I de blindes rike er den enøyde konge

Glenn

Sikkerhet.

Sikkerhet kan defineres som en tilstand; fravær av uønskede hendelser eller frihet fra fare og frykt.  Denne tilstanden er imidlertid ikke statisk, men påvirkes av endringer i faktorer som trussel og farer, sårbarhet og verdi. – Definisjon fra Store Norske Leksikon

Det er nøkkelordet som driver meg i mitt arbeid. Mitt mål er å gi kunden frihet fra fare, og for å få til det må man implementere løsninger som gir full visibilitet i nettverket.

Og med full visibilitet mener jeg at man kan se alle applikasjoner over alle porter. Hva hjelper det om man har dyre proxyer eller IPS\IDS løsninger når de kun kan inspisere ett utvalg av standard-porter?

security-camera-fails-2

Da blir det som bildet illustrerer, at hendelser kan skje ubemerket utenfor «synsfeltet» for de løsningene man kanskje allerede har i nettverket sitt.

Og det er her vi kommer tilbake til overskriften for denne blogg-posten.

Veldig mange bedrifter mener de allerede har gode nok løsninger og rutiner for å håndtere IT-sikkerhet.

De har ofte den klassiske oppskriften med:

  • Generisk AV-klient fra en kjent leverandør
  • Proxy for klient-trafikk ut mot internett, uten SSL-terminering i de fleste tilfeller
  • Noen ganger en IDS eller IPS
  • Generisk brannmur som opererer på port-nivå

Problemet? Med unntak av AV-klienten så forholder alle løsningene seg til porter.
Om trafikken ikke treffer noen av disse portene som er «overvåket» så er man blind i hva innholdet faktisk er i pakkene. Er det legitim trafikk? Eller var det designet på produktet som skulle redde fortjenesten de neste 10 årene som forsvant til Kina over SSL på port 999?

Noen vil argumentere at med god kontroll på den ytre brannmuren så kan man stenge for utgående trafikk over rare porter. Men hva om man bruker kjente porter som er åpne? Vil brannmuren stoppe SSL over port 21? Vil den stoppe DNS over port 443? Eller enda enklere, kan man inspisere SSL overhode?

Og tilbake sitter man igjen med en bedrift som er strålende fornøyd, for utfra deres logger så er alt helt strålende i nettverket. Ingenting er galt.

Det er ikke da lett og overbevise dem om at de må investere i ett nytt produkt som faktisk gir dem hele bildet. De tror allerede at de har det.

Dette endrer seg selvfølgelig alltid etter en Proof-of-Concept, når de faktisk ser det fulle bildet. Den blinde har plutselig fått laseroperasjon og kan endelig se på begge øyne!

Og i de fleste tilfeller er ikke bildet så pent som de hadde ønsket. BitTorrent, TOR-nettverk, SSL over ustandard porter, C&C trafikk fra gamle servere med mer.

Men det vi kan se, kan vi også stoppe.

Det er først nå vi kan snakke om frihet fra fare.