Insecure in Security – ”Värdera inte sårbarheter efter media, värdera utifrån dig själv”

Insecure in Security publiceras varannan vecka och återger och analyserar säkerhetsincidenter som ägt rum. Författaren av bloggen är James Tucker som är säkerhetsexpert inom området nätverkssäkerhet och arbetar på Intel Security i Sverige.

Veckans sammandrag handlar om Shellshock och sårbarheter

Värdera inte sårbarheter efter media, värdera utifrån dig själv
I förra veckan exploderade hela internet av nyheten om Shellshock, som på många sätt är värre än Heartbleed. Sedan dess har experter åkt skytteltrafik in och ut i media för att antingen tona ner hotbilden eller blåsa upp den återigen. Men det här är inte en artikel om Shellshock, eller hur orolig du bör vara. Det här är en artikel som handlar om sårbarheter i allmänhet, och specifikt nästa runda av sårbarheter som garanterat kommer att komma.

För med varje ny sårbarhet upptäckts ofta ett flertal nya sårbarheter som ett resultat av ökat allmänintresse och ökat intresse från säkerhetsexperter. När ett program, ett protokoll eller en tjänst visar sig ha ett problem, finns det ganska ofta flera sårbarheter som upptäcks runt det. Så även om du har patchat ditt system så är risken stor att nya sårbarheter upptäckts och du måste patcha systemet igen. Det blir ofta som att börja dra i en liten tråd, och snart har man nystat upp hela tröjan.

Men jag vill prata om det som sker i skymundan, för i skuggan av den senaste medialt uppmärksammade sårbarheten har garanterat ett fyrtiotal gått helt obemärkta förbi. Missförståndet som uppstår är att de som media lyfter är allvarligare än de som inte lyfts men inom just IT-säkerhet så handlar det om att vara lite egocentrisk, tänka på sig själv. Media lyfter svagheter som påverkar extremt många eller som kan påverka slutanvändaren allvarligt med driftstörningar och liknande. Och det är förstås inget konstigt med det, så fungerar mediadynamiken och allmänintresset.

Men hur är det med den där sårbarheten som just berör den version av Linux du har installerad på din server, eller just den versionen av mailserver du har? De här svagheterna kanske inte platsar på en löpsedel men skadan mot dig och din verksamhet kan vara förödande. Här är nyckelordet onekligen ”dig”.

Som hockeynörd så kan jag inte låta bli att illustrera det här med en sportreferens. När det går bra för Washington Capitals så får de en mängd nya fans med sina helt nya hockeyjerseys,  fler talar om dem och det kan helt plötsligt kännas som att just Washington Capitals är det enda laget i NHL som spelar roll. Men när laget börjar förlora igen så försvinner dessa fans snabbt. Ett "riktigt" fan, precis som en "riktig" säkerhetsexpert, är där för nästan varje match. Samma logik kan överföras på uppmärksammade sårbarheter.

Så hur kan du som säkerhetsansvarig hålla dig uppdaterad om vilka sårbarheter som upptäcks när det svenska medialandskapet inte riktigt räcker till?

Jag må vara sist in i matchen men jag måste ändå rekommendera Twitter varmt. Även om man inte tycker att sociala medier är ens grej kan man endast använda Twitter som en nyhetskanal för att få snabba uppdateringar, ofta långt innan det når andra kanaler. Du har den perfekta blandningen av expertutlåtanden, analyser och till och med möjligheten att ställa frågor.

Några förslag på konton att följa:

1. @briankrebs – Krebs är journalist och en legend inom IT-säkerhetssfären
   
2. @Bruce_Schneier – Alltid grymma insikter om nya problem, mycket tankeväckande
   
3. @redditnetsec – Ett konstant flöde från Reddits NetSec community.
   

Det är svårt att välja några få av de hundratals som finns till ens förfogande på Twitter. Men Twitter ger dig även möjligheten att följa nya trender inom IT-säkerhet genom att följa hashtags som #InfoSec, #vulnerability eller mer specifikt som då till exempel #Shellshock.

Varje säkerhetsansvarig bör ha några webbplatser där de får uppdateringar om nya sårbarheter men om du mot förmodan inte har någon av dessa sidor som din startsida så får du några förslag här:

1. http://threatpost.com – Bra innehåll och de är snabba med att få upp nyheter.
   
2. http://www.theregister.co.uk/security/ - Om du kan bortse från den knastertorra tonen så är det en väldigt användbar källa.
   
3. https://isc.sans.edu/ - The internet Storm Center.
   

Slutligen så kan jag varmt rekommendera att delta på ett eller två it-säkerhetsevents om året. Jag var förra veckan på Next Generation Threats (nextgenerationthreats.se)  som utöver intressanta och inspirerande talare även huserade en mängd IT-säkerhetsansvariga. Det är alltid intressant att byta råd och tips, diskutera nya utmaningar och surt muttra över shadow-IT och BYOD som allt som oftast ställer till det för IT-avdelningen.