Denne klumme er et debatindlæg og er alene udtryk for forfatterens synspunkter.
Når folk hører ordet krig, forestiller de sig kampvogne, der ruller hen over mudrede marker, geværskud, dødsskrig eller droner, der summer som vrede hvepse.
Det, de færreste forestiller sig, er en fyr i joggingbukser, der sidder i et mørkt rum klokken tre om natten og spiser kold pizza, mens han forsøger at bryde ind i din virksomheds netværk.
Men det er præcis, der vi er.
Velkommen til hybridkrigsførelse: lige dele missiler og malware samt soldater og script kiddies.
Krigen er fysisk og digitalt på samme tid. Og ja, din virksomhed er en del af krigen – uanset om du sælger widgets, driver en skole eller holder lyset tændt i en kommune.
Fantastiske værktøjer - forkert disciplin
De fleste virksomheder, jeg ser, stoler på MDR og SOC.
Misforstå mig ikke, det er fantastiske værktøjer, og jeg kunne ikke leve uden.
De opdager og reagerer, når hackere forsøger at bryde ind, hvilket er helt perfekt.
Men her er hagen: Det er stadig reaktivt. Det er som at ansætte en livvagt, der kun reagerer, når overfaldsmanden allerede har trukket sin kniv og holder den mod din hals.
Selvfølgelig vil din livvagt tage kampen op mod skurken, men måske ville du foretrække, at røveren aldrig kom helt så tæt på i første omgang?
Reaktiv sikkerhed er dybest set at spille digital Whack-a-Mole, hvor muldvarperne er velfinansierede, sover aldrig og har langt mere fritid end din it-afdeling.
Penetrationstest er lige så effektiv som et nytårsforsæt
Når vi taler om at være proaktive, er vi nødt til at få penetrationstest med ind i billedet.
Og tillad mig at skrue lidt op for sarkasmen, men en pen-test er som at købe et fitnessmedlemskab i januar: Det giver dig en følelse af sikkerhed, men du bruger det kun en eller to gange om året, og resultaterne er svære at få øje på.
Selvfølgelig har det sine fordele. Men lad os være ærlige:
• Det er langsomt. Hackere venter ikke pænt på din planlagte test.
• Det er snævert. Normalt bliver kun en del af din infrastruktur testet.
• Det er dyrt. Sig farvel til julegaven og firmaskovturen.
• Det er forstyrrende. Dine it-folk skal nu passe på penetrationstestere i stedet for at ordne alle de andre problemer.
Kort sagt er pen-testing nyttigt, men rundt regnet kun lige så proaktivt som at tjekke din røgalarm en gang om året og så ellers krydse fingre for, at den virker, når røgen begynder at sprede sig.
Kompromisvurdering får båden til at gynge
Så snart vi begynder at drøfte kompromisvurdering, bliver det for alvor interessant.
Jeg indrømmer gerne, at jeg kan lide ting, der skaber en smule uro og får båden til at gynge.
Kompromisvurdering gør netop det. Det vender op og ned på historien.
I stedet for en "Åh nej, vi er blevet hacket! Lad os reagere på det"-tilgang, siger kompromisvurdering: "Godt, lad os finde hullerne, før andre gør det".
Og det gør det bedre end pen-testing, fordi:
• Det kører 24/7. Hackere sover ikke, og det gør dette heller ikke.
• Det leverer rapporter, som ledelsen faktisk kan læse. Hver anden uge kommer der klare opdateringer, der siger: "Her er dine problemer, her er prioriteten, her skal du bruge dine penge." (Hvilket, ærligt talt, er meget bedre end PowerPoint-præsentationer fulde af akronymer, som de færreste normale mennesker alligevel forstår.)
• Det reducerer de blinde vinkler, hvor hackere bor gratis.
• Det er billigere. Mindre drama. Mere dækning. Mindre babysitting.
Kompromisvurdering er ikke noget, der "er rart at have".
Det er forskellen mellem at liste barfodet rundt i dit hus om natten med alle lysene slukkede og træde på Lego-klodser – eller bare tænde lyset og undgå smerten.
Derfor er det personligt
Jeg har set nok virksomheder (og kommuner og endda hospitaler) lade som om, at det her er "en andens problem".
De tror, at hybridkrig er noget, NATO-generaler bekymrer sig om, hvilket er så forkert, som det kan være.
Det er noget, din egen it-administrator bekymrer sig om klokken to om natten, når virksomheden bliver ramt af ransomware, og det eneste, der stadig virker er kaffemaskinen og lyset i køleskabet.
Den geopolitiske situation er i øjeblikket kaotisk. Nationale og "kapable aktører" – for at bruge en vending, der går igen i disse dage – går målrettet efter forsyningskæder, logistik og forsyningsselskaber – ikke fordi de bekymrer sig om din virksomhed, men fordi det skaber kaos at lægge din virksomhed ned.
Og kaos har alle dage været et effektivt våben i krigsførelse. Så jo, det handler faktisk om dig.
Hold op med at lade som om
Den ubehagelige sandhed er, at hvis din sikkerhedsstrategi kun er reaktiv, gambler du med din egen og virksomhedens sikkerhed.
Hvis du kun udfører pen-tests, gambler du stadig - bare med dyrere terninger og dårligere odds.
Derfor er kompromisvurdering det eneste, der gør sikkerheden proaktiv og fortæller dig, hvor du er svag, før andre finder ud af det på den hårde måde.
Den hårde sandhed er, at der i hybridkrig ikke uddeles medaljer til dem, der har et SOC. Enten overlever du angrebet - eller også gør du ikke.
Så hold op med at lade som om MDR og SOC er nok.
Hold op med at lade som om pen-tests to gange om året gør dig sikker. Og stop med at lade som om det er de andres problem.
Klummer er læsernes platform på Computerworld til at fortælle de bedste historier, og samtidig er det vores meget populære og meget læste forum for videndeling.
Har du en god historie, eller har du specialviden, som du synes trænger til at blive delt?
Læs vores klumme-guidelines og send os din tekst, så kontakter vi dig - måske bliver du en del af vores hurtigt voksende korps af klummeskribenter.
