Vi letar ständigt efter Produkten med stort P som skall
lösa alla säkerhetsproblem, samtidigt som vi på långa vägar inte
utnyttjar alla de funktioner som de befintliga säkerhetsprodukterna
kan ge. Paradoxalt, eller bara tidens anda?
Den gamle trotjänaren i form av brandvägg blir ofta beskylld för
att vara omodern och otidsenlig. Kanske för att den i grunden
enbart undersöker portar och protokoll utan att ha någon egentlig
förmåga att identifiera applikationen som använder protokollet.
Flera menar att utvecklingen av brandväggen upphörde efter
införandet av Stateful Packet Inspection.
Trots detta har det nog aldrig lagts ned så mycket tid som nu på
att klassificera applikationer, finna det signifikanta och skapa en
signatur som sedan kan användas för att kanske fria eller fälla
trafik i en "modern" brandvägg. Vilken nydaning, eller bara gammal
teknik i nya kläder? Eller rättare sagt gammal teknik i gamla
kläder.
Signaturerna är som bekanta inte vattentäta. Minns hur mycket vi
under de senaste åren beskyllt antivirustillverkarna för att
förlita sig på gammal, reaktiv teknik. Skillnaden är möjligen att
de inte enbart görs signaturer av elaksinnad kod utan även normala
applikationer som Skype, Teamviewer, TOR, Facebook med flera. IPS
kanske någon tänker?
Faktum är att flera brandväggstillverkare sedan länge adderat IPS-
och antivirusteknik i sina produkter i ett led att bättre förstå
applikationslagret och därmed förmå att reagera på vad som klassas
som normalt eller onormalt. Signaturhanteringen i brandväggen har
fått till följd att brandväggens prestanda märkbart påverkas vilket
leder till behov av väsentligt kraftfullare brandväggar för att
göra inspektionen möjlig.
Det mest allvarliga problemet med signaturer, oavsett om det är i
ny förpackning eller ej, är att det kan bli fel, eller rättare
sagt, det blir fel förr eller senare. Följden blir kanske att vår
affärskritiska applikation blockeras, eller att vi kanske inte alls
har det skydd vi trodde vi hade för att applikationen vi trodde vi
blockerat inte är blockerad längre.
Ganska nyligen såg vi stora konsekvenser av detta då en
antivirustillverkare skickade ut en signaturuppdatering som
blockerade en viktig systemfil i Windows XP, och det var absolut
inte första gången det hände. Säkerligen inte heller den
sista.
Tillverkarna brukar snabbt påpeka att lösningen är heuristik
(djupare och intelligentare analys än signaturer), men även det
uppvisar brister. Trots bristerna har signaturigenkänning absolut
en roll att fylla i en modern säkerhetslösning, men den
ingrediensen precis som alla andra ingredienser skall användas
utifrån sin karaktäristik.
Den trista sanningen är att fortsatt bygga skydd i lager, att
sträva mot att inte lägga alla ägg i en korg och inte minst bygga
lösningar där skadeeffekterna är minimala. Formen, förpackningen
eller färgen är sällan eller aldrig avgörande i den strävan,
pr-byråer och marknadsförare till trots.
