"De 8 vuile geheimen van de security industrie"
Binnen de security industrie is een gapend gat tussen wat consumenten denken te kopen en wat beveiligingsaanbieders in werkelijkheid aanbieden, zoals ook het debacle met McAfee's Hacker Safe logo laat zien. Volgens Joshua Corman, analist bij IBM's Internet Security Systems, denken consumenten dat ze veiligheid kopen, terwijl het de aanbieders juist te doen is om de producten te verkopen die het meeste geld opleveren.
Tijdens de Interop conferentie in Las Vegas van vorige week "verklapte" hij de 8 vuile geheimen van de security industrie. "Ik ben het niet met alle vuile geheimen van Corman eens, hij geeft wel een aantal interessante punten, die zeker het overdenken waard zijn," aldusSenior Security Consultant Jason Holcomb.
- Vendors hoeven niet op de hackers voor te lopen, maar op de koper. Het gaat niet om het aanpakken van de vijand, maar om het aanpakken van de koopbeslissing. Het draait dus om de centen en niet om de veiligheid.
- Anti-virus certificeringen vereisen geen tests op Trojaanse paarden. De software wordt alleen gecontroleerd op de effectiviteit tegen wormen en virussen, terwijl Trojaanse paarden voor 80% van alle malware verantwoordelijk zijn.
- De perimeter bestaat niet en de bedrijfsfirewall biedt geen bescherming tegen werknemers die laptops met vertrouwelijk informatie in hun auto achterlaten of mee naar huis nemen.
- Risk assessment is een bedreiging voor vendors. De zwakke punten binnen een onderneming vallen vaak niet samen met wat een vendor probeert te verkopen.
- Lekke software is niet het enige risico. Ook al was alle software foutloos geschreven, dan zouden er nog steeds problemen zoals phishing, virussen en social engineering zijn.
- Compliance is een bedreiging voor security. Het uitvoeren van audits staat bij veel CSO's zo hoog op hun lijstje, dat dit de aandacht van de echte beveiliging afleidt. Het zorgt er zelfs voor dat bedrijven alleen nog maar de beveiliging kiezen om de audit te door te staan.
- Het "Storm" botnet was mogelijk dankzij de blinde vlek van de vendors. Bedrijfsnetwerken kunnen het gedrag van de aangesloten machines controleren, maar zoiets bestaat niet voor consumenten netwerken. Volgens Corman heeft Storm het grootste probleem van anti-virus software gebruikt en is daarnaast ook een ster als het gaat om social engineering.
- Security bevindt zich al lang niet meer in het "doe-het-zelf" stadium. Vendors overtuigen bedrijven dat security zo complex is dat men dit niet zelf kan doen. De behoeften van elk bedrijf zijn zo specifiek, dat alleen het kiezen van een product niet voldoende is.
vind slaan:
[...]De perimeter bestaat niet en de bedrijfsfirewall biedt
geen bescherming tegen werknemers die laptops met
vertrouwelijk informatie in hun auto achterlaten of mee naar
huis nemen.[...]
Ten eerste, de bedrijfsfirewall is niet bedoeld om
vertrouwelijke gegevens op onbeveiligde laptops te
beveiligingen. Daar zijn andere mechanismen voor, zoals
BitLocker in combinatie met pincode, aangevuld met XYZ
(zoals gebruikerstraining wat wel en niet te doen met de
laptop). Dat is hetzelfde als zeggen dat airbags geen
beveiliging bieden tegen vandalen die 's nachts je banden
lek steken. Het is een beveiligingsmechanisme voor een ander
soort aanval.
Ten tweede bestaat de perimeter wel, maar is de perimeter
afhankelijk van het object dat je probeert te beveiligen. De
netwerk perimeter is vaak geen nuttige perimeter, doordat er
teveel in- en uitgangspunten zijn. Een perimeter zou best de
input en output kanalen (netwerk, USB/ Firewire poorten,
CD-speler) in combinatie met alle externe factoren
(inbrekers, procedures, technische beveiliginsmechanismen)
van een laptop kunnen zijn. Waarom niet? Het is de basis van
veel risico analyses die ik maak.
* Het integriteits probleem heeft een oplossing, POLA/OCaps,
een goed product op dat gebied door b.v. Microsoft of Apple
zou in een klap het hele bestaansrecht van de anti malware
industrie vernietigen.
* MLS kan niet werken in de aanwezigheid van malware, MLS
producten hebben eigenlijk dus geen bestaansrecht gegeven de
onmogelijkheid van het voorkomen van covert channels, en de
onoplosbaarheid van het CC probleem.
uitvoeren van audits staat bij veel CSO's zo hoog op hun
lijstje, dat dit de aandacht van de echte beveiliging
afleidt. Het zorgt er zelfs voor dat bedrijven alleen nog
maar de beveiliging kiezen om de audit te door te staan.
Tja, dat krijg je met compliance. Een CSO kan alleen op
meetbare resultaten afgerekend worden, dus voor meetbare
beveiliging word het meest uitgetrokken.
Die clients worden toch wel geinfecteerd. Aan jou om ervoor te zorgen dat JOU
service dit niet wordt. (clients schoon houden kan wel, maar is dweilen met de
kraan open)
Inderdaad leuke punten en goed dat het een keer hard geroepen wordt, maar
een echte IT-er wist hier al aardig wat van.
Inderdaad leuke punten en goed dat het een keer hard
geroepen wordt, maar
een echte IT-er wist hier al aardig wat van.
Spijker op kop. Helaas gaat vaak de echte IT'er niet over
het uitgeven van centjes. En vaak praten de echter IT'er en
de echte uitgever van het geld niet altijd dezelfde taal.
De laatste opmerking kan wat mij betreft ook in de lijst met
vuile geheimen. Zoiets als; 'de IT'er weet hoe een probleem
op te lossen, maar de business kan niet duidelijk worden
gemaakt wat het probleem is'
echte dan) niet commercieel genoeg zijn om de mensen van de centen te
overtuigen...
http://www.security.nl/article/18281/1/%
22Virusscanner_voor_mobiele_telefoon_is_oplichting%22.html
waar één van de vendors zelf aangeeft dat op z'n minst een deel van de
argumentatie klopt
iets van weten weer veel te veel in te brengen. benieuwd
hoeveel geld er nou eigenlijk wereldwijd verloren gaat door
leiders zonder vakkennis.
Dat is een goed punt. Ik denk persoonlijk ook dat ITers over
het algemeen (de echte dan) niet commercieel genoeg zijn om
de mensen van de centen te overtuigen...
Maar misschien is het ook voor managers niet zo eenvoudig om
de kosten en baten hard te becijferen. Daarvoor moet een
organisatie tenminste haar kosten kennen, die het gevolg
zijn van malware (mensuren, materieel). En behaalde
resultaten ...
En men moet enige voorspellende gaven hebben: hoe zal
malware zich ontwikkelen, hoe ontwikkelt de
beveiligings-software zich, hoe gaat het in de toekomst met
je leveranciers, hoe bewust zijn de gebruikers enz.
Verder bestaan er verschillen, in de manier waarop
verschillende software=pakketten te misbruiken zijn.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
