Mark Nunnikhoven
Mark Nunnikhoven på Trend Micro varnar för att enklare gamla attacksätt ofta fortsätter att fungera länge. Foto: Lars Danielsson
Vad beror det på att säkerhetsfrågorna blir allt svårare att hantera för it-lösningar? En bidragande orsak är med all säkerhet (!) att allt fler aspekter lyfts fram av säkerhetsföretag, experter och kunder. Alla verkar vara överens om att det inte längre räcker med antivirusprogram och en brandvägg.


Kolla utgående trafik

Att Mark Nunnikhoven som är ansvarig för molnrelaterade lösningar på säkerhetsföretaget Trend Micro pekar på molnet som ett svar är inte så överraskande:

– Det är en utmaning att molnet medför ett lager till, och nya aktörer. Det är svårt att förstå vad det innebär, säger Mark Nunnikhoven.

Han konstaterar att det är allmänt känt att en it-säkerhetsarkitektur som bygger på traditionella antiviruslösningar inte längre håller, även om sådant skydd behövs också. I stället nämner han två andra strategier:

– Det gäller att undersöka utgående trafik från det egna nätverket, att kolla vart den går, och att analysera hur olika system beter sig. Sedan får man analysera kombinationer av olika typer av mönster, inte minst med avseende på dem som skapar skadlig kod.

Läs mer: Microsoft ändrar sig – omdebatterade ”do not track” blir inte standard

Hans förhoppning är att gapet mellan de som skriver skadlig kod och företagen som försöker skydda sig mot den ska minska. Men det finns ett antal saker som talar emot det, en är att tiden i sig inverkar på ett negativt sätt.

– Riktigt avancerade attacker fungerar oftast bara en gång, men enklare gamla attacksätt fungerar gång på gång. Skälen bakom attackerna skiljer sig åt, men ofta används likartade verktyg för att genomföra dem, säger Mark Nunnikhoven.

Olika skydd och ett team

Jesper Kråkhede som är ansvarig för cybersäkerhet på konsultföretaget Sogeti i Sverige är konkret när han beskriver hur säkerhetsarbete ska bedrivas: preventiva skydd, processmässiga frågor, reaktiva skydd och incidentteam. Med preventiva skydd avses till exempel antivirus och andra grundskydd, med reaktiva skydd att övervaka vad som händer och göra det möjligt att agera. Incidentteamet är ett specialteam som kan agera snabbt när en säkerhetsincident inträffar.

– Processmässiga frågor handlar om policys, riktlinjer och guider, förklarar Jesper Kråkhede.

Läs mer: Massiva säkerhetsproblem på toppsajter avslöjade

När de riktlinjerna är klara handlar det om att hitta kostnadseffektiva sätt att genomföra dem på. Kråkhede ger några enkla exempel:

– En policy kanske utmynnar i ett beslut om att lösenord ska innehålla minst 15 tecken. Därefter gör man en säkerhetsarkitektur som tar fram möjliga lösningar som tar hänsyn till både ekonomi och säkerhet. Denna arkitektur leder kanske sedan till att man löser detta enklast i Active Directory.

Skydda, upptäcka och agera

Stefan Lager är teknikchef på säkerhetsföretaget Coresec. Han beskriver it-säkerhet som en tredelad konstruktion: att skydda mot hot, att upptäcka hot, och att agera mot hoten med hjälp av verktyg, processer och människor. Det är mycket viktigt att inte bara satsa på att stoppa attacker, utan även på att upptäcka infekterade maskiner.

– Jag tror ett problem är att många lagt hela säkerhetsbudgeten på skyddsfunktioner. Givet en viss budget kan det vara klokt att dra ner på skyddsbiten, för att kunna investera i verktyg och kompetens för att hitta och åtgärda infekterade maskiner, säger Stefan Lager.

Läs mer: Källarlabbet som ska få scada att vålla mindre skada

Den enda rimliga slutsatsen av de tre experternas funderingar är att it-säkerhet är ett mångfasetterat område, vilket knappast är en nyhet. En lärdom att dra är att en it-säkerhetslösning inte bör vara endimensionell, det håller inte att betona en säkerhetsaspekt på bekostnad av andra.

Fakta

En bra säkerhetsstrategi bör innefatta följande tre aspekter:

  • Verktyg.
  • Processer.
  • Människor.