image

"Sun Tzu ongeschikt voor IT-beveiliging"

maandag 12 juli 2010, 12:36 door Redactie, 7 reacties

Het 2500 jaar oude Art of War van de Chinese wijsgeer Sun Tzu, is niet toepasbaar op informatiebeveiliging, hoe graag sommige IT-professionals dat ook willen. Dat zeggen Steve Tornio en Brian Martin. The Art of War beschrijft verschillende militaire tactieken, waarvan er weinig op moderne IT-beveiliging zijn toe te passen, zo laat het tweetal weten. De delen die wel zijn te gebruiken, zijn niet bepaald baanbrekend en conflicteren mogelijk met andere regels binnen de informatiebeveiliging.

"In plaats van te accepteren dat Tzu's werk niet relevant voor hedendaagse informatiebeveiliging is, proberen mensen analogieën te forceren en vergelijkingen uit hun verband te trekken om maar met zijn werk te vergelijken", aldus Tornio en Marin. Professionals die op deze manier een "coole referentie" proberen te scoren maken zich volgens het tweetal schuldig aan hoererij.

Oorlog
"Informatiebeveiliging is geen oorlogsvoering", zo merken ze op. De meeste security professionals beschermen private en publieke netwerken en voeren geen tegenaanval op de vijand uit. "Zelfs penetratietesters voeren hun 'veldslagen' binnen een beperkt gebied uit, onder toezicht en gereguleerd door wetgeving. Een pentest is absoluut niet het kennen van je tegenstander."

Als bewijs geven de twee beveiligers ook voorbeeld van de "Sun Tzu fanboy mentaliteit", waaruit blijkt dat veel mensen het werk van de Chinese tacticus niet eens begrijpen. Ondanks de kritiek van Tornio en Martin geven ze wel degelijk voorbeelden uit het verleden, die nu ook toepasbaar zijn. Het gaat dan onder andere om Genghis Khan. "Het vergelijken van Khan's militaire tactieken met de ingegraven bedrijven van vandaag de dag, is veel toepasselijk dan Tzu."

Reacties (7)
12-07-2010, 14:11 door d.lemckert
Flauwekul argument.

Natuurlijk is het werk van Sun Tzu niet volledig te gebruiken in de IT-beveiliging..

Net zoals Darwin's On The Origin Of Species... niet te gebruiken is in de bedrijfseconomie! Ook al is het zo, dat er in de groei en overnames van bedrijven een soort van evolutie is waar te nemen.


p.s. Dat mensen Sun Tzu citeren maar eigenlijk niet begrijpen komt m.i. voornamelijk doordat het minder gelezen wordt dan vaak aangenomen. Het is overigens gewoon in het publieke domein: http://www.gutenberg.org/etext/17405
12-07-2010, 16:31 door Anoniem
"Het 2500 jaar oude Art of War van de Chinese wijsgeer Sun Tzu, is niet toepasbaar op informatiebeveiliging"

No shit Sherlock
13-07-2010, 00:09 door Anoniem
ik zeg sabaton
13-07-2010, 11:04 door Dev_Null
"All security is based on deception"
Ik vind deze wel aardig passen in de hedendaagse it-security :-) Zolang je de "marketing en sales illusie" succesvol kunt blijven verkopen aan je klanten dat jouw product (wel) "secure en veilig" is, zal het je voorspoedig gaan in de verkoop..... totdat iemand keihard aantoont (via een exploit, voorbeeld proggie, virus, malware, rootkit of systeemcrash door bugs) dat heb niet zo is...

Zie hier de strijd tussen de
- marketing en sales afdelingen van leveranciers en
- mensen met echt verstand van ic en security :-)

Nog dagelijks tuinen vele IT en security onwetenden in deze illusie... kassa for deception!
13-07-2010, 15:26 door Anoniem
Ik ben het volledig met deze heren oneens. Alle meldingen uit Sun Tzu zijn wel degelijk verenigbaar met de huidige informatiebeveiliging. Het is alleen de non-creatieve geest die hierin geen vergelijkingen kan trekken. Het is juist het manco van de huidige beveiligingsbranche die de lopende wedstrijd niet als oorlog beschouwt. Het botst alleen met ethische overwegingen, en deze horen eigenlijk niet thuis in oorlog. We hebben de illusie gecreëerd dat ethiek en oorlog samengaan door slimme bommen en propaganda. In oorlog past maar één ding, handschoenen uit en vechten.

Het Orakel
13-07-2010, 15:32 door Anoniem
IT security is niet gericht op het verslaan van de tegenstander, maar alleen het verdedigen. Je laat dus een heel stukje taktiek weg. Bijvoorbeeld het aanvallen van hackers, scriptkiddies en virusschrijvers met fysiek geweld.
14-07-2010, 07:16 door Anoniem
Door Anoniem: Ik ben het volledig met deze heren oneens. Alle meldingen uit Sun Tzu zijn wel degelijk verenigbaar met de huidige informatiebeveiliging. Het is alleen de non-creatieve geest die hierin geen vergelijkingen kan trekken. Het is juist het manco van de huidige beveiligingsbranche die de lopende wedstrijd niet als oorlog beschouwt. Het botst alleen met ethische overwegingen, en deze horen eigenlijk niet thuis in oorlog. We hebben de illusie gecreëerd dat ethiek en oorlog samengaan door slimme bommen en propaganda. In oorlog past maar één ding, handschoenen uit en vechten.

Het Orakel
Jij bent de typische fanboy waarover ze het hebben.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.