Insecure in Security – ”Dags att omdefiniera säkerhet på djupet”

Insecure in Security publiceras varannan vecka och återger och analyserar säkerhetsincidenter som ägt rum. Författaren av bloggen är James Tucker som är säkerhetsexpert inom området nätverkssäkerhet och arbetar på Intel Security i Sverige.

Veckans sammandrag handlar om Security Connected

Dags att omdefiniera ’säkerhet på djupet’
En av de mer intressanta sakerna med att arbeta på Intel Security är för mig vår strategi kring Security Connected. Vi har idag lösningar för de flesta situationer; IPS, NGFW, Web Gateway, Sanboxing, SaaS, Host based IPS och Antivirus, för att nämna några. En bred produktportfölj är härligt att ha för att hjälpa en kund med deras säkerhetsutmaning. Men det adderade värdet som Security Connected kan ge är dock ett riktigt ess i skjortärmen.

Tanken med Security Connected är att varje produkt ska samarbeta och agera som en del av en övergripande säkerhetsstrategi. För att uttrycka mig lite plumpt så leder säkerhet i silo ofta till säkerhetsincidenter. Att alla säkerhetslösningar i ditt nätverk talar med varandra ger en ökad säkerhet och överblick.

Låt säga att du har en McAfee IPS lösning (NSP) och den identifierar en ny typ av hot. Här kan man självklart konfigurera lösningen till att vara på vakt så snart något verkar vara skumt och blockera allt som kan vara ett hot, men det är inte optimalt. Låt oss istället skicka hotet till Advanced Threat Defense för en sandbox-analys för att få mer information om filen. Därefter kan IPS:en ta ett mer informerat beslut om filen ska blockeras eller tillåtas. Security Connected slutar dock inte här utan all information som samlats om filen skickas ut via Data Exchange Layer (DXL) till en annan del av Security Connected infrastrukturen – Threat Intelligence Exchange (TIE). TIE-servrar är en lokal, hotinformationsresurs som delar informationen vidare med andra produkter som stödjer DXL-protokollet. Det är inte ovanligt att en riktad attack har ett flertal vägar in i ditt nätverk där ytterdörren, i form av brandväggen, bara är en av dem.

Kom ihåg att detta är en helt ny form av malware, så det finns inga signaturer eller filrykten. Eftersom IPS redan har sett filen och ATD redan analyserat det, kan antivirusmotorn utnyttja denna information och blockera filen. Dessutom kan filen tas bort från alla endpoints i organisationen så när som omedelbart.

Eftersom vi kan dela denna information kan vi direkt blockera flera vägar för en malwares inresa. Kanske skickas filen även som e-post, eller via en fildelningssida? McAfee Email eller Web Gateway kan även de nyttja informationen som redan analyserats av ATD. Kort sagt, Security Connected och DXL är grymt! Men det är inte meningen att det här blogginlägget ska vara en reklamtext, utan det handlar snarare om att omdefiniera säkerhet på djupet.

För när jag demonstrerar Security Connected för kunder så hamnar jag allt som oftast i en diskussion om vad ’säkerhet på djupet’ betyder. För många som jag har träffat så handlar det om att använda sig av ett flertal leverantörer av säkerhetsprodukter. De menar att detta gör det möjligt att någon av leverantörerna upptäcker ett hot. Enligt den principen så kan man säga desto fler leverantörer – desto högre säkerhet. Den slutsatsen är i sig logisk, när ett nytt hot introduceras till marknaden kommer någon av leverantörerna att identifiera och analysera det först. Med ett större hot tar det runt en dag för någon av säkerhetsleverantörerna att analysera hotet och uppdatera deras säkerhetsprodukter utifrån det. Med en sandbox-miljö är det här dock mindre viktigt då du inte behöver specifika signaturer för att identifiera hotet – det gör ditt nätverk åt dig. Men det är inte anledningen till varför jag inte delar den här definitionen av säkerhet på djupet.

För även om det låter som en bra idé att välja ’best of breed’ för varje säkerhetssilo så kan det inte mätas med säkerhetsfördelarna du får när separata säkerhetslösningar arbetar tillsammans, delar information och uppdaterar varandra i realtid. Om du som jag, brukar läsa Verizon DBIR så känner du till faktan som styrker mitt påstående. I de flesta säkerhetsincidenter så har någon del av säkerhetsinfrastrukturen varnat, men antingen var det ingen som granskade loggarna eller så hamnade informationen hos fel person. Nätverksansvariga kan ha nytta av information från endpoints, och vice versa. Nu kanske du tänker – Jim, vi har ju SIEM! Och det bör du ha, men majoriteten av SIEM-lösningarna meddelar dig bara om ett hot och blockerar det inte över hela infrastrukturen.

Så det är dags att ändra definitionen av ’säkerhet på djupet’. Det handlar inte om mängden (eller djup om du så vill) av säkerhetsleverantörer i ditt nätverk utan snarare om hur dessa lager av säkerhet kan arbeta som en samlad entitet. Som jag skrivit om tidigare så handlar säkerhet om teknik och processer. Security Connected är en teknologi, men den stödjer och förenklar även processerna för att driva ett effektivt säkerhetsprogram.