Vi patcher sårbar software på livet løs – og udfordringerne bliver kun større: Det er nødvendigt at gentænke sikkerheds-arbejdet

Arbejdet med at nå at patche sårbare systemer i tide bliver mere og mere umuligt. Automatisering er en oplagt vej frem, lyder det fra sikkerhedsekspert.

Nye kritiske sårbarheder dukker op hver eneste dag året rundt, og virksomhedens sikkerhedsfolk skal - igen - nå at patche et sårbart system i tide.

Samtidig er der er alt det grundlæggende arbejde med at vedligeholde og opdatere, som heller ikke bliver mindre vigtigt, når it-kriminelle står på spring for at finde huller, der kan skaffe dem adgang til virksomhederns data.

Hvis it-organisationer skal kunne levere flere udrulninger, bedre performance og højere sikkerhed, kræver det, at man i langt højere grad end hidtil tænker automatisering ind i it-driften.

Læs også: Patch på patch: It-medarbejdere i vildrede over konstante opdateringer

Det gælder ikke mindst i forhold til it-sikkerheden, hvor historien viser, at mange it-organisationer har svært ved at følge med, når de it-kriminelle slår til igen og igen, og det er altafgørende, at man får patchet sårbare systemer i tide.

”Hastighed har altid været en kæmpe del af it-sikkerheden. Sikkerhedsorganisationen skal være den hurtigste enhed i virksomheden,” lyder det fra Bill Shinn, der er principal security solutions architect AWS, til Computerworld.

”Når mange organisationer med den traditionelle infrastruktur- og datacenter-arkitektur har rykket for langsomt, er det fordi, at mange af sikkerhedsfunktionerne ikke har været bygget til automatisering. Det er eksempelvis patching, firewall-management, identitetsstyring eller intrusion detection.”

”Derfor har sikkerhedsteams historisk været nødt til at forsinke udrulningerne. Det er ikke længere nødvendigt, for i dag kan alt programmeres, og alt kan udrulles ved hjælp af automatisering,” siger Bill Shinn.

Grundlæggende betyder automatisering, at man skal arbejde med infrastrukturen og alle sikkerhedselementerne som kode.

Det betyder ifølge Bill Shinn også, at det bliver langt lettere at udskifte sikkerhedsleverandører og produkter, hvis man eksempelvis ønsker en ny firewall.

”Når du automatiserer ting, flytter du menneskerne væk fra data. Tidligere skulle du manuelt logge ind på en server. Det behøver du ikke længere."

"Du kan udrulle kode, uden at der nogensinde er noget menneske, der skal logge ind på den produktionsserver, der behandler data. Den automatisering hjælper dig ikke alene med at arbejde hurtigere, den hjælper dig med at fjerne mennesker fra alle de situationer, hvor der er adgang til data.”

”Det er langt bedre for sikkerheden, blandt andet fordi du fra starten af har alle logs over, hvad der er blevet foretaget af ændringer.”

Læs også: Opråb til virksomhederne: Jeres it-sikkerhed er baseret på den forkerte præmis

Tror du, at det at patche systemer, applikationer og enheder helt vil forsvinde i fremtiden?

”Du vil altid gerne vide, hvad det er for et område, du har med at gøre, og du skal vide, hvilke biblioteker og hvilken kode, du har udrullet.”

”Men når du arbejder med en serverless infrastruktur, er der ikke længere noget operativsystem. Du ser ikke længere biblioteker og kernel – så du skal fokusere på din egen kode. Der er så meget mindre at skulle holde styr på,” lyder det fra Bill Shinn.

”Du skal naturligvis patche, hvis du eksempelvis er afhængig af Python- eller Java-biblioteker, men du kan gøre det på en meget mere agil måde.”

De it-kriminelle kan vel også udnytte automatiseringen til at forbedre deres angrebs-metoder?

”The bad guys har altid udnyttet teknologi på samme måde, som du kan som den, der forvarer. Hvis du ser på de meget store DDoS-angreb med botnets, så handler det rigtig meget om automatisering. I dag er det så også bare blevet lettere for virksomheder og organisationer at udnytte den samme automatisering til at forsvare sig selv.”

”Det er ikke sådan, at vi øger sandsynligheden for angreb ved at forbedre automatiseringen. Det handler om at vi skal udnytte automatiseringen til at blive bedre til at forsvare os,” siger Bill Shinn.

Læs også:

Med 50 millioner deployments om året har Amazon knækket koden: Sådan får du bedre software - og bedre it-folk

It-udviklere jubler over opbakning fra eksperter: Kontrolfikserede chefer ødelægger innovationen

App-udvikling er blevet langt lettere – men adgangen til back-end volder problemer




Ytringer på debatten er afsenders eget ansvar - læs debatreglerne
Indlæser debat...

Computerworld
Med ny iOS-opdatering vil du selv kunne slå udskældt batterifunktion fra på din iPhone
Apple har sænket ydeevnen på ældre iPhones for at få batteriet til at holde længere, men nu fortæller Tim Cook, at du i fremtiden selv kan slå funktionen fra.
CIO
Opråb til ERP-leverandørerne: Stram op - I opfører jer uanstændigt
Klumme: Hvorfor kan ERP-projekter ikke leveres til fastpris ligesom andre systemer? Hvordan kan ERP-leverandørerne slippe afsted med at opføre sig uanstændigt? ERP-leverandørerne har et alvorligt problem og er nødt til at gøre det bedre. Se nogle af mine vilde eksempler fra den danske it-branche her.
Comon
LG stopper al udvikling af LG G7: Begynder helt forfra få måneder før lancering
Ifølge et velanset koreansk investormedie har LG’s CEO beordret fuld stop på udviklingen af LG G7 og starte forfra
Job & Karriere
Dansk it-virksomhed indførte fire-dages arbejdsuge: I dag er sygefraværet rekord-lavt og direktøren har tabt sig 13 kilo
Interview: Great Place To Work kategori-vinderen IIH Nordic har indført en fire-dages arbejdsuge og taget et opgør med forstyrrende storrums-kontorer og en frustrerende mailkultur. I dag er medarbejderne gladere end nogensinde før.
White paper
Mobility - her er de aktuelle udfordringer
Hvad med sikkerheden? Mobility-bølgen fejer igennem danske virksomheder, og der er masser af muligheder og faldgruber. Sikkerheden halter, men det kan der gøres noget ved. Produceret af Computerworld.dk i oktober 2014.