Joshua Corman, az IBM vezető biztonságtechnikai stratégájának tollából született egy izgalmas feltáró cikk a biztonsági szoftverek és az antivírus piac 7 féltve őrzött titkáról.
A cikk alapfeltevése egyértelmű: a biztonsági piac célja elsősorban az, hogy minél több pénzt keressen, és ez alá rendelnek számtalan hazugságot, a felhasználók naivitásából, és a hozzáértés hiányából kiindulva.Röviden, saját véleményünkkel kiegészítve olvashatja a cikk fontos pontjait, ami közel sem szeretne egy hű fordítás lenni - az eredeti itt található.
A cikk szerint a 7 féltve őrzött titok pedig:
1. A kémprogramok mellőzése a vírusirtók összehasonlításából. A legnagyobb titok, hogy a vírusirtók nem ismerik fel a kémprogramokat, mert sokan csak az önmagukat replikálni képes vírusok felismerésével foglalkoznak, míg a terjedésre képtelen, de a fertőzések döntő többségét okozó trójaiakat mellőzik. Az üzleti környezetben jelentkező fertőzések 80%-át nem replikáló kódok, vagyis szigorú értelemben véve nem vírusok okozzák, ezért a hagyományos antivírus tesztek nem tudnak megbízható képet adni a védelmek működéséről.
Ezzel maximálisan egyetértünk. A kémprogramok és a trójaiak okozta fertőzések komoly problémát jelentenek, és sok vezető vírusirtó egyáltalán nem foglalkozik a kérdéssel, vagy csak nagyon alapvető módon - ha más is nyújt, akkor mi is - biztosít ellenük védelmet. A legtöbb vírusirtóban tulajdonképpen nincs különálló kémprogram védelem, az mindössze valaminek a része, a kibővítése. A Sunbelt VIPRE esetében valóban más a felállás: a CounterSpy kémprogram eltávolítóból származó adatbázis garantálja a színvonalas kémprogram védelmet, míg a CounterSpy különállóan, más vírusirtók kiegészítésére is elérhető.
2. Nincs határvonal. Ha még mindig hiszel a határvédelemben, akkor akár a Mikulásban is hihetsz. A határvédelemben sokan bíznak, arra építenek, hogy az átjárókra kihelyezett tűzfalak majd megoldanak minden lehetséges biztonsági problémát, pedig ez egy óriási tévedés. Pontosabban, határvonal létezik, de az csakis a felhasználó és a számítógép között lehet, maguk a végpontok alkotják a határvonalat. Vagy az üzleti folyamat, az információ maga lehet a határvonal. Fontos, hogy határozzuk meg, mit értünk ez alatt, mert a határvédelmek - perimeter security - csak nagyon korlátozott mértékben lehetnek hatékonyak.
Egyértelműen a legfontosabb a végpontok megfelelő védelme. A határvédelmeken számtalan módon átjuthatnak károkozók, elég egy fertőzött pendrivera gondolni. Persze vannak kivételek, a spamet például tökéletesen lehet a hálózat határpontjain, vagy a kiszolgálókon szűrni.
3. A valódi kockázatok ismerete veszélyes a biztonsági cégekre. A biztonsági kockázatok felmérésével megtudhatjuk, hogy valóban milyen problémákra kell odafigyelni - de ha erről nincs elképzelésünk, a biztonsági cégek szívesen megmondják helyettünk. A cégek célja, hogy minél több egyedi terméket értékesítsenek, viszont a paletta nem feltétlenül fedi le azt, amire valóban szükség lenne. Nem az üzletmenetnek kell a biztonsági megoldásokhoz alkalmazkodnia, hanem a megoldásoknak kell az ügyfél igényeihez igazodnia.
Éppen ezért a célunk, hogy minden ügyfél számára megtaláljuk az optimális megoldást. Éppen ezért a szoftvereink nem tartalmaznak számtalan felesleges, divatos szolgáltatást, nem egyetlen, mindent megoldó biztonsági csomagként érhetőek el - mindenkinek csak azt segítünk kiválasztani, amire valóban szüksége van.
4. Nem csak a szoftver jelent kockázatot. A biztonsági piac oroszlánrésze a szoftveres sebezhetőségekre adott szoftveres megoldásokkal foglalkozik, pedig a sebezhető szoftver mellett 2 másik, egyformán fontos tényező is szerepet kap: a sebezhető konfiguráció és a becsapható felhasználó. A hibás beállítások lehetővé teszik a védelem egyszerű megkerülését, a becsapott felhasználó pedig a károkozók terjesztésének legegyszerűbb eszköze, míg az adathalászat és social engineering az információszerzés egyik legkönnyebb formája. A biztonság pedig olyan erős, mint a leggyengébb láncsszeme, és ez legritkábban a (biztonsági) szoftver.
5. Az előírások veszélyeztetik a biztonságot. A megfelelőségi előírások a minimális biztonsági szintet szeretnék megállapítani, ami önmagában helyes gondolat. Viszont túl sokszor a maximális szintet határozzák meg, vagyis a legjobb esetben az előírásnak megfelelően mindennek eleget próbálnak tenni az alkalmazottak, de azon kívül semmit, még ha a józan ész arra is utasítaná őket. Ha már megfeleltek az előírásnak, miért csinálnának többet és mást?
Továbbá, nem mindig az a legértékesebb, amit könnyű mérni. Ha a múlt hónapban 15 szoftver sebezhetőségből 12-t sikerült befoltozni, az könnyen mérhető és látható eredmény, viszont az, hogy egy tréning mennyire segített elkerülni a social engineering trükköket, már sokkal nehezebben mérhető. A tanulság az, hogy előírásokra szükség van, de önmagában nem alapulhat ezen a biztonsági stratégia.
6. A biztonsági cégek hiányosságai teszik lehetővé a Storm létezését. A Storm kaliberű botnetek már 2 éve élnek és virulnak, de mégis, miért? 1) A Storm és társai az egyéni fogyasztókat célozzák meg, akik évek óta nagyszerű célpontnak bizonyulnak. A spamektől a tőzsdei csalásokig a botnetekkel nagyon könnyű pénzt keresni. 2) Antivírust esznek reggelire. A Storm módszerei nem újak, de művészien sikerül kikerülnie a vírusirtókat, kihasználva a biztonsági szoftverek hiányosságait. 3) A terjedéshez nincs szükségük befoltozatlan résekre. Elsősorban a felhasználók segítenek a terjedésben, egyszerű átverésekkel is milliókat képesek újra és újra megfertőzni.
7. A biztonság már régóta nem önállóan megoldható feladat. Az átgondolás nélkül alkalmazott technológia teljes káoszt okoz. A biztonsági piac túl sokszor csak a legújabb technológiáról szól, míg számtalan megoldás és a sokféle gyártó csak összezavarja a felhasználókat, akik nem képesek lépést tartani a gyors változásokkal, a rengeteg újdonsággal. A hatékony biztonság már régóta nem egy szakértők nélkül, házilag megoldható feladat - a legjobb ha mindenki azzal foglalkozik, amihez a legjobban ért, a biztonságot is ezért bízzák egyre többen szakértő cégekre.
A mai válságos időkben pedig egyre nagyobb szerepet kap a racionalizálás. A jó megoldás nem feltétlenül a biztonsági megoldások számának csökkentése, mert fontos kockázati elemek kerülhetnek így nyílt területre. Ebben a racionalizálási folyamatban a gyártók is fontos szerepet kapnak, hiszen változniuk kell a piaccal. A körültekintő kockázatfelmérés pedig rávilágíthat, hogy hol és mit célszerű elhagyni, de itt a legfontosabb, hogy a valódi kockázatokat tartsuk szem előtt.
A teljes cikk az Infoworld honlapján olvasható.
