Insecure in Security – ”Framtidsskådning eller Captain Obvious”

Insecure in Security publiceras varannan vecka och återger och analyserar säkerhetsincidenter som ägt rum. Författaren av bloggen är James Tucker som är säkerhetsexpert inom området nätverkssäkerhet och arbetar på Intel Security i Sverige.

Veckans sammandrag handlar om ett nytt IT-säkerhetsprojekt och möjligheten att se in i framtiden.

Framtidsskådning eller Captain Obvious
Jag läste i dagarna om ett spännande IT-säkerhetsprojekt som två forskare, Kyle Soska och Nicolas Christin, utvecklar. Lite förenklat kan man säga att det är en form av framtidsskådning där hackningsattacker kan identifieras innan de kommer att äga rum – ungefär som Minority Report fast för IT-säkerhet.

Den här funktionen är inte en traditionell säkerhetslösning utan det är en klassificeringsalgoritm som scannar av kod på en webbsida för att hitta svagheter som senare kan utnyttjas av en hackare. För att sätta upp algoritmen så har de testat den mot mer än 400 000 webbplatser och de letar efter information som vilken mjukvara servern har, vilka nyckelord som används, hur webbplatsen är strukturerad och en mängd andra variabler. Funktionen kan även uppdateras för nya hot och svagheter och den är testad mot svartlistade sidor. De kallar funktionen, eller verktyget för ”Classifier” och menar att den kan förutspå ett framtida hack inom ett år med 66 procent säkerhet, med en felmarginal på 17 procent. Det är inte illa det!

Men även om jag finner projektet imponerande så ställer jag mig samtidigt lite frågande till hur användbart det hela är. Det hela bygger ju på att identifiera svagheter och sedan, genom att följa attacker och svagheter på nätet beräkna hur troligt det är att den identifierade webbplatsen hackas. Även om det är intressant att analysera trender inom IT-säkerhet så bygger konceptet på en lite felaktig premiss. Jag jämförde det hela initialt med Minority Report, men när det gäller möjligheten att bli hackad så känner jag att verktyget snarare levererar Majority Report. Alla företag har någon svaghet, alla kan bli hackade vilket gör att tjänsten berättar det som de flesta CIO:er redan vet.

Det finns självklart situationer då en ny tjänst implementerats i ett nätverk och vissa svagheter som man inte beräknat med uppstår. Då kan det ju vara trevligt att få ett litet mail som berättar att missen existerar så man kan åtgärda den.

Jag ser dock ett flertal orosmoment med det här nya verktyget. Det ena är att CIO:er kan förlita sig lite väl på verktyget och sätta upp en acceptansnivå för hotbild. Alltså att dialogen i ledningsrummet ska bli ”vi har ju bara 27 procents chans att bli hackade vilket är helt acceptabelt, vi avvaktar med att förbättra säkerheten”. Det vill säga att säkerhetsarbetet blir reaktivt snarare än proaktivt och svagheter endast hanteras när de upptäckts av tredjepart.

För även om lovorden om framtidsskådning rungar fint i de flestas öron så handlar det fortfarande om just reaktiv syn på säkerhet där svagheter existerar, identifieras och sedan löses. Jag förespråkar en mer proaktiv syn där IT-säkerhet är en grundpelare i all typ av IT-investering. Från den lilla uppdateringen till de stora infrastruktursatsningarna.

Det här är ju inget nytt och för de flesta av er en självklarhet att proaktiva satsningar är bättre än reaktiva. Men i kölvatten av mjukvarudefinierade nätverk så händer det en hel del intressanta saker kring just proaktiv IT-säkerhet.

Bara för någon vecka sedan presenterade vi Intel Security Controller som just arbetar proaktivt, eller snarare i realtid med att förbereda nätverkets olika säkerhetsenheter för förändringar i IT-infrastrukturen.  Controller gör det möjligt att i virtualiserade nätverk implementera säkerhet som ett självklart steg i utvecklingsprocessen. Snarare än att applicera säkerhet som en eftertanke – ”Just det, vi kanske behöver skydda det här också!”. Det här görs även automatiskt så VMware-tekniker som startar en ny tjänst inte ens behöver fundera på säkerhet – det är redan inbyggt i den nya tjänsten så snart den är installerad.

Vad som än händer med Classifier så kommer jag att följa dess utveckling med stort intresse och verktyget har möjligheten att förbättra säkerheten hos mindre företag och privatpersoner genom att just meddela om eventuella svagheter.