8 februari 2008

Op de Computer Forensics Show 2008 in Washington heeft Peter Tippet, vice-president voor ‘risk intelligence’ bij Verizon Business, senior wetenschapper bij ICSA Labs en uitvinder van het programma dat later Norton antivirus werd, uitgehaald naar informatiebeveiligers. Volgens hem is eenderde van de huidige beveiligingsconcepten gebaseerd op oude concepten die niet meer van toepassing zijn op de computeromgevingen van vandaag de dag. ‘A large part of what we (security pro’s) do for our companies is base don a sort of flat-earth thinking. We need to start looking at the earth as round’. Zo richt de beveiligingsindustrie zich veel te veel onderzoek naar kwetsbaarheden, testen en het maken van patches. ‘Only 3 percent of the vulnerabilities that are discovered are ever exploited’, zo zei hij. ‘Yet there is huge amount of attention given to vulnerability disclosure, patch management, an so forth’. Tippett vergeleek het onderzoek naar kwetsbaarheden met het onderzoek naar de veiligheid van auto’s. ‘If I sat up in a window of a building, I might find that I could shoot an arrow through the sunroof of a Ford and kill the driver’, zo zegt hij. It isn’t very likely, but it’s possible.

‘If I disclose that vulnerability, shouldn’t the automaker put in some sort of arrow deflection device to patch the problem ? And then other researchers may find similar vulnerabilities in other makes and models, ‘ zo ging Tippett verder. ‘And because it’s potentially fatal to the driver. I rate it as ‘critical’. There’s a lot of attention and effort there, but it isn’t really helping auto safety very much’. Zo zijn vele beveiligingstrategieen gebouwd op basis van het concept een computer te beveiligen, niet een network van computers. ‘Long passwords are a classic example’, zo zei hij. ‘If you take a single computer and make the password longer and more complex, it will be harder to guess, and that makes that computer safer’. Maar als een hacker de wachtwoordbestanden van een bedrijf met 10.000 machines binnendringt, dan heft hij maar een wachtwoord nodig om het network binnen te komen. ‘In that case, the long passwords might mean that he can only crack 2000 of the passwords instead of 5000. But ehat did you really gain by implementing them ? He only needed one’. Tippett suggereerde eveneens dat vele beveiligers tijd verspillen bij het kopen of ontwikkelen van computerbeveiligingen die 100 & veilig zijn. ‘If a product can be cracked, it’s sometimes thrown out and considered useless’, zo gaat hij verder. ‘But automobile seatbelts only prevent fatalities about 50 Percent of the time. Are they worthless ? Security products don’t have to be perfect to be helpful in your defence’. En dat concept is ook van toepassing op het beveiligingsproces, aldus Tippett, want de notie dat als je aan aantal processen goed uitvoert (zoals het updaten van antivirus software) de veiligheid toeneemt, is niet noodzakelijkerwijs waar. ‘But studies have shown that there isn’t necessarily a direct correlation between doing these processes well and the frequency or infrequency of security incidents. You can’t always improve the security of something by doing it better. If we made seatbelts out of titanium instead of nylon, they’d be a lot stronger. But there is no evidence to suggest that they’d really help improve passenger safety’. Beveiligingsteams moeten eens goed gaan nadenken hoe ze hun tijd gaan besteden, en vooral aandacht besteden aan die beveiliging die potentieel een hoger rendement geeft. ‘For example, only 8 percent of companies have enabled their routers to do ‘default deny’ on inbound traffic. Even fewer do it on autbount traffic. That’s an example of a simple effort that could pay high dividends if more companies took the time to do it.’ En bewustwordingsprogramma’s kunnen absoluut geen kwaad. Want als het aantal beveiligingsincidenten terug te brengen is met 30 % door een bewustwordingsprogramma van 10.000 euro kost, dan is het de vraag of dat niet meer zin heeft dan een miljoen utigeven voor een upgrade van een antivirusprogramma dan incidenten maar met 2 % verminderd ? Tippett wil dus meer nadenken in de beveiliging. En dat is niet zo’n slecht ding, want over het algemeen is het niet de techniek die het probleem is, maar de gebruikers daarvan. Dan wordt het ook hoog tijd om die gebruikers wat meer bewustzijn bij te brengen….