Sikkerhetshermetikk

Sikkerhetshermetikk

Enkle, kraftige, litt mystiske og ikke minst mange. "Security appliances" tilbyr det meste innen sikring av bedriftens datasystemer.
Antivirus, antispam, brannmur, innbruddsoppdagelse, innbruddforhindring. Dette er bare noe det finnes sikkerhetsbokser for. "Security appliances" på engelsk. De kommer i mange prisklasser, med forskjellige oppgaver. Og farger. Men de har til felles at de er lukkede og proprietære.

De skal være det; hensikten er at de skal håndtere komplekse oppgaver samtidig som de skal være enkle å administrere. Gjerne via web-grensesnitt. Boksene er spesialiserte for sine oppgaver; det skal ikke kjøres noen andre oppgaver på dem.

Men det er ingen hemmelighet at de ofte er basert på alminnelig maskinvare og at de selvsagt har et operativsystem. Gjerne Linux eller en BSD-variant som er strippet for unødvendig funksjonalitet og spesielt sikret. "Herdet", heter det gjerne.

Så hvorfor ikke installere sikkerhetsprogrammer på vanlig maskinvare med ordinære operativsystemer? Som alltid når det gjelder datasikkerhet blir det en avveiing. Kompetanse er ett stikkord. Enkelhet et annet. Som antallet bokser, er også meningene mange.

Sikkerhetsservere

Arnfinn Roland er teknologisjef i det norske Watchcom Security Group. Watchcom har tjenester og løsninger innen it-sikkerhet, og leverer blant annet sikkerhetsløsninger fra Symantec. Roland mener det er vanskelig å finne ulempene ved å kjøpe en ferdig sikkerhetsboks.

-- Vi kaller det gjerne sikkerhetsservere. De gir kunden enklere administrasjon, for uansett boks er det gjerne web- eller javagrensesnitt. En viktig fordel er at kunden kan forholde seg til én leverandør. Om du har en brannmur på en Windows 2000 Server, hva gjør du når noe går galt? Er det maskinvaren, operativsystemet eller sikkerhetsprogramvaren, spør Roland.

Om det verste skulle skje, at boksen ikke lenger virker, er den enkel å erstatte. Roland mener det er lett og raskt å ta backup og like enkelt å gjenopprette. Så er det vel en drømmeboks for små- og mellomstore bedrifter?

-- Joda, men de løsningene vi leverer er for de større bedriftene, svarer Roland. Han viser til at de fleste aktørene også retter seg inn mot smb-markedet, men at også større bedrifter benytter sikkerhetsbokser.

-- Vi jobber med løsninger som jobber sammen med andre enterprisesystemer. Gjerne slike som kan administreres i samme konsoll, eller et som ligner. Mye handler om å gjøre hverdagen enklere for it-sjefene, som tidligere hadde store it-avdelinger og som nå er mer eller mindre alene med ansvaret.

Egen kompetanse

Roland mener det er bra for de som ikke har mye intern kompetanse å kunne kjøpe gode sikkerhetsløsninger i en boks. Det dreier seg stort sett om veldig bra utstyr uansett leverandør.

-- Ting skjer i et enormt tempo i denne bransjen, og alle jobber iherdig for å lage gode løsninger. Vi forhandler løsninger fra Symantec, og mener de gjør en god jobb med å forenkle sikkerheten for brukerne. Ideen er å forenkle. Enkelhet er ofte bedre sikkerhet. Jo mer komplekst, jo vanskeligere kan det bli å sikre, sier Roland.

Hvis Roland skal anbefale en vei i jungelen, peker han på at det er fornuftig å sjekke at den enheten som vurderes er oppgraderbar. Den skal gjerne fungere i mer enn ett år, og i sikkerhetsverdenen er det lang tid. Men det viktigste er kanskje at du stoler på leverandøren.

-- Kjenner du ingen, be om anbefaling fra nærmeste sikkerhetsfirma. Det er ekstremt sjelden at noen forsøker å overselge i denne delen av bransjen. Det er marginale forskjeller i funksjonalitet. Det vi konkurrerer på er service og hvor raskt vi stiller opp. Det spiller ikke så stor rolle hvilken løsning du har, men hvem som hjelper deg når uhellet er ute, sier han.

Ikke alltid best

Tønnes Ingebrigtsen leder Mnemonic, som han hevder er størst på it-sikkerhet i Norge. De har 50 ansatte og vil i år omsette for over 100 millioner kroner.

-- Jeg vet ikke helt om jeg er rette mann å spørre om bokser. Våre kunder er gjerne større bedrifter og de etterspør fortsatt mye spesialtilpasning. Programvare på generelt utstyr fungerer bra, og ser ut til å gi mest til våre kunder.

Ingebrigtsen peker på at det ikke alltid er billigst å kjøpe en ferdig boks. Flere av dem koster mange hundre tusen kroner.

Men han er ikke imot sikkerhetsbokser som sådan. På områder som SSL-VPN, lag-7-svitsjer og IPSer er de nærmest enerådende, mens særlig Nokia med CheckPoint på har en betydelig markedsandel for brannmurer.

Ingebrigtsen mener at klassisk "feature"- eller "brosjyresalg" i liten grad forekommer innen sikkerhetsmarkedet slik han kjenner det.

-- Våre kunder er i stor grad profesjonelle, slik at konkrete løsninger gjerne er resultatet av samarbeid og dialog mellom leverandør og kunde.

Velg standard

Daglig leder Erling Schackt i Gateway Security leverer også sikkerhetsbokser, men hevder at kunder som kan velge foretrekker å anskaffe sikkerhetsløsninger som kan installeres på standard maskinvare.

Trenden de siste par årene er ifølge Schackt at sikkerhetsbokser selger i smb-markedet, mens de større bedriftene stort sett ikke vil ha dem. Ni av ti velger løsninger med programvare som installeres på standard maskiner. Men Schackt mener at sikkerhetsboksene har sin misjon hos kunder som ikke har intern kompetanse.

En positiv egenskap han trekker frem ved sikkerhetsboksene, er at de ofte har enkel distribusjon av programvare. Det er også bokser som er utstyrt med akseleratorer og annen funksjonalitet i maskinvare.

-- Jeg er ingen motstander av slike bokser; vi selger bokser i bøtter og spann til avdelingskontorer, for eksempel. Men det er mer sjelden å se dem i sentrale løsninger fordi de koster mye penger, og fordi it-avdelingene vil ha bedre kontroll på patcher og fikser.

Like enkelt

Schackt sier at det er like enkelt å sette opp en Checkpoint-løsning på standard maskinvare som å sette opp en sikkerhetsboks. Det tar rundt tyve minutter fra du setter inn cd-en til løsningen er oppe.

-- Boksene blir relativt mye dyrere enn standard maskiner. Dessuten får du et ledd til når det gjelder patcher og fikser. Om Checkpoint lager en patch, skal kanskje leverandøren av boksen teste den før den kan legges inn. Det fører ofte til at patcher må hoppes over.

Schackt erkjenner at sikkerhetsbokser gjerne er enkle å administrere, men mener at det ikke er noen grunn til at ikke den samme programvaren skulle kunne være tilgjengelig på standard maskinvare.

-- De som leverer programvaren sin både i egen boks og for installasjon på standard utstyr ser at salget av de dedikerte boksene går tilbake.