Computerworld News Service: I sidste uge fik sikkerhedsleverandørerne mulighed for at reklamere for nye produkter under den RSA-konference, der fandt sted i San Francisco.
Her lovede de at beskytte kunderne fra sikkerhedstrusler i skyen og mobile enheder, men hvad der ikke blev fortalt var, at det ikke er lykkes sikkerhedsindustrien at beskytte de betalende kunder fra nogle af tidens farligste trusler.
Showets største nyhed havde at gøre med bekæmpelsen af Mariposa-botnettet - et massivt botnet af hackede computere, der har inficeret halvdelen alle virksomhederne på Fortune 100. De såkaldte 'advanced persistent threat' (APT)-angreb, som det der ramte Googles systemer i starten af december, var et andet varmt emne.
Mariposa og Google-angrebene er udtryk for samme problem. Trods det at der bliver brugt milliarder på sikkerhed, så er det stadigt forbavsende svært at sikre virksomhedens netværk.
For at disse avancerede angreb skal virke, så behøver forbryderne kun finde en enkelt sårbarhed, hvorefter de kan snige deres ondsindede software ind i netværket.
Når først de har fået en fod indenfor, så kan de knække andre computere, stjæle data og tage dem med til udlandet. Sikkerhedsfolk skal gøre deres arbejde perfekt - eller i hvert fald være meget hurtige til at spotte ubudne gæster - hvis APT-truslerne skal stoppes.
Traditionelle sikkerhedsprodukter er ikke meget bevendt imod APT-angreb, fortæller Alex Stamos, der er partner i Isec Partners, der er en af de virksomheder, der undersøger APT-angreb.
"Alle de ofre, vi har arbejdet sammen med, har haft et fuldt ud fungerende antivirus-system," siger han.
"De har haft systemer, der skulle kunne spore indtrængere og flere af dem havde også web proxier til at scanne indhold."
Problemet er, at forbryderne også har adgang til de teknologier, og derfor kan de teste og genteste deres angreb, indtil de finder en måde, så det kan slippe igennem.
"Alle og enhver kan downloade og prøve alt tænkeligt sikkerhedsudstyr på angrebet, inden det bliver sluppet løs," siger Alex Stamos.
For at understrege denne pointe, skabte antivirus-testvirksomheden NSS Labs en variation over det velkendte Internet Explorer 6-angreb, der blev brugt ved Google-hændelsen, og testede det mod syv populære antivirus-produkter.
Forsøgene, der blev gennemført to uger efter offentligheden fik kendskab til fejlen, viste, at kun McAfees antivirus-produkt var i stand til at stoppe den nye variant af angrebet.
For meget fokus på malware-payload
En af virksomhederne, AVG, kunne ikke engang stoppe det originale angreb, fortæller NSS. Eset, Kaspersky, Symantec, Sophos, AVG og Trend Micro fejlede alle i forsøget på at blokere den nye variant af Aurora-angrebet.
AVG siger til gengæld, at virksomhedens produkt godt kunne spore angrebet.
En talsmand fortæller, at resultaterne fremkom på baggrund af fejl i NSS's test-metode. Men virksomheden benægter ikke, at produktet ikke kunne spore varianter af Aurora.
Antivirus-virksomhederne burde gøre deres arbejde bedre, siger president for NSS Rick Moy:
"De burde implementere sårbarheds-baseret sporing. Der er lidt for meget fokus på malware-payload."
Paul Roberts, der er analytiker ved analysefirmaet 451 Group, siger det endnu hårdere:
"Virksomhederne er meget utilfredse med det sikkerhedsniveau, de får via deres endpoint anti-malware-pakker."
Mens antivirus-virksomhederne eksperimenterer med forskellige måder at blokere programmer baseret på analyser af forskellige faktorer, såsom filernes opførsel, alder, oprindelse og hvor udbredt det er, så ender den slags funktioner ofte med at blive slået fra, fordi de også blokerer legitime programmer, fortæller Paul Roberts.
Intet kan stoppe den gode hacker
Mange sikkerhedseksperter er nu enige om, at patches og opdaterede antivirus-programmer sammen med indbrudsdetektions-systemer ikke er nok til at beskytte virksomhederne fra tiden værste trusler fra internettet.
"Sikkerhedsindustrien vil blive tvunget til at overveje, hvordan man i stedet kan skabe løsninger, der rent faktisk virker i dette miljø," siger Isecs Alex Stamos.
"I virkeligheden er der intet af det, der er blevet solgt igennem de sidste 16 år, der kan stoppe den enkeltperson, der sidder ved computeren som en Windows shellcode-person og målretter angrebet mod en specifik person, og bruger måneder på at knække præcis den computer."
Shellcode er det første payload-program, hackere bruger til at installere yderligere programmer med, når først de er inde i systemet.
Men det budskab er ikke sunket ind hos alle virksomheder, siger Paul Melson, der er information security manager ved Priority Health, der er baseret i byen Grand Rapids i staten Michigan.
"Der findes masser af virksomheder, der enten har gjort deres sikkerhedshold til compliance-hold i stedet, eller som stadig kæmper den samme kamp som for seks eller syv år siden."
Antivirus-leverandørerne argumenterer for, at deres produkter stadig har et formål, og der er da heller ingen virksomheder, der decideret fravælger antivirusprogrammer.
Antivrus-programmer blokerer "det store flertal" af alle de angreb, McAfee sporer hver dag, siger Dave Marcus, der er director of security research ved McAfee. Antivirus-leverandørerne er i gang med at udvikle nye systemer -produkter til 'white-listing' og cloud-baserede sikkerhedstilbud som for eksempel McAfees Artemis - for at holde trit med de evigt foranderlige trusler.
Men i sidste ende må virksomhederne udvikle måder at håndtere nye trusler og angreb.
"Når vi taler om beslutsomme angribere, der starter med at lave en profil af deres ofre, så har de stor chance for succes," siger han.
De små er ikke dygtige nok
Avancerede angreb som APT skræmmer Jason Stead mest. Han er manager of information security ved Choice Hotels i Phoenix. Hans industri har været mål for mange angreb i løbet af de senere år, hvor hackere har brudt ind i point-of-sale systemer på mange forskellige hoteller.
De har ofte held med at opspore en sårbarhed, og så gentage det samme angreb på hotel efter hotel. I hotelbranchen kan en enkelt datalæk øve rigtig stor skade mod virksomhedens brand.
Det betyder, at virksomhedens integritet kan afhænge af mennesker, der simpelthen ikke har tilstrækkelige ressourcer til at stoppe determinerede angribere.
"Franchise-tagerne er traditionelt småvirksomheder," siger Jason Stead. "De har ikke den teknologiske erfaring, der er nødvendig for at beskytte virksomheden. "
Teknologi-leverandørerne vil helst sælge et samlet produkt, men i virkeligheden er det ikke muligt at købe sig til et sikkert miljø. Det kræver et større arbejde.
"Det handler alt sammen om bruger-opmærksomhed og procedurer," siger Jason Stead.
Det betyder, at medarbejderne skal undervises i, hvordan man begår sig på nettet, og at der skal opbygges et sikkerhedshold, der kan sørge for, at virksomheden får mest muligt ud af de sikkerhedsværktøj, det har.
Ifølge Priority Healths Paul Melson, er problemet mere omfattende end sikkerhedsvirksomhederne.
"Hvis man vil holde sikkerhedsindustrien ansvarlig, så skal man også holde driftssystemet og klientsoftware-leverandører mindst lige så ansvarlige," siger han.
"Der er tale om platforme, der gør det muligt for folk at skabe software, der ikke er en del af designet, og som slutbrugerne ikke kender til."
"Jeg tror, at læren fra Aurora i sidste ende er, at man er nødt til at kunne håndtere enkelthændelser," siger Paul Melson.
Hvis ikke man er forberedt på at kunne reagere i den slags situationer, og hvis ikke man sætter rigtige mennesker til at gennemføre sikkerhedsanalyserne i miljøet, så vil den slags angreb kunne vade lige igennem, tilføjer han.
Oversat af Marie Dyekjær Eriksen