udført. De angriber netværk, applikationer og mennesker for at få udleveret information," siger Ulf Munkedal.
Der er derfor et behov for den slags værktøjer, men Ulf Munkedal maner til besindighed:
"Det er rigtigt, det er vejen frem, men det er ekstremt vigtigt, at man klart definerer, hvad man vil have ud af den slags systemer. Man kan godt blive træt i hovedet som sikkerhedsmand af at høre om det holistiske. Det lyder godt, og det er også rigtigt, men desværre er det ikke altid, det bidrager til overblikket, tværtimod skaber det mere forvirring. Der samles så mange ting, så man kan blive helt forvirret."
Kan cloud redde overblikket?
For at undgå en kompleks infrastruktur, kan man vælge at lægge flere ting op i skyen.
Umiddelbart vil det give en forenkling af en virksomheds infrastruktur, da antallet af maskiner og software internt i virksomheden reduceres.
Ulf Munkedal advarer dog mod at se cloud computing som redningen for virksomheder, der ønsker en mere simpel infrastruktur.
"Der er en kraftig tendens til at lægge mere op i skyen. I en periode vil det forenkle tingene, men mest for de små og mellemstore virksomheder. De store vil stadig have behov for at hoste en masse ting selv. På kort sigt vil det måske give et bedre overblik. Men det bliver komplekst igen, fordi man ikke kan have det hele liggende ude i skyen alligevel. Så skyen bliver endnu et lag af kompleksitet," vurderer Ulf Munkedal.
Som eksempel nævner han udfordringen med authentication - hvordan man sikrer, at det kun er autoriserede personer, der får adgang til systemerne.
I dag foregår det i mange virksomheder ved at anvende Active Directory. Hvis virksomheden fremover skal anvende et miks af interne systemer og cloud-systemer, så skal Active Directory på en eller anden måde integreres med cloud-systemerne.
"AD kombineret med cloud er nogle af de muligheder vi begynder at se. Det kræver enterprise cloud-løsninger og ikke kun de cloud-løsninger, der i dag mere eller mindre henvender sig til private. Der er løsninger, som tilbyder løbende synkronisering af AD eller import/eksport af AD-opsætning," siger Ulf Munkedal.
Han påpeger udfordringen ved den slags løsninger:
"Det giver så endnu et lag kompleksitet: Hvor er vores AD nu?"
Bliver it-folkene kørt ud på et sidespor?
Hvis man vil have styr på sit netværk og sine data, kan man finde hjælp i nogle af de mange værktøjer, der kan skabe et overblik. Men det handler også om, at it-folk skal være mere proaktive og fremme i skoene, når det gælder ny teknologi. Ellers risikerer de, at skulle rende rundt og rydde op i et sikkerhedsmæssigt rod, når nye mobile apps eller andre systemer er sat i produktion.
"De nye apps og webapplikationer er ikke nødvendigvis forankret i it-afdelingen. Når jeg taler med sikkerhedsfolkene i virksomhederne, ved de nogle gange eksempelvis ikke, at deres virksomhed har lanceret en ny app. Det kan være marketingafdelingen eller en forretningsenhed, der har fået udviklet en ny app, uden at sikkerhedsfolkene eller it-afdelingen er blevet involveret. Endda nogle gange med integration til bagvedliggende systemer," siger Ulf Munkedal.
Er det fordi, sikkerhedsfolkene har været for bløde i nogle år?
"Nej, ikke nødvendigvis. I organisationen er der ikke tradition for, at man skal huske at snakke med sikkerhedsfolkene om den slags. Det er også svært for sikkerhedsfolkene at gå rundt i hele organisationen og holde styr på al ny teknologi. Men kommunikation kan være en udfordring for sikkerhedsfolk. De skal gøre opmærksom på sig selv og være tilgængelige for organisationen. Det er vigtigt, at de får meldt ud: Husk, når der er noget ny teknologi, så kom og snak med os," anbefaler Ulf Munkedal.
Han peger også på, at man måske tænker for firkantet og traditionelt, når det kommer til sikkerhed og netværk.
"Man putter sikkerhed ned i kasser. Vi har firewall, vi har netværk, vi har de her systemer. Dem skal vi huske at lave scanning på, vi skal lave patch-management og så videre. Samtidig sker der så meget nyt, der ikke når at komme ned i sikkerhedskassen."