IBM: IT-beveiliging heeft geen toekomst
De IT-beveiliging zoals die nu wordt aangeboden heeft geen toekomst en daarom gaat IBM zich hier niet meer mee bezighouden, aldus Val Rahmani, topmanager van IBM's Internet Security Systems. "De security infrastructuur wordt bepaald door de aanvallers. Als nieuwe dreigingen verschijnen ontwikkelen we nieuwe producten. Dat is een wapenwedloop die we niet kunnen winnen." De computergigant gaat daarom inzetten op duurzaamheid, waarbij beveiliging in systemen en processen standaard aanwezig moet zijn.
"We moeten ze al tijdens het ontwerp beter beveiligen en compliant maken, en we moeten meer security en compliance technologieën in de kern van onze infrastructuur en applicatie omgevingen aanbrengen." Wat voor producten IBM in petto heeft is nog niet bekend, het bedrijf vindt dat aanbieders oplossingen moeten aanbieden die ervan uitgaan dat iedereen geïnfecteerd is, maar dat er toch nog veilig zaken gedaan kan worden. "Het gaat om het scheppen van een omgeving waar beveiligingsrisico's online transacties en zaken niet kunnen verstoren," liet Rahmani tijdens de RSA conferentie weten.
"De fantasie dat het onderwijzen van gebruikers en anti-virus de problemen van eindgebruikers oplossen moeten we laten gaan. Het is niet aan de consument om zichzelf te beschermen. Het is niet hun probleem, het is ons probleem, omdat online commercie niet levensvatbaar is als het niet inherent veilig is. En de enige manier om het inherent veilig te maken is om het beveiligingsprobleem ons eigen te maken."
Security isn't easy, nor is it something that you can bolt onto a product after the fact.
-- Bruce Scheier
Beveiliging ACHTERAF heeft geen toekomst, zeggen ze.
Voorkomen is beter dan genezen, zeggen ze.
Wat mij betreft hebben ze gelijk: als je ervoor kunt zorgen dat een product zelf goed beveiligd is, hoef je er niet van alles om, op of aan te bouwen voor de beveiliging. Wel zo handig en minder kans dat het daar weer fout gaat.
"waarbij beveiliging in systemen en processen standaard
aanwezig moet zijn"
"De fantasie dat het onderwijzen van gebruikers en
anti-virus de problemen van eindgebruikers oplossen moeten
we laten gaan."
Het zijn mensen die de processen uitvoeren en systemen
bedienen. Beveiliging in processen en systemen is alleen
functioneel als de gebruikers weten wat ze moeten doen.
Onderwijzen dus.
loskomen van de fictie dat beveiliging bestaat uit
technologie alleen. Het gaat om informatie-beveiliging, niet
om IT-beveiliging...
worden opgevat. ITSEC/INFOSEC zijn twee met elkaar in nauw verband
staande activiteiten het een kan niet zonder het andere en de mens zit er
tussen in. Zolang er programmeurs zijn en bedrijven (kijk eens naar het leuke
artikel http://www.security.nl/article/18234/1/%
22Verborgen_achterdeur_in_China_gefabriceerde_routers%22.html die
willens en wetens zaken inbouwen of uit luiheid zullen er solution based
vulnerabilities zijn en blijven ontstaan. IBM projecteerd een Utopia en ik geloof
er niet in....
Niet alleen moet het vooraf, beveiliging moet (...) ook
loskomen van de fictie dat beveiliging bestaat uit
technologie alleen. Het gaat om informatie-beveiliging, niet
om IT-beveiliging...
Hebben ze groot gelijk in voor de meeste organisaties. Informatiebeveiliging
is hogwash zolang je discretionary access control hebt - je weet immers
geeneens waar je informatie is. Laat staan dat je tussen al die data weet wát
informatie is, en voor wie. Informatiebeveiliging is speelkwartier voor
papierridders.
Hiervoor zijn gigantische investeringen nodig.
Microsoft trekt het al niet... oke die lappendeken Maar in de kern? Iedere keer
als er iets 100% veiligs wordt uitgevonden is het een half jaar later al weer om
zeep. Met de mens veelal als zwakste schakel.
Ik zie veel meer heil in self corrigerende adaptieve systemen.
Beveiliging in processen en systemen is alleen functioneel als de gebruikers
weten wat ze moeten doen. Onderwijzen dus."
Ten dele; zaken als bijvoorbeeld social engineering moet je inderdaad met
voorlichting aanpakken. Echter is het implementeren van bijv. 3 faktor
authenticatie al afdoende om te voorkomen dat wanneer mensen hun
wachtwoord weggeven t.g.v. een social engineering truuk, dit misbruikt kan
worden om toegang te krijgen.
die jaren terug IBM de das om deed ?
zou ik graag iets meer informatie willen hebben over hun aanpak.
Maar het uitgangspunt vind ik wel sterk. We hebben nu
eenmaal te maken met geinfecteerde IT-componenten. Als je
dat ontkent, of alleen maar wacht op een oplossing daarvoor,
ben je verkeerd bezig.
Ik ben benieuwd...
helemaal. Het is meer out-of-box denken. Dit gaat natuurlijk met
veranderingen van IT-infrastructuur. Een firewall werkt prima als iedereen
binnen de muren blijft, maar iedereen wil over werken nu. Dus moet er andere
security komen. Er zijn weinig mensen die out-of-box kunnen denken, dus het
heeft nog wat tijd nodig. IBM / HP / Microsoft werken hier hard aan.
Ooit gelezen in een artikel van hem (2007).
Al die security experts lopen massaal achter elkaar aan. En geeft ze eens
gelijk, er is een hoop geld te verdienen in deze taak.
Think out-of-the-box
Ik zal hier kort en krachtig over zijn IBM gaat dit niet trekken.
Hiervoor zijn gigantische investeringen nodig.
Microsoft trekt het al niet... oke die lappendeken Maar in de kern? Iedere keer
als er iets 100% veiligs wordt uitgevonden is het een half jaar later al weer
om
zeep. Met de mens veelal als zwakste schakel.
Ik zie veel meer heil in self corrigerende adaptieve systemen.
Programmeurs moeten deadlines halen, degene die de fouten zoeken
voornamelijk hackers, hebben zeeen van tijd.Logica zegt hier gewoon weg
dat daarom alles gehackt wordt.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
