Så här fungerar en säkerhetsuppdatering

[ifrån min krönika på trendspaning.se]

Förra veckan drabbades Internet Explorer av ett säkerhetshål som fick ett stort genomslag i media. Då jag arbetar som Microsofts talesperson i säkerhetsfrågor så ni kan föreställa er att det var en vecka som inte direkt inbjöd till långa fikapauser utan snarare till många och långa diskussioner med media och kunder. I Sverige har Microsoft en 24/7 jour med säkerhetsspecialister som kontinuerligt bedömer säkerhetsläget samt vilka åtgärder som behövs på den svenska marknaden – så även utan fikapauser blev mitt behov av kaffe tillfredställt.

Under en IT säkerhetskonferens i veckan så fick jag en fråga som jag tänkte använda den här kolumnen att reflektera över.

Vilket IT -strategi skall jag ha kring säkerhetsuppdateringar för att känna mig komfortabel?

Innan jag återkommer till den specifika frågan så skulle jag dock vilja börja med att göra två stycken observationer.

Observation 1: 1999 fick du ett mail du inte ville ha

1999:

  • var vi mitt i Internetboomen
  • bara 1/3 av alla användare hade tillgång till Internet
  • visste ingen om att brandväggar existerade
  • låg prioriteten på att utnyttja potentialen i IT, inte på säkerhetsfrågor
  • fredagen den 23:e mars 1999 drabbades världen av Melissa, ett av vår tids mest ödesdigra e-postvirus

Från den dagen eskalerade antalet attacker mot oss; vi såg LoveLetter, Nimda, Slammer, MyDoom och Sasser ånga på i framgångsrika segertåg över jordklotet.

clip_image002

Runt mitten av 10-talet insåg man att det var nödvändigt med en fundamental förändring. En förändring kring hur användare, utvecklare och IT avdelningar ser på säkerhet. Och världen började göra motstånd.

Observation 2: Idag har vi ett bättre försvar

Om ni tittar på bilden ovanför kan man göra en intressant observation. Från år 2004 går det allt längre mellan framgångsrika attacker och trots att attackerna blir allt mer avancerade så är vi samtidigt också mer förberedda – den naivitet som fanns för 10 år sedan är inte lika utbredd idag. Programvaror blir allt bättre och får färre brister, ett exempel på detta är SDL eller Security Development Lifecycle som infördes i Microsofts utvecklingsprocess 2004. Låt oss nu 2010 ta en titt i backspegeln och se om detta har gett någon effekt?

clip_image004

Absolut! Det är dock värt att observera att antalet sårbarheter inte är noll. Komplexiteten i antalet frihetsgrader du kan använda program till i kombination med att omgivningen hela tiden förändras gör att man måste vara beredd på att täppa till eventuella nya sårbarheter som dyker upp.

Vilka verktyg har du att skydda dig?

Ett av de bästa verktygen att effektivt täppa till hål är Windows Update. Bilden nedan visar antalet felrapporter som skickades in till Microsofts felrapporteringssystem i mars 2007, fel som orsakades av trojanfamiljen Win32/Renos började infektera datorer runt i världen. Efter att en ny signaturfil till Vistas Windows Defender skickades ut via Windows Update kan man se en snabb minskning ifrån 1,2 miljoner till c:a 100 000 rapporter per dag.

clip_image006

Det ser enkelt ut men en uppdatering ifrån Windows Update är något som måste tas på allra största allvar. När vi trycker på knappen för en uppdatering så uppdateras i ett första steg direkt mellan 350-500 miljoner datorer med en hastighet på över 500 gigabits per sekund och i nästa våg uppdaterar företag med egna uppdateringsservrar minst lika många. Det räcker inte att vara 99 % säker på att det kommer fungera.

Konklusion: Sitt inte still i båten

På den positiva sidan så lever i en allt mer förberedd värld men hoten ökar samtidigt också i omfattning tyvärr. Att skapa en IT-säkerhetsstrategi handlar inte om att hoppa mellan olika programvaror i hopp om att hitta lösningar utan fel eller att försöka gömma dig för problemet och stoppa huvudet i sanden; det handlar om att inse att världen ändrar sig blixtsnabbt och att du måste både vara beredd på att blixten kan träffa just dig eller ännu hellre vara tillräckligt snabb för att undvika den. Se till att du har möjlighet att vara flexibel utan onödiga inlåsningar, slå på automatisk uppdatering (det är ett fantastiskt verktyg) och förstå att det som var säkert igår inte nödvändigtvis är säkert idag.

Så, sitt inte still i båten om du har läckor utan täta hålen med rätt verktyg.

Kommentera

Fyll i dina uppgifter nedan eller klicka på en ikon för att logga in:

WordPress.com Logo

Du kommenterar med ditt WordPress.com-konto. Logga ut / Ändra )

Twitter-bild

Du kommenterar med ditt Twitter-konto. Logga ut / Ändra )

Facebook-foto

Du kommenterar med ditt Facebook-konto. Logga ut / Ändra )

Google+ photo

Du kommenterar med ditt Google+-konto. Logga ut / Ändra )

Ansluter till %s