ArtikelfilterDe donkere kant van de Security-industrie
Beveiligingsexpert Joshua Corman doet een boekje open over de duistere kant van de beveiligingsindustrie. Er zijn nogal wat praktijken die de industrie liever stil houdt.
"Het is goed om woordvoerders van beveiligingsaanbieders met een gezonde dosis scepsis tegemoet te treden", zegt Joshua Corman, Principal Security Strategist bij IBM-dochter ISS, tijdens een lezing op de Interop-conferentie in Las Vegas.
Hij wijst erop dat de beveiligingsindustrie meer energie steekt in de layout van de beheersfunctionaliteit dan in het toevoegen van nieuwe beveiligingsfuncties. Pas wanneer klanten vragen om functionaliteit, komt het bij aanbieders echt op de radar. "Het doel van de beveiligingsaanbieders is niet te beschermen, maar vooral geld te verdienen", betoogt Corman.
Gebrekkige standaardisatie
Corman laat weinig heel van de standaardisatie voor anti-virusproducten. De certificering is volgens hem achterhaald, want geheel gefocust op zichzelf vermenigvuldigende malware. Ten tijde van de certificering maakte niet-vermenigvuldigende malware, zoals Trojaanse paarden, slechts 5 procent uit van het totale aanbod. Inmiddels is dat aandeel echter tot 75 procent gestegen. In de praktijk betekent dit volgens Corman dat certificatie een 100%-garantie biedt tegen 25% van de mogelijke bedreigingen.
Kritisch is Corman ook over compliance: de eisen die zowel regeringen als de industrie stellen, komen volgens Corman niet noodzakelijkerwijs overeen met wat de actuele situatie vereist. Sterker: de regels maken het voor kwaadwillenden alleen maar eenvoudiger te bepalen op welke gebieden ze zich niet moeten toeleggen. Dat betekent dat, terwijl de beveiligingsbedrijven grote delen van hun resources en budgetten apart zetten voor compliance, diezelfde compliance er juist voor zorgt dat de grootste bedreiging hoogstwaarschijnlijk uit een andere hoek komt.
Misleiding over risico's
Het gaat ook mis bij de nadruk die veel aanbieders leggen op beveiliging van de rand van het netwerk. Volgens Corman verlaat maar een klein gedeelte van de verloren informatie de organisatie via de firewall. Het zijn veel vaker falende bedrijfsprocessen, die ruimte geven aan bijvoorbeeld het verlies van laptops of verwisselbare media zoals USB-sticks. "Wie nu nog in een perimeter gelooft, kan net zo goed ook in de kerstman geloven."
Volgens Corman verkopen beveiligers graag concrete oplossingen voor concrete problemen, die dan ook enthousiast in de markt worden gezet. Het is echter maar de vraag of deze bedreigingen ook werkelijk voor uw bedrijf zo relevant zijn als de industrie u wil laten geloven. Als voorbeeld noemt hij de inzet van Network Access Control of NAC, dat ondernemingen helpt zich te wapenen tegen ongenode gasten die een machine fysiek op het netwerk aansluiten. Na een goede risico-analyse zou volgens Corman heel goed kunnen blijken dat dit risico de top drie van uw beveiligingsproblemen niet eens haalt. Ook de gerenommeerde beveiligingsexpert Bruce Schneier heeft al eerder gewaarschuwd voor zogenaamde "filmscenariobeveiliging". Veel problemen zijn eerder op te lossen door interne processen en configuraties goed door te lichten en aan te passen, dan door dure producten te kopen.
Hetzelfde patroon keert terug bij de risico's, die zwakke plekken in programmatuur met zich meebrengen. De aanbieders van beveiligingsoplossingen schreeuwen wel heel hard dat er lekken in programmatuur zitten en dwingen zo updates af, maar in werkelijkheid is de zwakste schakel de mens zelf. Gebruikers laten het met wachtwoorden en configuratie vaak afweten en zorgen daarmee voor veel grotere risico's.
Gedeeltelijke bescherming
Als de bedrijven wel oplossingen bieden voor serieuze risico's, bijvoorbeeld met endpoint-oplossingen voor bedrijven tegen botnets, dan hebben particulieren vaak het nakijken. De software op hun werkstation is niet geschikt om tegen dat soort zaken afdoende bescherming te bieden en concreet misbruik te stoppen. Voor Corman is dat ook de reden dat de stormworm zo ongelofelijk succesvol is.
Tot slot wekken de spelers in de industrie ten onrechte de indruk dat zij de Heilige Graal bieden met hun oplossing. Daarbij geven zij klanten ten onrechte het gevoel dat zij zelf niet in staat zijn de beveiliging te regelen, omdat dat nu eenmaal te complex voor ze is. Maar in werkelijkheid leveren zij slechts standaardoplossingen, die onvoldoende oog hebben voor de specifieke situatie van bedrijven. Corman: "Het is echt onvoldoende alleen het juiste gereedschap in handen te hebben." Goede configuratie van de omgeving blijft volgens hem de crux. Laat dat nou een taak zijn die het IT-personeel zelf het beste kan uitvoeren.
