Computerworld News Service: Joshua Corman er ikke den mest oplagte til at kritisere sikkerhedsleverandørerne. Han arbejder trods alt selv for en.
Alligevel fortæller han, der er ledende sikkerhedsstrateg hos IBMs Internet Security Systems division, om otte trends, han mener underminerer muligheden for at gennemføre et effektivt forsvar mod internettets lovbrydere.
Joshua Corman er selv af den opfattelse, at hans arbejde for leverandørerne sætter ham i en unik position til at beskrive branchens svagheder. Han vil gerne motivere en forandring til det bedre, og derfor har han rejst rundt til forskellige seminarer med en PowerPoint-præsentation og fortalt om det, han kalder de "otte beskidte hemmeligheder" i branchen.
Her følger en gennemgang af de otte hemmeligheder, og Joshua Cormans praktiske metoder til at holde leverandørerne ærlige.
Hemmelighed 1: Leverandørerne behøver ikke holde sig på forkant med truslerne, kun med køberne
Dette er problemet, der leder til alle de følgende syv "beskidte hemmeligheder."
Joshua Corman fortæller, at essensen er, at sikkerhedsleverandørernes mål ikke er at sikre kundernes sikkerhed, men derimod at tjene penge.
Tom Vredenburg, der er regional IM manager for Wartsila Corp. i Houston, mener, at Joshua Cormans iagttagelser passer med det, han selv har oplevet i branchen.
"Ikke nok med at sikkerhed i sig selv er blevet mere uigennemskuelig, men leverandørerne er også blevet sværere at fastholde og evaluere. Er de software-sælgere eller risiko-managere? Er de tjeneste-udbydere eller netværks-designere? Køber jeg et partnerskab eller en licens? De fleste ved det ikke selv - kun at de skal sælge noget, de færreste egentlig har lyst til at købe - forsikringer."
Flere sikkerhedsfirmaer afviser den beskrivelse. Produkt management-leder fra firmaet Cloakware, Terry Brown, siger for eksempel:
"I sidste ende handler det selvfølgelig om at jagte pengene på sikkerheds-markedet, men i dag, og takket været den økonomiske krise, er både leverandører og kunder ved at udvikle mere realistiske forventninger i forhold til markedet og økonomien."
Hemmelighed 2: Mangelfulde AV-certificeringer
Mens antivirus-værktøjet er godt til at fange malware som for eksempel orme, så kan det ikke finde ud af at spore den slags malware, der ikke replikerer sig selv, som for eksempel trojanske heste.
Selv om trojanerne har været her siden malware-tidens begyndelse, fortæller Joshua Corman, at man ikke kan regne med test af AV-certificeringerne. Firmaerne står derfor med en falsk tryghed, når de tror, deres AV vil beskytte dem fra malware.
"Trojanske heste og andre former for ikke-replikeret malware udgør i dag 80 procent eller mere af de sikkerhedstrusler, som virksomhederne står overfor. Påstandene om AV-værktøjets effektivitet reflekterer ikke længere det sande trusselsbillede," fortæller Joshua Corman.
Hemmelighed 3-5
Hemmelighed 3: Der er ikke noget perimeter
Joshua Corman bemærker, at hvis man tror på, at der stadig findes et netværks-"perimeter", så kan man lige så godt tro på julemanden. Det er ikke fordi, der ikke er noget perimeter, men fordi virksomhederne er meget uklare i forhold til, hvad perimeteret egentlig er. Og fordi de ikke gør noget for at ændre ved det.
På grund af hemmelighed et bliver hemmelighed tre fejet ind under gulvtæppet, og det får virksomhederne til at købe produkter, der ikke nødvendigvis er effektive i forhold til selskabets specifikke sikkerheds-behov.
"Vi bliver nødt til at få defineret det perimeter," siger han. "Slutpunktet er perimeteret, brugeren er perimeteret. Det er mere sandsynligt, at forretningsprocessen er perimeteret, eller at informationerne i sig selv også er perimeteret. Typisk designer man sikkerheds-kontrollerne ud fra en grundlæggende antagelse om et perimeter, men fejlen er, at vi formoder, at hvis vi bare giver kontrollen til periimeteret, så er alt i orden. I forhold til mange trusler er det helt forkert."
Hemmelighed 4: Risikostyring er en trussel for leverandørerne
Risikostyring kan virkelig hjælpe en virksomhed til at opnå en forståelse for egen forretning og det højeste niveau af risici, fortæller Joshua Corman.
Men virksomhedens prioriteringer passer ikke altid sammen med det, leverandørerne gerne vil sælge.
"Leverandørerne fokuserer på de individuelle risici, så virksomhederne bliver ved med at købe de individuelle produkter. Hvis man ikke har et klart billede af firmaets risiko-prioriteringer, så vil leverandørerne hellere end gerne lave dem for en. Sikkerheds-produkterne burde tilpasses og understøtte virksomhedens forretnings-prioriteringer. Men lidt for ofte sker det omvendte, og leverandøren forsøger at få virksomheden til at tilpasse sig deres produkt," tilføjer han.
Hemmelighed 5: Der er andre risici end sårbart software
Joshua Corman fortæller, at størstedelen af sikkerhedsmarkedet fokuserer på svagheder i softwaren. Men software repræsenterer kun en ud af de tre måder, sikkerheds-hullerne kan opstå på.
De andre to er svage konfigurationer og mennesker. Desværre, siger Joshua Corman, er de to sidste langt mere farlige end ugens software-fejl.
"Selv om vi selvfølgelig skal spore og løse sårbarhederne, må vi også forstå, at en organisation ikke er stærkere end det svageste led. Vi bliver nødt til at fokusere mere på de andre to elementer også," siger han.
Hemmelighed 6-8
Hemmelighed 6: love og regler truer sikkerheden
Nødvendigheden af at overholde regler og industri-standarder som Sarbanes-Oxley og PCI DSS får virksomhederne til at bruge langt flere penge på sikkerhed, end de ellers ville.
Det har sikkerheds-leverandørerne fået færten af, og de tilbyder nu blandt andet PSI-rettede produkter, og alt-i-et produkter til sundhedsvirksomheder, der for eksempel skal overholde kravene under det amerikanske HIPAA-regelsæt ('Health Insurance Portability and Accountability Act').
Det medfører desuden også, at virksomhederne køber sikkerheds-værktøj, der reelt ikke kan hamle op med de specifikke trusler, som virksomheden står overfor.
Hemmelighed 7: Leverandørernes blinde vinkler muliggjorde Storm
Botnettet Storm bliver stadig både kopieret og forbedret som arketype for andre botnet.
Botnettenes æra lever stadig og har det godt, selv nu to år efter Storm første gang viste sig, fortæller Joshua Corman. Hvordan kan det lade sig gøre? Han svarer:
- Botnet trives i en forbruger-verden, hvor der ikke er mange penge til innovation, hvilket Storms bagmænd udmærket ved. De tjener penge på alt fra spam til de såkaldte 'pump-and-dump' aktie-bedragerier.
- De spiser AV til morgenmad. Mange af de teknikker, Storm benytter sig af, er ikke nye; de bliver bare kunstfærdigt tilpasset AV-certificeringernes og leverandørernes blinde vinkler-
- Ondsindet kode har ikke behov for sårbarheder. De fleste af Storms rekrutteringer har fundet sted ved hjælp af social engineering og udnyttelse af for eksempel ferier eller større sportsbegivenheder.
Hemmlighed 8: Sikkerhed er ikke længere 'gør-det-selv'
Teknologi uden strategi er kaos, advarer Joshua Corman. Alene mængden af sikkerhedsprodukter og den fart, hvormed udviklingen foregår, har mættet de fleste virksomheder og oversteget deres mulighed for at holde trit med det hele.
"Organisationerne realiserer kun en brøkdel af mulighederne i deres investeringer. Derudover udgør prisen for produktet ofte kun en lille del af den fulde ejerskabs-pris. Der var engang, hvor man kunne udføre det hele selv," fortæller han.
Leverandørerne skal holde op med at forsøge at overbevise virksomhederne om, at det kan lade sig gøre at købe et produkt, installere det og så glemme alt om det.
Oversat af Marie Dyekjær Eriksen