Slik må du tenke sikkerhet
Pass deg for APT og hackende land. Og lær av banknæringen.
LONDON/OSLO: Teknologidirektør i RSA, Sam Curry, vil ikke spå hva de største sikkerhetstruslene blir i 2012.
- Hvis jeg kommer med en spådom som stemmer, vil selskapene ta grep for å unngå dem. Men skurkene vil også velge andre angrepsformer.
Han kan derimot uttale seg om hva trendene er akkurat nå, blant annet at skurkene går etter angrepsmålene som gir mest pengemessig avkastning. På forbrukernivå er det fremdeles hett å få fatt på bankinfo, via minibanker og nettfiske, men også via sms-fiske (smishing) og tale-fiske (vishing).
- Det handler om hvor mye penger de får; antall ofre og antall penger per offer, sett i forhold til suksessrate. Innovasjonsraten er høy, risikoen relativt lav.
Dette er ganske forutsigbart. Såkalt «Advanced Persistent Threat», APT, er mindre forutsigbart, og er en trend bedriftene bør passe seg for. I APT bruker nett eller telefonen for å få en fot innenfor et bedriftsnettverk.
- På de forutsigbare truslene handler det ikke om å løpe fortere enn bjørnen, men om å løpe fortere enn fyren ved siden av deg. Når det gjelder APT må du faktisk løpe fortere enn bjørnen.
Hack the Human
Målet for APT er i bunn og grunn penger, men skurkene trenger ikke nødvendigvis få fatt på fysiske penger for å være fornøyde. Om de for eksempel får fatt på skissen til det nye jettflyet til Boeing, kan de tjene penger på andre måter.
For hvorfor drive med forskning og utvikling når du kan stjele konkurrentens produkt? Typiske mål er militæret, industriselskaper og kritisk infrastruktur.
- Det er menneskene i bedriftene som er de beste målene for skurkene nå. Det er ikke som i filmen War Games, der datamaskiner hackes. Dagens skurker tenker ikke slik lenger.
- Fordi du vet at noen vil falle for det, må du alltid anta at du på et tidspunkt vil få en inntrenger i nettverket. Da må du vite hva inntrenger gjør ved å oppdage unormal nettverksaktivitet, skyter Currys kollega Uri Rivner inn.
- Sikkerhetsbrudd skjer ikke i det øyeblikket du blir kompromittert. Det er en progressiv serie av eskalering. Klokken tikker, men du har litt tid. Du kan også bruke verktøy som begrenser muligheten sikkerhetsbrudd, for eksempel sterk fysisk sikring, eller verktøy for å gjøre at angriperen bruker lenger tid, så du selv får tid til å etterforske og identifisere fienden.
Nasjoner: En plausibel fiende
Curry mener det er ikke utenkelig at akkurat din bedrift kan være et hackermål for andre nasjoner. Og det er stor forskjell på om skurkene er ute etter deg av finansielle årsaker eller om en nasjon er ute etter deg av politiske årsaker.
- Det er en helt annen spillteori. Om en nasjon vil ha tilgang til dine data vil de sende kommandosoldater, kidnappe deg, kidnappe familien din, stjele datamaskinen din fra bilen eller hacke deg, sier Curry.
Asymmetrisk krig, kaller han det: Muligheten til å bekjempe fiender som er farligere enn deg selv, uten å gi dem grunn til å gå til krig.
- Når to parter satt ved bordet og ikke ble enige i gamle dager, var det få muligheter. Det var egentlig bare krig eller hemmelige militære operasjoner. Du er rimelig dum som nasjon om du ikke hacker. Det er sikkert rundt 40 nasjoner og relaterte organisasjoner som hacker. Hacking er den beste og eneste måten å gjennomføre en anonym handling på, som gir effekten av å gå til krig uten at du blir angrepet tilbake.
Rivner bekrefter at hackende nasjoner er noe å passe seg for.
- Og det er ikke lenger bare «the usual suspects» som USA, det er også mindre og mindre nasjoner som hacker. APT handler om å stjele hemmeligheter, og hemmeligheter om gruveselskaper kan for eksempel være en gullgruve for enkelte nasjoner.
Hackingen kan også gi en effekt som får konsekvenser i den virkelige verden, som med Stuxnet. Problemet oppstår om nasjonen blir oppdaget og avslørt.
- Blir det øye for øye? Eller er det slik at hvis du hacker meg, invaderer jeg det militært? Kan jeg bevise at du hacket meg? Dette må det bli en ordning på. Når blir hackingen til et angrep?, spør Curry.
Mobilitet tar helt av
Curry sammenligner trender med bølger. Noen er lange, men ikke spesielt høye. Andre er korte og høye. For eksempel ser han på nettskyen som en lang bølge i medium størrelse som endrer hele vårt syn på it-landskapet og måten vi ser sikkerhet på. Virtualisering ser han på som en kort bølge.
- Men mobilitet er en tsunami. Den treffer stranden med et smell og endrer dramatisk i både privatliv og arbeidsliv.
Her er det også mange ledd som skal spille på lag for at sikkerheten skal være på topp. I bunn er det enhetens sikkerhet, enhetens integritet. Oppå ligger teleoperatørene. Så kommer bedriftens systemer oppå det igjen, via data og transaksjoner. Kun når bra sikkerhet er på plass i alle ledd kan sluttbrukeren utføre konfidensielle transaksjoner.
- Det står ikke så bra til på denne fronten nå. Utviklingen på sikkerhetssiden ligger fem år bak tradisjonell it. Industrien må komme med sitt svar. Og telekomoperatørene må virkelig tenke gjennom sine nettverk, sier Curry.
Han tror ikke bedrifter er modne for konsument-tankegangen ennå, det som ofte blir kalt «bring your own device».
- Jeg hadde elsket å se en verden der jeg kan ta ethvert valg jeg ønsker. Men det er vanskelig, det kommer til å ta tid og det vil trolig oppstå sikkerhetsbrudd. Det er en god visjon, også innad i RSA, men vi er ikke der ennå, sier Curry, og viser frem sine to telefoner – en privat og en brukt i RSA-sammenheng.
Mobilen er dog i ferd med å bli altoppslukende, påpeker han.
- Den har trådløsnett, nærfeltskommunikasjon, blåtann – alt. Min har til og med to prosessorer. Og mer ting vil komme til. Mobilene vil etter hvert bli så små at de vil forsvinne. Og da havner alt i skyen.
Lær av bankene
Rivner mener sikkerhetssjefene må tenke nytt nå.
- Hvis nåværende sikkerhet ikke holder, må man tenke nytt. En ny forsvarsdoktrine. Det som er nytt nå, er at sikkerhet har kommet seg opp på styrenivå.
RSAs forslag er firetrinnsrakett: Kjemp mot, oppdag, etterforsk og nettetterretning. Med hovedvekt på oppdagelse og etterforskning. Du må for eksempel ta rede på hva som faktisk har blitt stjålet.
En næring som gjør det bra i sikkerhetsverden for tiden, er finansbransjen.
- Våre data viser at året i år trolig er første gang finansnæringen har klart å holde styr på situasjonen. Til tross for ting som sofistikerte trojanere har de god strategi på plass. Mange er fakket, sier Rivner.
- Det handler ikke om sikkerhet, det handler ikke om unngåelse, det handler om Risk Managment. Systemene de har for å oppdage nettsvindel fungerer faktisk.
Det finansnæringen har klart å få på plass er nettetterretning gjennom Ekrim-team. I tillegg deler de informasjon seg i mellom, på tvers av konkurrerende virksomheter.
- Deling av data om dette er viktig. Bankene gjør det, bedriftene ikke. Men det vil bedriftene gjøre også innen fem år. Det vil også komme systemer for automatisk deling av data.
