Nye grep for sikkerheten

Nye grep for sikkerheten

Få selskaper har fått så mye tyn for sikkerheten som Microsoft. De siste årene har ikke bare vært en gedigen innsats for å komme ut av dette, det har også gitt nye forretningsområder.

De halvårlige sikkerhetsrapportene fra Symantec og andre sikkerhetsselskaper og Microsoft sin egen SIR-rapport bekrefter at giganten har oppnådd mye innen sikkerhet de siste årene. Etter hvert som plattformen til selskapet har fått herdet seg, er truslene flyttet. Applikasjoner og web er ny arena for angrep. Der har leverandører som Adobe erobret toppen av sikkerhetsproblemer for sine applikasjoner.

Bakgrunnen er snart ti år med innsats for å fikse et elendig sikkerhetsomdømme. Og man skal ikke være særlig dypt inn i it før dette brukes for det det er verdt av konkurrenter og deres tilhengere. Resultatene av sikkerhetsinnsatsen er nok av og til uventet og litt uønsket for giganten.

Som at Windows XP fortsatt er ansett som mer sikker og bedriftsvennlig enn Vista. Eller endringer i adferden til skadevareprodusentene. Når operativsystemene er sikrere, flyttes angrepene til svake applikasjoner og lavkompetent brukeradferd. Men om en applikasjon ryker så det smeller så vil det være navnet man ser under oppstarten som får skylda.

Opphavet til endringen var et par stygge angrep i starten av årtusenet. I 2002 etablerte selskapet Trustworthy Computing (TwC) som basalt produksjonsdirektiv for sikkerhet i produktene. To år senere var Secure Development Lifecycle (SDL) på plass, et kodekvalitetssystem for it-sikkerhet svært lik kvalitetsmetodikken som er i itil-systemer. SDL har seinere ført til viktige sertifiseringer som ISO 27001 og SAS-70.

Med finkryptert script

Windows 7 kom for et år siden og er i sin helhet et produkt av moden SDL. Operativsystemet er ansett å være den store avløseren til begge forgjengerne, spesielt i bedriftsmarkedet.

- Et år etter lanseringen er det kryptering av innhold som har vist seg å være svært populært. En viktig, men sterkt kritisert sikkerhetsfunksjon som brukertilgangskontrollen i Vista ser også ut til fungere bedre for Windows 7, forteller Olav Tvedt som jobber for Microsoft i Norge.

Den største utfordringen ser ut til å være nøkkelhåndtering og lagring. Den gamle regelen om at kryptering først forutsetter backup, så backup og så vite hva man gjør er ikke den store utfordringen lenger. Nå er sikker oppbevaring av krypteringsnøkler den største utfordringen. Spesielt å unngå å miste dem om usb-pinner kommer på avveie. Det enkleste er å ta i bruk AD.

Interessant nok er brukertilgangskontrollen som kom og fikk grundig med pepper i Vista ikke lenger en utfordring. Dette skyldes både at virkemåten er litt mer dempet, men også at programmering av applikasjoner og drivere ikke lenger gjør unødvendige kall til sikre områder i operativsystemet. Der kreves administrasjonstilgang og mye dårlig programmering drev enkelte brukere fra vettet.

- Det ser ut til at overgangen til 64-bits-versjonen også hjelper. Siden 64-bits-plattformen krever godkjenning av drivere fra Microsoft starter leverandørene med å levere samme sikkerhet i 32-bits siden det ikke har noen hensikt med to løp, understreker Tvedt.

Enterprise