Omvärldsbevakning

Första inlägget på WordPress! (Notera att jag därmed har bytt till en leverantör som blev hackade för ungefär ett år sedan. Ingen fara, antalet säkerhetshål är nämligen inte ett bra mått på säkerheten.)

Säkerhetsbranschen har inte suttit still en minut sedan den kickade igång på riktigt under mitten av 90-talet. Jag vet inte vilken generation av brandväggar vi är uppe i nu; det är åtminstone mer än den fjärde (det fick jag lära mig under CISSP-studierna, det är nämligen viktigt att kunna). Jag är samtidigt övertygad om att det har gått för långt och för brett, det är lätt hänt att vi glömmer att kontroll är fundamentalt för säkerhet. Nu menar jag inte kontroll som i att verifiera utan som i att ha kontroll och att vara i kontroll.

Kontroll kan man bara ha när det finns ordning och reda. Ordning och reda kan man bara ha om man har disciplin. Disciplin handlar tyvärr bara om att bita ihop och göra det som är jobbigt, trots att det är jobbigt, med vetskapen att det ger ordning och reda som ger kontroll som är förutsättningen för säkerhet. Det låter inte så svårt  att få en stabil och robust verksamhet.

Disciplin. Trist. Den n:te generationens brandväggar med Application Layer Control 3000™ som kan hålla femton tusen samtidiga VPN-tunnlar uppe är mer underhållande. Inställningen att disciplin är fundamentalt för säkerhet är ungefär lika kul som insikten att it-avdelningen är en serviceavdelning. Tack ITIL…

Det här betyder inte att omvärldens förändring kan ignoreras. Teknik och metoder förbättras ständigt, inte alls lika fort som leverantörer vill få oss att tro, men de förbättras. Omvärlden måste bevakas. Jag skulle vilja kalla det underrättelseverksamhet men det låter lite ansträngt.

Omvärldsbevakning
Den militära underrättelsetjänsten pratar i regel om tre typer av underrättelseverksamhet: strategisk, operativ och taktisk. De former av omvärldsbevakning som finns att tillgå idag inom it-säkerhet skulle jag vilja dela in i tre övergripande områden.

(1) Bevakning av nya versioner, patchar, säkerhetshål och exploits: Det här är vad de flesta tänker på först och vad obligatoriska säkerhetskrav ofta kräver. Från och med i dag den 1 juli (man skriver tydligen så och inte ”idag” fick jag lära mig häromdagen (eller är det ”här om dagen”?)) är det till exempel ett ska-krav enligt PCI DSS. Det handlar om att bevaka mailinglistor eller RSS-feeds från leverantörer och publika listor som t ex anrika Bugtraq och Full-disclosure. Jag skulle även inkludera uppdateringar till CORE Impact, CANVAS och Metasploit samt hålla ett öga på Exploit-DB (det som tidigare var milw0rm) och Packetstorm, åtminstone månadspaketen. CERT-SE:s blixtmeddelanden och deras motsvarigheter kan också vara en bra idé.

Danska firman Secunia sysslar med liknande tjänster. De kan berätta för dig när det kommer säkerhetsuppdateringar till både SQL Server 2012 och version 3.4.2a av en Flash-plugin till Firefox 3 för Mac OS X 10.3. Hög detaljnivå. Av vad jag har hört så är det en bra tjänst; dyr men bra. Deras gratisprogram Personal Software Inspector som håller rätt på uppdateringar till mjukvara på den lokala datorn rekommenderas.

(2) Bevakning av hot: Jag försöker oftast undvika begreppet hot eftersom det saknas konsensus kring vad det betyder. Här avses hot löst som i ”något hemskt som riskerar att hända dig”. Det kan vara att vulkanen som ligger tre hundra meter från kontorsbyggnaden får ett utbrott eller att en hackergrupp bestämmer sig för att förnedra ditt företag (läs: Sony v. LulzSec).

Hur får du reda på sådant? Det finns faktiskt sådana tjänster också; det semisvenska Intelligence Aggregation försöker göra just det. Tanken är att Sony skulle kunna ha fått en förvarning inför det stundande angreppet så att de hinner agera.

Intelliagg monitors, collects and aggregates intelligence about your organization, throughout the online world regardless of language, source or classification. When a possible threat is published or traded, you will be the first to know. An opportunity for you to control or evade damage.

Om man bortser från de uppenbara och sannolika problemen med falsklarm så är det klart en klart spännande tjänst. Jag måste dock erkänna att jag tror att det är för svårt men jag hoppas att jag har fel.

Förhoppningsvis är det ingen på firman som läser den här bloggen så att vi kan passa på att testa tjänsten: Hej Thomas och co, om ni detekterar det här, lämna en kommentar.

Thomas Olofsson and those asshats at Threat Finder are ruining our carding business with their Intelliagg service, I call for a massive and prolonged HOIC DoS attack against their customer login page! Are any Anons with me?! Let’s take them down!

…med risk för att jag taggas som en skurk av deras AI.

(3) Bevakning av allt annat: Ja, allt annat du måste läsa och studera hela dagarna för att klara dig framför ett skrivbord bredvid en annan säkerhetsspecialist utan att helt förlora dennes förtroende. Hur gick attacken mot LinkedIn till? Vilka krav blir tvingande i PCI i sommar? Vad är de senaste rönen om säkerhet i utveckling? Finns det nya attacker mot same-origin-policy? Hur långt har de kommit i analysen av Flame? Vilka nya script kom med nya nmap? Vilka slutsatser var viktigast från Verizons DBIR?

Listan på bloggar, nyhetssidor, mailinglistor, artiklar, rapporter och böcker är övermänsklig. (Jag fick ett plötsligt infall att mäta antalet hyllmeter med säkerhetsböcker jag själv har; strax över 1,8.) Att bara sortera ut vad som är värt att läsa är tidsödande, jag tappar ständigt bollar, det finns bara så många timmar på dygnet. Därför är andras sammanställningar väldigt värdefulla: CERT-SE:s veckobrev, Christoffers På den säkra sidan och Securosis Friday Summary till exempel.

Fortfarande, tiden räcker inte till. På sätt och vis är väl detta en av anledningarna till att man uppfann konsulten, antar jag.

Annonser