Säkerhetens nya ansikte

Har skrivit en artikel på LinkedIn där jag summerar nästan ett års fantastiskt lärorika dialoger med tusentals smarta människor.

Du hittar den här

 

LinkedIn säkerhetens nya ansikte

Annonser

Globalt goda moln

Som en fortsättning på mitt inlägg om Azure i Tyskland från i fredags kommer nu ett kraftfullt initiativ från Microsoft kallat ”Cloud for global good”. Min förhoppning är nu att samtliga större globala molnaktörer kliver fram och gör lika tydliga policybeslut. Dessutom har jag en lite mera hemlig förhoppning om utökat samarbete mellan våra lokala aktörer och ”de stora”. Men, den behåller jag för mig själv ett tag till…

Nygamla molnlöften

Om rätt så exakt två veckor sitter jag i panelen som ska göra en kritisk granskning av molntjänster under Internetdagarna 2015. Har ägnat helgen åt att gå igenom ”gammalt” tänk, presentationer och skisser för att därigenom få ett nuläge, samt vad som har skett utvecklingsmässigt de senaste 4 – 5 åren. Bland allt material hittar jag en presentation som är ytterst aktuell även idag, drygt 3 år senare (förutom själva titeln då). Än idag pratas det om ”skugg-it” och hur organisationer ska komma till rätta med detta. Mitt perspektiv är att sälja in värdet för både verksamhetssidan och it-funktionen, samt att sätta rätt förväntningar.

konsultkollegiet

Offensive intelligence-led cyber defense

Tre nya linjer till ett offensivare försvar

Ägnar med stor fascination mycket tid åt frågor som rör smartare skydd mot kriminella och vandaler i vårt digitala landskap. Slås av hur ofullständigt uppdaterade många av oss är i frågorna (privat såväl som professionellt). Många organisationer som aktivt har jobbat med cybersäkerhetsfrågorna genom åren har en god grund att stå på. Främst i fråga om medvetenheten om frågan, men även när det gäller effektivt försvar mot olika former av intrång eller försök att stoppa verksamheten. Modellen att jobba med säkerhet på djupet (defense in depth) har blivit ett väletablerat begrepp. Nu sker även en förskjutning mot mera policybaserat säkerhetsskydd på djupet.

Slide2

Bild 1. Säkerhet på djupet – Ett ramverk mot kända it-angrepp.

Som min grovt förenklade bild visar är en etablerad modell med säkerhet på djupet ett adekvat försvar mot kända brottsförsök. Välj vilken organisation som helst av idag och de som arbetar med cybersäkerhetsfrågorna kan vittna om ett otal försök till illegala aktiviteter varje dag. Lyckligtvis stoppas den absoluta majoriteten genom de skydd och förmågor som finns enligt modellen. De som kommer igenom hanteras av den del i organisationen som har till uppgift att reducera skador av inträffade incidenter.

Utmaningen ligger i att hantera det som inte är känt och som ingen har utvecklat någon form av signaturer eller skydd mot. Men, det kan hanteras genom effektiv beredskap mot det okända.

Att titta mot molnen

Molnet har varit på mångas läppar genom de senaste 6 – 7 åren. Utifrån ett verksamhetsperspektiv kan molntjänster vara en enorm konkurrensfördel för att snabbt göra något på marknaden. Just ”TTM”, Time To Market, är en av USP:arna för molnleverantörer och affärsområdeschefer gillar snabbrörlighet. Många som jobbar med cyberförsvar har stora utmaningar i att få till nuvarande karta att passa in i modellen med säkerhet på djupet.

Slide3

Bild 2. Molnformationer ingår inte fullt ut i modellen.

Det finns ett antal goda hjälpmedel att gratis ta hjälp av, exempelvis de guider som Cloud Security Alliance Sverige tillhandahåller. Men, molntillväxten är en rejäl utmaning för cybersäkerheten. För, i ärlighetens namn är det inte bara ljusa, fina och fluffiga moln som växer.

Slide4

Bild 3. Svarta moln finns där – även om de inte syns.

Darknet kallas även för the deep web eller dark web. Namnen är ett begrepp för hemliga nätverk som har någon form av kryptering som skyddar mot insyn från det öppna Internet. Det mest uppmärksammade sådana nätverket idag är Tor (The Onion Router). För den som vill starta en kriminell bana i cyberrymden finns välsorterade marknadsplatser att besöka för att förse sig med rätt verktyg.

Effektivare offensivt försvar

Som rubriken för det här inlägget lyder är det tre nya linjer i ett offensivt försvar som jag har tittat på. Illustrerar först med en bild och förklarar därefter kort vad jag menar.

Slide5

Bild 4. Tre nya offensiva försvarslinjer.

Den första linjen som symboliseras av ett förstoringsglas handlar om att skaffa dig intelligens genom inhämtning och analyser av det mörka Internet. Att förstå vad som är på gång innan det finns färdiga skyddsmekanismer gör att en organisation kan förebygga lyckade attacker genom olika former av manövrer.

Den andra linjen är det jag beskrev i mitt tidigare inlägg om intelligence-led cybersecurity. Det handlar om att föra in matematiska algoritmer som hittar abnormalt beteende. Resultaten kommer med största sannolikhet att initiera mera specifika kartläggningar av det mörka Internet för att förstå hoten i detalj. Den här offensiva försvarslinjen skulle slarvigt kunna kallas för att ”förstå det okända”.

Den tredje linjen är en direkt fortsättning från mitt förra inlägg om Illusive Networks och idén med honungsfällor. För att köpa dig tid att hitta rätt manövrer och/eller permanent skydd mot okända hot ser jag den här formen av förmåga som viktig. Tekniken handlar i korthet om att jobba med desinformation och illusioner. Banditen som angriper dig vill efter lyckat inbrott i din digitala milö kartlägga alla dina tillgångar. Något som honungsfällan aktivt tillåter genom att skapa nya tekniska miljöer vartefter som kartläggningen pågår. För att skapa hög trovärdighet kan även mängder av falska person-, kontokorts- och transaktionsuppgifter laddas i falska databaser. Givetvis är det nonsensdata, men det vet förhoppningsvis inte brottslingen i andra änden. På så vis skapas tids- och manöverutrymme för att säkra tillgångarna.

Avslutar med att föreslå ett begrepp för de tre nya linjerna: ”Offensive intelligence-led cyber security”.

Uppdatering: Tack till mina otroligt duktiga kollegor Peter Reuterås och Andreas Pardeike för upplyftande diskussioner.

Standardsystem – standardisering åtestår

Standardiseringen av it-funktioner och leveranser pågår för fullt. Personligen har jag under en längre tid haft en tilltro till standardiseringen av it-leveransen i två plan:

  • Dels genom tjänsteleveranser via det så kallade molnet med modeller där kunder betalar för faktiska behov och förbrukning. Genom att lägga över rätt standardiserade processer med tillhörande informationsbehov i molnet kan verksamheterna fokusera på utveckling/förädling av det som särskiljer organisationen mot andra. E-post, samverkan, marknadsaktiviteter, logistik, ekonomi och en hel del annat kan på ett relativt okomplicerat sätt läggas ut i molnet.
  • Stora aktörer som erbjuder standardiserade paket (så kallade COTS, Commercial Off-The Shelf) med konfigurerbara komponenter som gör att utvecklingstiden kortas och därmed en snabbare närvaro på marknaden. Många kunder delar på vidareutvecklingskostnaderna genom licens- och underhållsavtal. Dessutom ingår modernisering av gränssnitt/funktioner. Allt till en låg livscykelkostnad.

Med tanke på en tilltagande hyperinflation i tilltron till molnleverantörer från USA (samt NSA´s allierade) är massmigreringen till molnet sannolikt försenad. Tror däremot att en fortsättning följer när dammet har lagt sig. Tjänsteleveranser via ett öppet nätverk när ens ”alla” kunder/målgrupper lever inom det öppna nätverket är ett för bra värdeerbjudande för att försvinna. Därför är jag övertygad om att vi bara har sett början på en massmigration (naturlig sådan) till molnet.

I fråga om standardsystem tänkte jag hålla mig på ett övergripande plan och adressera kärnan i problemet med konceptet. Börjar först med den tekniska aspekten.

Standardsystem – hur mycket är standard?

I fråga om standardsystem börjar jag svikta i min övertygelse. Det viktigaste skälet handlar om trögrörlig massa mot en ständigt föränderlig verklighet (ner om detta under sektionen ”Kompetensroller” längre fram). Med trögrörlig massa menar jag själva standardsystemet och dess leverantör. De stora aktörerna köper ständigt upp nya företag för att addera mer värde till sina system. För att kapitalisera på investeringarna sker det sällan en integration mellan den uppköpta teknik och befintliga komponenter i systemet som ska få funktionellt tillskott. Istället växer integrationsbehoven mellan ostandardiserade pusselbitar inom en och samma produkt exponentiellt med antalet uppköp/tillskott. För att lösa detta skapar företagen i fråga ännu större standardmellanvara som erbjuds som ytterligare standardsystem för att få delarna inom nyss köpta standardsystem att fungera.

Nu kommer nästa härliga upptäckt. Mellanprogramvaran består av en myriad komponenter som ibland har stöd för industristandarder och underlättar genom det samexistens med andra leverantörers komponenter (interoperabilitet). Tyvärr visar det sig vara mer regel än undantag att de få komponenter som har stöd för olika standarder ligger någon generation bakåt i tiden avseende version av nämnda standard som stöds. Övriga komponenter är helt egna entiteter som leverantören pushar hårt för att på så vis skapa de-facto-standarder.

Lägg till det olika former av rigida licensieringsmodeller som ibland helt frångår realiteterna på vår planet.

”Jaha. Din organisation använder sig av VMware på x86-plattformen. Nej, vår licens gäller inte där. Du måste köra virtualisering från oss, alternativt betala fysiska licenser per virtuell instans!”

Kompetensroller

Med fullt medvetande om de tekniska ramarna och spelets regler är första grundstenen på plats. En ännu viktigare grundsten är kompetensfrågan och rollbesättningen. Många stora standardsystem har funnits på marknaden i decennier och kompetenstillgången borde överträffa potentiell efterfrågan. Stora implementationer har genomförts globalt och roller som verksamhetsarkitekter, teknikarkitekter, process-/metodutvecklare, verksamhetsspecialister, teknikspecialister, databasexperter, projektledare med flera borde vara standardiserade och erfarna. Inte så säkert!

Som kund behöver man tänka mera som Hollywoods filmbolag. Hitta en duktig castingperson som tar fram profiler och kandidater för rollerna, intervjuar, testar och slutligen rollbesätter. Därefter gäller det att ha ett verksamhetsteam som noggrant nagelfar minsta lilla förändringsbehov som uppstår under resans gång. Världen står inte still under implementationen av standardsystem och/eller komponenter inom detsamma.

Så mycket mer, så lite tid

Har uppslag som jag skulle kunna utveckla en hel del, men det får jag ta i en serie av inlägg eller helt enkelt skriva en bok. Stannar därför upp nu när jag har fått upp ångan. Summerar inlägget med att råda alla följande:

  • Har du precis ett affärscase för standardsystem att ta ställning till? Vet då att alla estimat är högnivåestimat och bygger på föreställningen att en ytterst begränsad inramad leverans utan minsta förändringsbegäran ska genomföras. Det case du har i din hand är en utopi och du behöver ha med faktoriserad fördyrning med i ditt scope.
  • Har du gjort en casting och fått svart på vitt att kompetensen finns hos din partner/partners? Tillgänglig när du behöver dem?
  • Hur väl integreras standardsystemet i din befintliga miljö?
  • Är det modernt i gränssnitt och i ingående komponenter: Det vill säga att det inte låser dig till en specifik Javaversion, webbläsarversion eller liknande.

Har du full koll? Bra, förutsättningarna finns.

På Oracle OpenWorld i San Francisco

Utanför hotellrumsfönstret går solen sakta ner mot horisonten. En högsommardag är till ända och jag tar några minuter för att pusta ut och svida om innan kvällens aktiviteter startar. Efter en hel helgs möten, advisory boards, executive roundtables, keynotes och breakout sessions är det många intryck som snurrar runt. Jag ska ta och samla mig innan jag börjar skriva ner tankar och intryck på bloggen. Många stora omställningar pågår simultant: Oracles stora trumma avseende Cloud Computing och omställningen som det innebär. Fortsatta satsningar på mobilt BI. GoldenGate som svaret på all världens integrationsbehov och mycket, mycket mer pockar på uppmärksamhet. Jag lovar att återkomma inom kort.

 

Sömlöshet och integration skingrar dimmorna i molnen

Behörig åtkomst till rätt information oavsett tid, plats eller enhet. En självklar princip? Det beror på! Nystartade organisationer som ännu inte har vuxit i antal anställda eller expanderat geografiskt till olika språkområden och tidszoner har goda möjligheter att leva efter principen. Där ser jag molnet som ett lika naturligt förstahandsval som Daniel Alfredsson som lagkapten för Tre Kronor. För att skala upp det hela rejält så att samtliga internetanvändare har sömlös nytta av molnet behövs ett antal grundläggande mekanismer som möjliggörare:

Adresser så att de räcker

Vår nuvarande version av IP-protokollet har nått vägs ände. Vi behöver ha ett Internet baserat på IPv6 för att slippa begränsningar med adresser som inte räcker till. För den som inte vet skillnaden i antalet tillgängliga adresser har jag gjort en enkel liten uppställning över antalet möjliga adresser per version:

IPv4:                                                                                4 294 967 296

IPv6: 340 282 366 920 938 463 463 374 607 431 768 211 456

För att illustrera hur många adresser som ryms med IPv6 så kan varje atom på jordens yta tilldelas runt 100 adresser.

Öppet Internet

Internet har utvecklats som ett helt öppet nätverk av nätverk och kan ses som en självklar resurs. En digital allmänning. För att utvecklingen ska fortsätta är det viktigare än någonsin förr att värna om den digitala allmänningen och bekämpa galna inmutningsförsök från olika krafter. Är vi inte lite vakna och vokala kommer Internet att likna stränderna längs promenade des anglais i Nice: Mängder av inhägnade strandremsor reserverade för en viss inrättnings gäster och ett fåtal publika strandremsor för alla andra.

Öppna format och protokoll

Genom öppenhet i formaten och protokollen bland molnen får vi känslan av sömlöshet och integration. En av de större trenderna på senare tid har varit BYOD (Bring Your Own Device) och det bör vara en självklarhet att kunna arbeta mobilt och alltid ha rätt åtkomst till information; som individ eller i team. Då blir begrepp som ”big data” ointressanta. Istället kan vi arbeta oss uppåt i värdepyramiden: Utifrån data skapar vi information, från vilken vi skapar oss kunskap, ur vilken vi bygger visdom.

Rimliga programmerings- och integrationsgränssnitt

Molnets framgångsrika exempel behöver vara förebilder och erbjuda programmerings- och integrationsgränssnitt under rimliga villkor. De alla bästa innovatörerna kommer att få allt fler anhängare samtidigt som de växer och tjänar pengar. Ett win-win i många led.

Jag tror starkt på att molnsourcing är den rimliga vägen framåt och att vi 2018 har högspecialiserade molnmäklare/agenter som säkerställer rätt värde för investeringarna.