Fem års helvete for sikkerhetskunder

Kundene vil lide i fem år før alle vi som leverer IT-sikkerhet greier å spille sammen, innrømmer Cisco.

Et viktig tema på den pågående europeiske sikkerhetskonferansen til analyseselskapet Gartner, er bransjens umodenhet. Det leveres forskjellige former for punktløsninger etter hvert som nye trusler dukker opp, og arbeidet med å samle disse, selv dem med samme leverandør, går sakte.

Gartner bruker blant annet sin «hype»-modell for å forklare tilstanden. Denne modellen viser sammenhengen mellom en teknologis synlighet og dens modenhet. Toppen på kurven heter «spissen for overdrevne forventninger», mens bunnen rett nedenfor denne spissen heter «desillusjonens dalbunn». Teknologien må komme seg ut av dalbunnen og over på praktisk bruk, før den kan betraktes som moden. Lengst til høyre i kurven har teknologien nådd stadiet med «produktivitet».

Problemet med sikkerhetsteknologi, ifølge Gartner, er at den har en tendens til aldri å komme seg forbi «desillusjonens dalbunn». Det gjelder primært løsninger i store og komplekse miljøer.

Derfor ble det i en paneldebatt stilt spørsmålet: «Er det mulig å lage en infrastruktur med innebygget sikkerhet?». Leverandørene som ble stilt til veggs var Bob Gleichauf, visepresident i Cisco, Peter Evans, visepresident i ISS (under overtakelse av IBM) og Robert Malan, teknologidirektør og gründer i Arbor Networks, et selskap med løsninger for å gjøre bedriftsnettverk «mer sikkerhetsbevisste».

Debatten viste at leverandørene langt på vei er enige i Gartners vurderinger.

Evans fra ISS pekte på at et bedriftsnettverk har typisk sikkerhetsprodukter fra rundt 30 leverandører.

– Det er en utfordring å gjøre en hensiktsmessig implementering av alt dette. En plattformbasert tilnærming hadde vært langt mer effektiv. Manglende oversikt over teknologien fører til mange feilkonfigurasjoner. Det fører til at 70 prosent av risikoen kan føres tilbake til likegyldighet og uvitenhet hos brukeren, og til feilaktig konfigurering.

Leverandørene er også enige i Gartners prinsipp om at sikkerhetsarbeidet må bygge på risikoanalyse.

– Man må ikke redusere diskusjonen til en vurdering av produkter, understreket Gleichauf i Cisco. – Man må prioritere etter den faktiske risiko: Hva skal man sikre, hva er risikoen, hva slags tap er man beredt på å lide? Leverandørene må gjøre mer for å sy sammen produktene, slik at problemene lar seg løse.

En felles anbefaling er å gjøre mer av det løpende sikkerhetsarbeidet i tilknytning til driften, og la sikkerhetsfolkene i IT-avdelingen ta seg av mer innviklede utfordringer. Det gjelder å overvåke og analysere trafikk, få på plass løsninger på klient- og nettverksnivå, og forsone seg med at ingenting kan gjøres hundre prosent sikkert. Noen sikkerhetsproblemer kan løses gjennom tjenesteutsetting, på samme måte som drift.

Cisco, som leverer mye sikkerhetsfunksjonalitet i sine rutere og svitsjer, erkjenner et svært alvorlig problem.

– Problemet som vi kaller «høyre hånd, venstre hånd», blir verre og verre. Det er stadig flere applikasjoner som tildeler seg oppgaver relatert til sikkerheten i nettverk. Det fører til at ruterne får motstridende beskjeder, og sikkerheten bryter sammen, sa Gleichauf.

Det er opptil leverandørene å ordne opp i dette. Det vil ta tid.

– Jeg tror det vil ta fem år før vi som leverer IT-sikkerhet får produktene våre til å spille sammen, sa Gleichauf. – Som bransje er vi fortsatt ungdommer som prøver å finne ut av ting. Våre kunder vil lide i årevis mens vi arbeider oss fram til å kunne spille sammen.

Det Cisco akter å bidra med, ifølge Gleichauf, er å tilby andre aktører tilgang til programmeringsgrensesnitt. Når nye løsninger har tilstrekkelig utprøvd i praksis, vil teknologien legges fram for standardiseringsorganer.

– På den måten kan vi tilby stadig flere sikkerhetsfunksjoner uten å risikere anklager om monopolistisk bunting. Blant løsningene som vi akter å fremme som standard, er NAC («Network Admission Control») som kontrollerer sikkerhetsnivået til klienter før de slippes inn på nettet.

NAC kan oppfattes som en egnet kandidat til standard: Cisco og Microsoft inngikk nylig en avtale om å samordne sine løsninger for denne typen kontroll. Avtalen innebærer blant annet at Cisco forholder seg til den innebygde NAC-klienten i Vista.

EU-kommisjonen har, som kjent, varslet at bunting av sikkerhetsfunksjonalitet i Vista kan føre til at Microsoft kommer på kant med unionens antimonopollover. Ingen ville kommentere dette, men Gleichauf lot noen gullkorn fall om sitt forhold til Vista:

– Deler av Vista gjør meg skremt. Det er så komplekst, og det vil helt sikkert medføre nye sikkerhetstrusler, samtidig som det også medfører nye løsninger. Jeg har visse motforestillinger, men ser at Vista også kan by på nye anledninger.

    Les også:

Til toppen