Ingen säkerhet utan branschstandard

– Tiden då man var tvungen att köra skrämselpropaganda är förbi för idag tänker alla på säkerhet, och alla är överens om att säkerhetsprodukterna idag inte fungerar särskilt bra mot riktade attacker och ransomware. Vi måste hitta nya sätt att jobba med säkerhet, men ingen vet riktigt hur. Inte ens vi i branschen är överens. Hittills har vi låst in allting i proprietära protokoll men vi måste våga samarbeta mera för kundernas skull, säger Christoffer Callender, säkerhetsexpert på Intel Security.

Hans vision är att lösningarna ska fungera oberoende av vilken eller vilka leverantörer kunden använder sig av. Därför vill Intel Security skapa en branschstandard som heter DXL, som är ett protokoll för dataöverföring.

– Ska kunden kunna bygga integrerade säkerhetsplattformar behöver vi gemensamma branschstandarder. Tanken är att det ska fungera precis som med blåtand, att alla lösningar ska se varandra och sedan paras ihop med certifikat. Om det sedan är DXL eller någon annan standard är egentligen oväsentligt, det viktiga är att lösningarna kan prata med varandra.

Christoffer Callender menar att den nya verkligheten där molnbaserad lagring, BYOD-lösningar och virtualisering i allt högre utsträckning gör det traditionella säkerhetstänket föråldrat.

– Software-defined infrastructure håller på att bli verklighet och inom två, tre år kommer vi att vara där. Istället för att skydda en server där vi vet var vi ska installera en säkerhetslösning måste vi i ett virtualiserat nätverk skydda applikationen eftersom den inte vet var den körs någonstans. Ransomware och zero day-sårbarheter förändras

Brandsläckning förhindrar proaktivitet

Att bara svara på incidenter fungerar inte längre men bristen på erfarna säkerhetspersoner gör det svårt att bemanna avdelningarna. Många säkerhetsexperter upplever att de bara släcker bränder istället för att jobba proaktivt. Idag är snittiden för att upptäcka ett intrång 98 dagar inom finansbranschen och 197 dagar inom retail. Samtidigt blir företagen allt sämre på att åtgärda problemen snabbt.

– Målbilden är att frigöra personal som kan jobba strategiskt medan de enklare uppgifterna är automatiserade. Traditionellt sätt har incidenter drivit investeringarna. Tappar man bort en dator köper man ett diskkrypteringssystem till exempel. Nya system ger mer info och vi drunknar redan i information. Har man inte kompetensen fyller den tekniska lösningen inte sin funktion. Dessutom kommer det mängder med zero day exploits som är svåra att skydda sig mot. Automatiserade, säger Christoffer Callender.

Ett av problemen är jakten på kravuppfyllnad (compliance). Många gör precis det som krävs för att klara en granskning (audit), en inställning som är direkt skadlig för säkerheten.

– Målet får aldrig vara att klara en audit utan det måste vara att ha en säker miljö. Idag kopplar man upp allting, även saker som aldrig var menade att vara uppkopplade och det gör att man inte vågar uppdatera gamla enheter eftersom man inte vet hur det påverkar systemet. Det medför stora sårbarheter, säger Christoffer Callender.

Nya verktyg stoppar varianter

Baserat på DXL-standarden har Intel Security släppt en ny tjänst som gör det möjligt att skapa en lokal threatdatabas för en specifik miljö. Det gör det möjligt att fånga upp zero day exploits och versioner av ransomware innan leverantörerna hunnit få kännedom om dem och lagt till dem i sina globala databaser.

– Ingen vill släppa in kunderna i sina globala system, men på det här sättet kan vi snabbt fånga upp  och stoppa misstänkta filer och certifikat. Vi kan testa dem i en sandboxmiljö, men även se vilka system de har kommit kontakt med och rensa bort dem på distans. För forensiker är det här en guldgruva av information för att kunna spåra vad som hänt, säger Jonas Müller på Intel Security.