Sikkerhet: Hvor er synderen?

Security guards working in surveillance room

Innbrudd? Reaksjonen er spontan: Steng ned, finn synderen, og jakten er i gang. Vel og bra, men i vår digitale hverdag er sjansen for 'innbrudd' beskjeden i forhold til sjansen for 'utbrudd' – lekkasjer og skadeverk. Likevel er det innbrudd - og eksterne syndere - vi ser etter ...

Tradisjoner sitter hardt. Selv digitale tradisjoner – som ikke har rukket å bli gamle, men som like fullt har gått ut på dato. For eksempel fokuseringen på innbrudd. Som henger sammen med tradisjonelt 'kringvern'. Gjerder, brannmurer, filtre, intrusion detection og så videre. Vi har vært der før, og blir stadig overrasket over hvor hardt det sitter. 

En CSO vi kjenner gikk forleden så langt som til å spørre - retorisk - om vi trenger en ny generasjon medarbeidere for å bli kvitt gammeldags og ineffektiv sikkerhet. I betydningen 'yngre mennesker med en annen innstilling'. For oss som har vært med en stund, smaker det vondt. 

Poenget er innstillingen. Innbrudd var forrige århundre. Begrepet sender oss i feil retning, gir feil assosiasjoner. Ikke nødvendigvis spesialistene, men resten av verden. I en digital virkelighet er innbrudd uinteressant, avvik er interessante. Fordi innbrudd skjer sjelden, avvik skjer hele tiden. Finner vi avvik, finner vi også innbrudd - og et kobbel av andre digital-kriminelle aktiviteter. Det motsatte er ikke tilfelle. 

Avvik indikerer unormal aktivitet. Noen ganger med god grunn, andre ganger mistenkelig. Derfor er avvik hovedfokus i alt defensivt sikkerhets-/forsvars-arbeid. Ingen nyhet, mange av oss har jobbet med anomaly detection og beslektede aktiviteter i mange år. Men i det skjulte. Når vi kommer ut av kokongen og skal kommunisere med resten av verden, inklusive de som 'sitter på pengesekken', faller vi tilbake på gammeldagse bilder – i den tro at det er hva som skal til for å skape forståelse. Vi oppnår ofte det motsatte – og undervurderer vårt publikum. Ved å vedlikeholde gamle bilder - om aldri så enkle å forstå – signaliserer vi stillstand. At vi kjemper omtrent de samme kampene som i fjor og i forfjor. Stort lenger fra sannheten kommer vi ikke. En forspilt mulighet til å skape forståelse for både utfordringene og dynamikken.  

Digital sikkerhet er ikke det eneste området som lider under slik 'underkommunikasjon' og 'underforståelse'. Derfor var det befriende å overvære PSTs gjennomgang av Norges trusselbilder forleden. En sjelden samling tydelige bilder, klare meldinger og utvetydige advarsler. Her har store deler av segmentet noe å lære. Si det som det er, bruk bilder, men velg nye bilder og bytt dem når de ikke passer lenger. 

Skiftet fra det ekspertene kaller 'indicators of compromise' til 'indicators of behaviour' har 'ulmet' i flere år og ble for alvor synlig i 2020. Forskjellen mellom dem er større enn begrepene ved første øyekast avslører. Den første er reaktiv (tradisjonell), den andre er proaktiv, gir oss en sjanse til å være i forkant, stoppe en hendelse 'i emning' i stedet for å reparere og rydde (damage control) i etterkant. Det vil vi ha, men det koster mer enn å bytte teknologi: Holdninger og innstilling i et helt segment skal oppdateres.

Det haster. 'Ting tar tid' gjelder ikke når virkeligheten forlanger umiddelbar respons. Dessuten - og her er den positive 'nyheten': Sikkerhets- og forsvars-regimer basert på avviks-deteksjon og 'indicators of behaviour' forenkler eller eliminerer mange tradisjonelle og nå mindre effektive mekanismer - og holdninger. Som at 'det er viktig å sikre alt'. Eller at penetration testing er vitalt for dokumenterbar sikkerhet.

Mens ransomware-angrep seiler opp som vårt mest akutte trusselbilde, er robusthet vårt viktigste mål. Riktig robusthet skapes av pragmatisme og prioritering – og dekker ikke bare forsvars-/sikringstiltak, men evnen til å reise seg når noe inntreffer – inklusive ransomware. For perfekt forsvar, perfekt sikkerhet får vi aldri. Men tilfredsstillende robusthet kan vi bygge. Da leter vi ikke etter innbrudd og syndere, men etter avvik og sårbarheter. Og tester kontinuerlig. Ikke pen-testing, men test av evnen til å reise oss etter et fall.

Legg igjen kommentar

Dette nettstedet bruker Akismet for å redusere spam. Lær om hvordan dine kommentar-data prosesseres.