Artikel top billede

13 'sandheder' om it-sikkerhed som ikke holder vand

En række sikkerhedseksperter hjælper dig her til at tage kritisk stilling til blandt andet malware, 0-dagssårbarheder og compliance.

Computerworld News Service: De følgende sikkerhedsmyter er almindeligt accepterede opfattelser, der ofte gentages, men de er ikke sande.

Computerworlds amerikanske søstermedie Network World har bedt en række sikkerhedseksperter om at fortælle om deres favorit "sikkerhedsmyte."

Her får du en gennemgang af 13 af dem.

Sikkerhedsmyte nr. 1: "Antivirus beskytter effektivt mod malware."
Raimund Genes, der er teknologidirektør iTrend Micro, mener, at hovedårsagen til at virksomheder bruger antivirusprogrammer er, at "dine auditorer ville slå dig ihjel, hvis du ikke brugte AV."

Men antivirusprogrammer kan ikke beskytte effektivt mod et målrettet angreb, for før sådanne angreb iværksættes, sikrer angriberne, at det ikke opdages af antivirusprogrammer.

Sikkerhedsmyte nr. 2: "Stater står bag de største dataangreb."
John Pescatore, der er chef for emerging security trends hos SANS, siger, at de statssponsorerede angreb blot genbruger de datakriminelles angrebsressourcer.

Og USA's forsvarsministerium har for vane at overdrive truslen fra andre stater som argument for at få tildelt flere midler.

Den kedelige sandhed er, at denial of service-angreb mod netbanker godt kan bremses, men at der bare ikke gøres nok for det.

Desuden er der intet nyt under solen ved, at stater foretager spionage mod andre stater.

Pescatore har to andre favorit-myter, der drejer sig om sikkerheden i skyen, og som indbyrdes modsiger hinanden:

På den ene side at "cloud-tjenester principielt ikke kan sikres," fordi de er delte tjenester, der kan ændres uden kundens kontrol, og på den anden side at "cloud er mere sikkert, fordi det gælder leverandørernes levebrød."

Med udgangspunkt i disse to modsigende myter påpeger Pescatore, at "mange af leverandørerne såsom Google og Amazon byggede ikke deres clouds for at levere tjenester i enterprise-klasse eller for at beskytte brugernes information. Faktisk byggede Google en meget stærk cloud med det udtrykkelige formål at indsamle og eksponere brugernes information via selskabets søgetjenester."

Men Pescatore påpeger også, at erfaringerne med e-mailbaserede cloud-tjenester fra eksempelvis Google og Microsoft indtil videre har vist, at det sjældent har været leverandørens fejl, når kundedata er blevet kompromitteret, men i stedet hovedsageligt har kunnet tilskrives phishing-angreb mod kunderne.

Men de store erhvervskunder kæmper stadig med, hvordan de bør ændre processerne, så de er mere hensigtsmæssige i forhold til at håndtere sikkerhedsrelaterede hændelser i forbindelse med brug af cloud-tjenester.

"Alle vores konti ligger i Active Directory og er under kontrol"

Sikkerhedsmyte nr. 3: "Alle vores konti ligger i Active Directory og er under kontrol."
Tatu Ylönen, der i 1995 opfandt Secure Shell (SSH) og er direktør for SSH Communications Security, mener, at denne misforståelse er meget udbredt, men at de fleste organisationer har opsat - og i store træk efterfølgende glemt alt om - fungerende konti, der bruges af applikationer og automatiserede processer, som ofte håndteres af krypteringsnøgler og som aldrig gås efter i sømmene.

"Mange store organisationer har flere nøgler, der er konfigurerede til at tilgå deres produktionsservere, end de har konti i Active Directory," forklarer Ylönen.

"Og disse nøgles bliver aldrig ændret, aldrig auditeret og aldrig kontrolleret. Inden for identitets- og adgangsstyring bliver de interaktive brugerkonti som regel administreret, mens maskiners automatiserede adgang konsekvent ignoreres."

Men sådanne nøgler til automatiseret adgang kan udnyttes i angreb og til spredning af virus, hvis de ikke administreres ordentligt.

Sikkerhedsmyte nr. 4: "Der er brug for teknikker fra risikostyring i it-sikkerheden."
Richard Stiennon, der er chefanalytiker hos IT-Harvest, kommenterer, at selvom risikostyring "er blevet den accepterede administrative teknik," så er det sådan i praktisk, at denne tilgang "fokuserer på en umulig opgave: At identificere it-aktiver og rangordne deres værdi."

Ligegyldigt hvordan man forsøger at gøre det, så "vil det ikke afspejle den værdi, angribere tillægger immaterialretsbeskyttet materiale."

Stiennon argumenterer, at "den eneste praksis, der faktisk vil forbedre en virksomheds evne til at modstå målrettede angreb er trusselsstyring, hvilket indebærer en dyb indsigt i modstanderne og deres mål og metoder."

Sikkerhedsmyte nr. 5: "Der findes 'best practices' for applikationssikkerhed."
Jeremiah Grossman, der er teknologdirektør for WhiteHat Security, siger , at sikkerhedseksperter ofte er fortalere for såkaldt "best practices," der antages at være "universelt effektive" og derfor værd at investere i, med den implicitte påstand at de er "ubetinget nødvendige for alle."

Det inkluderer ting som oplæring i software, sikkerhedstest, trusselsmodellering, såkaldte web-application firewalls og "hundrede andre ting."

Han mener dog, at denne tilgang typisk overser det enkle faktum, at hvert driftsmiljø er unikt.

"0-dagsangreb er umulige at forudsige eller at effektivt gøre noget ved."

Sikkerhedsmyte nr. 6: "0-dagsangreb er umulige at forudsige eller at effektivt gøre noget ved."
Betegnelsen 0-dagssårbarhed bruges om de sikkerhedshuller, der endnu ikke er rettede eller som den relevante softwareleverandør måske endda slet ikke kender til.

Derfor er der den udbredte opfattelse, at det ikke er til at forberede sig på 0-dagsangreb.

Det er H.D. Moore, der er sikkerhedsdirektør hos Rapid7 og manden bag penetrations-testværktøjet Metasploit, dog ikke enig i.

Han mener derimod, at "sikkerhedsfolk kan faktisk godt forudsige og undgå problematisk software. Hvis en organisation er helt afhængig af et givet stykke software, så bør der foreligge en plan om, hvad man gør, hvis denne software bliver en sikkerhedsrisiko. Selektiv anvendelse og begrænsning af softwarens tilladelser er begge gode strategier."

Han fortæller også om en anden af hans favoritmyter, navnlig den at "man ved at kigge på antallet af offentliggjorde sårbarheder kan vide, hvor sikkert et produkt eller en tjeneste er."

Som eksempel nævner han den opfattelse, at sikkerheden i Wordpress må være forfærdelig, fordi der her er fundet og rettet mange sårbarheder.

Men at der er fundet mange fejl, kan være "et naturligt resultat af, at et stykke software er blevet populært."

Moore konkluderer, at "til forskel findes der en række produkter helt uden offentliggjorte fejl, der ofte er meget mindre sikre end bedre kendte applikationer, der i højere grad er blevet gået efter i sømmene.

Kort sagt, så er antallet af offentliggjorte og rettede sikkerhedshuller et meget ringe kriterium for, hvor sikker den seneste version af den givne software er."

Sikkerhedsmyte nr. 7: "USA's elnet er velbeskyttet af North American Electric Reliability Corp.'s CIP -krav."
Joe Weiss, der er administrerende partner i Applied Control Solutions, argumenterer for, at dette er en myte, fordi Critical Infrastructure Protection-kravene (CIP), der er udfærdiget af branchen selv, kun dækker den overordnede eldistribution men ikke hele distributionssystemet og herudover kun dækker elproduktion af en vis størrelsesorden. "80 procent af elproduktionen i USA er ikke underlagt CIP."

Sikkerhedsmyte nr. 8: "Jeg overholder reglerne, derfor er jeg beskyttet."
Bob Russo, der er generaldirektør for PCI Security Standards Council, kommenterer, at det er en udbredt opfattelse i erhvervslivet, at hvis man blot overholder reglerne for datasikkerhed i forbindelse med for eksempel betalingskort, så er man "sikret en gang for alle." Men at man kan krydse af ved compliance fortæller kun noget om sikkerheden "i et øjebliksbillede." Sikkerhed er en kompleks størrelse, der hele tiden forandrer sig, fordi det har at gøre med både folk, teknologi og processer.

"Det er it-sikkerhedschefens problem."

Sikkerhedsmyte nr. 9: "Det er it-sikkerhedschefens problem."
Phil Dunkelberger, der er direktør for Nok Nok Labs, bemærker, at det som regel er it-sikkerhedschefen, der får skylden, når der sker et brud på datasikkerheden.

Det skyldes hovedsageligt, at det er it-sikkerhedschefen, der udstikker reglerne eller den tekniske retning.

Men der er også mange andre aktører i en organisation, der har ansvar for sikkerheden. Det gælder især folk i it-driften, som ifølge Dunkelberger bør stå ved en større del af ansvaret.

Sikkerhedsmyte nr. 10: "Mobile enheder er sikrere end almindelige pc'er."
Dr. Hugh Thompson, der er formand for RSA Conference Program Committee, kommenterer, at selvom der er noget om denne "almindelige antagelse," så indebærer den en undervurdering af konsekvenserne ved, at visse traditionelle sikkerhedsforanstaltninger på pc'er såsom skjulte adgangskoder og forhåndsvisning af webadresser ikke bruges på mobile enheder.

"Så selvom mobile enheder stadig tilbyder flere sikkerhedsforanstaltninger end bærbare og stationære pc'er, så kan manglen på visse traditionelle sikkerhedsforanstaltninger resultere i sårbarheder.

Sikkerhedsmyte nr. 11: "Sikkerhed kræver at vi giver afkald på visse personlige friheder."
Stuart McClure, der er direktør for Cylance, advarer mod at godtage argumentet om, at vi er nødt til at "fremlægge vores samlede datatrafik for staten" for at kunne bekæmpe datakriminalitet.

McClure foreslår, at en bedre tilgang ville være at forsøge at "forudsige kriminelles adfærd og værktøjer" og "komme ind under huden på dem."

Sikkerhedsmyte nr. 12: "Point in time-sikkerhed er nok til at stoppe malware."
Martin Roesch, der stiftede Sourcefire og er manden bag intrusion detection-systemet Snort, mener, at tilgangen til sikkerhed ofte er begrænset til enten at opdage eller ikke opdage et angreb, og hvis angrebet ikke opdages, så er sikkerhedsforanstaltningerne "praktisk taget sat ud af spil, hvad angår en angribers efterfølgende aktiviteter."

En nyere model for sikkerhed opdaterer kontinuerligt sin status over systemet, selv hvis det indledende angreb på netværket ikke blev opdaget, og kan således give indsigt i et angrebs omfang og dæmme op for det.

"Angreb kan helt undgås med den rette beskyttelse."

Sikkerhedsmyte nr. 13: "Angreb kan helt undgås med den rette beskyttelse."
Scott Charney, der corporate vice president for Microsoft Trustworthy Computing, kommenterer:

"Vi tænker ofte, at sikkerhed betyder, at man holder folk ude; man låser dørene og bruger firewalls på computerne. Men virkeligheden er bare den, at selv med avancerede sikkerhedsstrategier og en fremragende drift så vil en vedholdende og fastbesluttet angriber med tiden finde en måde at bryde ind.

Med den erkendelse så burde vi forstå sikkerhedsproblematikken anderledes."

For hele sikkerhedsbranchen betyder det et skift til en tilgang med målet om at "beskytte, inddæmme og genoprette" for bedre at kunne bekæmpe truslerne i dag og i fremtiden.

Oversat af Thomas Bøndergaard




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Despec Denmark A/S
Distributør af forbrugsstoffer, printere, it-tilbehør, mobility-tilbehør, ergonomiske produkter, kontor-maskiner og -tilbehør.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Compliance og strategisk it-sikkerhed efter DORA

Finansielle koncerner har i snit 85 sikkerhedsløsninger i drift – men er i snit op til 100 dage om at opdage et igangværende cyberangreb. Ydermere viser øvelser, at det typisk tager 4-6 uger at rense og genetablere sikker drift af centrale systemer efter et stort angreb. Fokus for dagen vil derfor være på henholdsvis governance samt om, hvordan du som it-leder i den finansielle sektor skal kunne håndtere fremtidens cybertrusler og arbejde effektivt med sikkerhed på et strategisk niveau.

04. april 2024 | Læs mere


EA Excellence Day

Hvad er det, der gør it-arkitektens rolle så vigtig? Og hvad er det for udfordringer inden for områder som cloud, netværk og datacentre, som fylder hos nogle af landets bedste it-arkitekter lige nu? Det kan du her høre mere om og blive inspireret af på denne konference, hvor du også får lejlighed til at drøfte dette med ligesindede.

16. april 2024 | Læs mere


IAM - din genvej til højere sikkerhed uden uautoriseret adgang og datatab

På denne dag udforsker vi de nyeste strategier, værktøjer og bedste praksis inden for IAM, med det formål at styrke virksomheders sikkerhedsposition og effektiviteten af deres adgangsstyringssystemer og dermed minimere risikoen for uautoriseret adgang og datatab. Og hvordan man kommer fra at overbevise ledelsen til rent faktisk at implementere IAM?

18. april 2024 | Læs mere