Det är dags att erkänna att teknikbranschen har svikit sina kunder när det gäller cybersäkerhet och dataskydd. Vår bransch bygger på tilltro till att vår mjukvara och hårdvara fungerar som de ska. Kunddata ska behandlas konfidentiellt och vår förmåga att skydda integriteten och tillgången till affärskritiska system är viktigt för kunderna. Vi förtjänar detta förtroende varje dag, genom att skydda våra kunders kritiska applikationer och känsliga data i en värld som blir allt mer mobil och där molntjänster blir allt mer vanliga. Utmaningen växer sig hela tiden större, eftersom applikationsarkitektur utvecklas snabbt och programmen i sig själva blir ett primärt mål för cyberkriminella.
Albert Einstein har sagt följande: ”definitionen av galenskap är att göra samma sak om och om igen, men att förvänta sig olika resultat.” Tyvärr är det en god sammanfattning av det sätt som cybersäkerheten hanteras idag. Om vi inte gör om vår grundläggande säkerhetsmodell, kommer vi aldrig att kunna gräva oss ur det här hålet.
Transformera cybersäkerhet: Från att jaga det dåliga till att säkra det goda
Problemet är inte brist på innovativa produkter, faktum är att det redan idag sker en fantastisk innovation inom cybersäkerheten. Problemet ligger i vårt grundläggande förhållningssätt, som grundas i att släcka bränder. Det är en oändlig kapprustning och vi tycks alltid hetsa för att komma ikapp. När du bara släcker bränder är det som att du ständigt söker efter en nål i en höstack.
Men om vi istället skulle ha det motsatta förhållningssättet? Det vill säga att vi skulle överge den tidigare modellen helt och istället fokusera på våra försök att ”säkra det goda”? Kärnan i detta, att garantera säkerheten, är en återupplivning av det gamla cybersäkerhetskonceptet som handlar om ”least-privilege”, det vill säga begränsad åtkomst. Här ges användare och systemkomponenter den absoluta miniminivån av åtkomst, funktion och interaktion som krävs. Med andra ord – har du inte full tillgång – så har du inte det. Den stora skillnaden idag – och det stora genombrottet – är att vi nu har förmågan att skala detta förhållningssätt utan att kompromissa innovationstakten hos våra kunder.
Strategin att garantera säkerheten går långt bortom den rigida så kallade ”lock down”-metoden som innebär en direkt utestängning. Vi talar om ett förhållningssätt som är mycket mer nyanserat och sofistikerat. När vi utnyttjar den minskade åtkomsten för att garantera säkerheten, handlar det om att hitta den rätta balansen mellan säkerhet och behovet av snabb och flexibel service. Det är precis som bromsarna på en bil – syftet är inte att du ska bromsa ner, de finns där för att du ska kunna köra snabbt.
Tre grundläggande principer för att garantera säkerheten
Det finns tre grundläggande principer för att garantera säkerheten. Den första är att utnyttja en säker infrastruktur för att implementera den begränsade åtkomsten i miljöer kring applikationer. Den andra är att bemyndiga ekosystemet genom att exponera gränserna och sammanhanget för dessa miljöer och gör det möjligt för ekosystemet att anpassa sig till dessa gränser. Och den sista principen gör det enkelt att öva på bra cyberhygien.
Säker infrastruktur
En säker infrastruktur förändrar spelreglerna genom att göra det möjligt för dig att snabbt stänga ner kritiska applikationer och data, bygga in säkerhetskontroller och en fungerande process för cyberhygien. Det här är inte bara infrastruktur som är uppbyggd på ett säkert sätt, utan den gör det även möjligt för dig att förstå relationen mellan applikationer och infrastruktur samt att skapa miljöer för begränsad åtkomst runt dem.
Infrastruktur som är koncentrerad på att garantera säkerheten måste ha inbyggda funktioner från grunden. De måste vara strikt anpassade till vad vi bryr oss mest om: applikationer och data. Idag anpassas alltför många cybersäkerhetskontroller till delar av hårdvaran som sitter djupt inne i infrastrukturen – som till exempel en router, växel eller server.
Varför är det så? Därför att i en värld som drivs av hårdvara, kan vi inte placera dem på något annat ställe. I en värld som drivs av mjukvara, har vi däremot utrymme att arbeta på ett mer flexibelt sätt än med bara en uppsättning av osmidiga hårdvarubaserade lösningar.
Stärka ekosystemet
Ekosystemet för säkerhetskontroller behöver en priviligierad ställning i IT-miljön för att effektivt kunna fokusera på att garantera säkerheten. Dessa kontroller måste ha tillgång till en rik kontext kring de applikationer och data som de försöker skydda. De måste även ha total täckning vad gäller synlighet och kontroll. Många uttrycker redan sin entusiasm över de förändringar som gjorts för att garantera säkerheten och har börjat titta på överbryggningsmetoder för att kunna lösa eventuella problem.
Cyberhygien
Det mest effektiva sättet att förhindra brott är att konsekvent säkerställa grundläggande cyberhygien. Det är också en grundläggande princip för att garantera säkerheten. Trots detta fortsätter vi att misslyckas med cyberhygienen. Detta beror inte på att säkerhetsansvariga inte förstår att det behövs, utan att cyberhygien har blivit alltför svårt i en värld som präglas av ständig förändring. Det är uppenbart att vi måste göra en radikal förenkling när det gäller sättet att träna på de fem grundpelarna för god cyberhygien.
När det gäller de säkerhetsbrott som har skapat stora rubriker under de senaste åren, skulle samtliga ha kunnat undvikas helt eller åtminstone till stor del, om den utsatta verksamheten hade följt dessa grundläggande principer.
När det gäller säkerhet ställer vi oftast frågor om hur man säkrar den. Vad vi istället borde fråga är, ”hur kan jag utnyttja min IT-infrastruktur på nya sätt för att förändra och förbättra säkerheten?” I en tid då tekniken har misslyckats med cybersäkerhet är det dags att skrota den gamla säkerhetsmodellen och förändra den radikalt.
Pat Gelsinger, VD, VMware
Kategori: Nyheter och höjdpunkter
Inga kommentarer ännu