Als het product beter is het dan het bedrijf
Joel Snyder is een "product tester" en test regelmatig hardware appliances. In 2004 testte hij mail security appliances, waarbij CipherTrust's IronMail in de bovenste regionen eindigde. Tijdens de test gebeurde er iets waar Snyder niet in de recensie over sprak. De mensen van CipherTrust logde in op het apparaat, wijzigde het wachtwoord en schakelde het uit. Iemand binnen het bedrijf was niet tevreden met de resultaten, raakte in paniek en ging tot actie over. Volgens Snyder ging het om het product, waar op zich niets mis mee was.
Snyder was het voorval alweer vergeten toen hij laatst door een klant werd ingehuurd voor het kiezen van een e-mail security appliance. CipherTrust stond op hun lijstje en ze wilden dat Snyder het product ging testen. Een eenvoudige opdracht, behalve voor het feit dat CipherTrust de appliance niet wilde aanbieden. Zelfs niet via een "value-added reseller".
Snyder is dan ook bang dat hij niet de enige is en vraagt zich af wat je aan een security product hebt als de aanbieder je geen extra service biedt. Security goeroe Bruce Schneier voegt daaraan toe dat je niet alleen een security product koopt, maar ook het bedrijf erachter.
draadje Bruce. Maar zijn punt is wel juist. Het geld niet alleen voor
appliances, maar ook voor alle andere producten die je afneemt. In het
geval van appliances heb je dan ook nog (soms dure) hardware... Maar het
blijft feit dat je met kopen van veel producten tegenwoordig niet meer af
kunt met de aankoop alleen. Maar (bijna) iedereen die van UPC Chello
naar ADSL gegaan is kon dat al na vertellen. Maar consumenten hebben
tegenwoordig zo'n grote belangen, en verstrengelde belangen dat ze
EULA's zoals Microsoft die op stelt (en waarvan 99% niet rechtsgeldig is in
Nederland, tenzij je er expliciet mee akkoord gaat) dan mensen toch
gewoon door modderen.
Veel appliances hebben toegang nodig naar de vendor voor signature
updates e.d. Helaas worden deze ook gebruikt door de vendor om
systeemgegevens op te halen.
Het komt zelfs voor dat er logfiles binnengehaald worden met verkeersdata
van eindgebrukers en volledige nieuwe versies geinstalleerd zonder
waarschuwing naar de eigenaar van de systemen. Dit voorbeeld is van
een appliance die ook in de bankwereld gebruikt wordt!!!
Dit is voor mij een reden om zo min mogelijk appliances te gebruiken en
extra voorzorgsmaatregelen te nemen voor dergelijke systemen.
Wel verwarrend dat ie op het ene draadje JOEL heet en op het
andere
draadje Bruce.
Ik weet niet. Misschien moet je wat vaker worteltjes eten?
Je haalt Joel Snijder en Bruce Schneier door elkaar. Dat
zijn twee afzonderlijke personen, waarvan de laatste toch
wel bekendheid heeft verworven met zijn visie.
- Unomi -
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
