Når Plan A svikter er det viktig å ha en Plan B…. og C.
Hvordan kan IT-sikkerhetsansvarlige i virksomheter lære av hva som har skjedd innen trafikksikkerhet de siste årtier?
I Norge er det relativt trygt å ferdes i trafikken. I følge WHO er det under 13% sjanse for å bli drept i en trafikkulykke i forhold til når en trafikkerer resten av jordkloden. Kombinasjonen av sikrere motorveier og kanskje også en standard på mange småveier som ikke frister til høy fart, spiller inn på resultatet.
Holdningskampanjer og høye bøter for trafikkforseelser hjelper også på ulykkestallene. Vi ser også denne effekten innen IT-industrien ved kompetansehevning, medias oppmerksomhet og innføring av sanksjoner mot selskap som ikke tar ansvar for IT-sikkerhet.
En balansert kombinasjon av gulrot og pisk gjør oss oppmerksomme på hva som kan skje, men er uhellet først ute er vi avhengige av en rekke teknologier og prosesser for at hendelsen skal gå bra.
Fornyelsen av den norske bilparken er en av de viktigste vektorene for økt trafikksikkerhet.
Avgjørende har vært forbedringen av hele hendelsesforløpet i det å unngå og redusere personskade ved ulykker.
Vi kan dele hendelsesforløpet ved en trafikkulykke i tre deler
Før ulykken:
Nyere kjøretøy er pakket med sikkerhetsteknologi som f.eks. ABS, automatisk nedbremsing, blindsonevarsler, ryggekamera og alarm hvis sjåføren sovner. Alt for å beskytte oss mot hendelser som kan føre til en trafikkulykke.
Under ulykken:
Bilene er nå også spekket med teknologi som skal hjelpe oss under en kollisjon; Airbag, sikkerhetsbeltestramming, deformasjonssoner etc. Disse løsningene gjør at vi ved en eventuell ulykke, skal få minst mulig personskader i sammenstøtet.
Etter ulykken:
I tillegg har vi et godt og tilgjengelig helsevesen, som kan gi oss god akuttmedisinsk behandling etter en eventuell ulykke.
For trafikksikkerhet er det lagt ned store ressurser for å bekjempe skader i hele hendelsesforløpet; Før, under og etter en ulykke.
Dra vi dette over til sikkerhetsverden peker Peter Sondergaard i Gartner på at vi bruker en for stor del av ressurser på FØR-fasen av å bekjempe trusler og relativt lite på UNDER- og ETTER-fasen av cyberangrep. I følge Gartner bruker vi 90% av ressursene på å bygge en mur mot inntrengerne og de resterende 10% til å oppdage de som kommer over muren og å nøytralisere skaden som måtte oppstå.
Sikkerhetsbransjen har brukt my tid på en plan A, beskyttelse som skal stanse mulighetene for et angrep. Det lykkes bare om beskyttelsesfunksjonene kan blokkere og stanser 100% av angrepene, men 100% er dessverre en mangelvare i sikkerhetsbransjen. Tror vi, som Volvo , at en kan produsere biler som helt kan eliminerer dødsulykker i trafikken, så kan vi muligens fortsette med denne skjevfordelingen av ressursbruken. For all del, det er viktig at vår plan A nærmer seg perfekt, men vi må også ha en plan B, og om den feiler en plan C.
Vi må forstå at vi trenger en plan B som gir oss mulighet for å stanse angrep mens det pågår, og en plan C når vi må utbedre det uunngåelige – vi har blitt rammet, og ikke klarte å blokkere angrepet. Da har vi behov for funksjonalitet for å gjenopprette og få kontroll over vår infrastruktur.
Gartner anbefaler derfor at ressursbruken bør flyttes over til et 60/40 scenario.
Så for å oppnå en forbedring av utkommet av et angrep er det viktig å ha god beskyttelse i FØR-fasen og synlighet og kontroll i UNDER- og ETTER-fasen.
Gode råd:
- Ingen kan garantere 100% beskyttelse
- Forvent å bli kompromittert, og bruk løsninger som er designet for å kunne gi innsyn, kontroll og hjelpe deg med å rydde opp etter angrepet
- Konsolider flest mulig sikkerhetsløsninger for endepunkt, nettverk og gateway for å gi best mulig samhandling mellom kontrollpunktene.
- Bruk løsninger som kan spore filers bevegelse og avhengigheter i infrastruktur og endepunkter. Om filene ikke blir evaluert som ondsinnede ved ankomst, kan de i ettertid vise seg å være skadelig kode. Da vil du gjerne kunne blokkere og fjerne dem raskt og enkelt.
Kanskje Volvo kommer nært det å kunne produsere en bil som kan eliminere dødsfall i trafikken, selv om moder natur og tilfeldighetens gudinne vil jobbe mot at de oppnår 100% beskyttelse. For IT-sikkerhet vil det definitivt være vanskeligere siden det hele tiden vil være personer som jobber mot at vi skal nå 100%, hackerne. De vil alltid jobbe med å finne måter slik at 100% beskyttelse forblir en utopi.
Cisco Advanced Malware Protection (AMP) er en sikkerhetsløsning som dekker endepunkt, nettverk og gateway med en enhetlig sikkerhetsarkitektur. Alle sjekkpunktene samhandler og deler trusselinformasjon mellom hverandre for å gi raskes mulig beskyttelse. Samtidig har AMP verktøyene for å finne, blokkere og kvitte seg med de få skadelige kodene som uunngåelig bryter gjennom forsvarsmuren, plan A.
Ta kontakt med Cisco for å få en nærmere gjennomgang av Cisco AMP.
Nils Roald
Cisco Sales AMP North Europe
niroald@cisco.com
