Hur kan vi förebygga intrång och vad menas egentligen med ”preventiv” IT-säkerhet?

[KRÖNIKA] I diskussioner om IT-säkerhet används ofta begrepp som ”prevention” och ”förebygga”. Till exempel i frågeställningar som: Hur förebygger vi attacker så att de inte lyckas?

Ola Jönsson, Palo Alto Networks

Vilka typer av angrepp kan vi arbeta preventivt mot? Detta är viktiga frågor för säkerhetsansvariga att arbeta med, och säkerhetsleverantörer lovar ofta att deras särskilda metod förhindrar attacker.

Men attackerna fortsätter, och de leder ofta till olika typer av intrång. Så om säkerhetsmarknaden är full av lösningar som är tänkta att förebygga attacker, varför sker det fortfarande så många intrång?

Enligt min mening är det en fråga om att hoten ständigt utvecklas. IT-säkerhet ??är ett område med snabba förändringar, där nya malware, ransomware och andra attacktekniker ständigt utvecklas för att kringgå de senaste säkerhetslösningarna. Denna dragkamp har pågått i många år, men det som ändrats under de senaste åren är förändringstakten, den stora mängden nya hot och att attackerna blir allt mer sofistikerade.

Problemet försvåras av att många äldre typer av skydd skapades för att stoppa gårdagens attackmetoder – men de är fortfarande i bruk. I en undersökning som nyligen genomfördes av SANS Institute uppgav 85 procent av de tillfrågade att de gjort tekniska åtgärder för att i förebyggande syfte blockera kända malware. Men mindre än 40 procent uppgav att dessa åtgärder faktiskt fungerat som det var tänkt, alltså förebyggande.

De flesta äldre säkerhetslösningar utvecklades för att ta itu med ett specifikt säkerhetsproblem. När nya hot uppstod skapade leverantörer nya punktlösningar för att åtgärda dem. Resultatet är att många organisationer har en hel samling säkerhetsanordningar från olika leverantörer. Problemet är att denna strategi leder till att det finns luckor kvar, vilket motståndarna kan dra nytta av.

Frågan är då varför vi fortsätter beskriva äldre säkerhetsteknik, som faktiskt inte förhindrar attacker, som “förebyggande”? Det börjar helt enkelt bli dags att skapa en ny definition av vad ”preventiv” eller “förebyggande” betyder när det gäller IT-säkerhet. En definition som bättre stämmer överens med vad vi brukar mena i dagligt tal med att förebygga.

För att på riktigt kunna arbeta förebyggande behöver säkerheten fokusera på att identifiera de underliggande tekniker som används för attacker. På så sätt går det att sätta stopp för en hel typ av attacker. För faktum är att medan mängden malware växer i antal för varje dag, så har inte de underliggande metoderna som används alls utvecklats lika snabbt.

Dessutom måste förebyggande handla om att automatisera. Idag har IT-ansvariga svårt att hinna med att ta hand om alla varningar som deras lösningar skickar dem. Det behövs mycket information om vad som hänt för att avgöra vad som behöver göras. Men många attacker skulle i stället kunna identifieras och förhindras av en automatiserad lösning, utan att det krävs någon mänsklig inblandning.

Slutsatsen blir därför att det behövs moderna metoder för att kunna arbeta förebyggande. Det är i praktiken bara en lösning som täcker hela nätverket, som arbetar automatiskt och som klarar tidigare helt okända hot som på riktigt är preventiv. Målet måste vara att hjälpa organisationer att bli immuna mot cyberattacker.

Ola Jönsson, Palo Alto Networks