Google demonstrerar viktig säkerhetsstrategi

8/09/2009

President Obamas insatser inom IT-säkerhetsområdet känns lovande. Hur det genomförs och lyckas kommer inte bara påverka USA utan hela världen. En bra sak är att han tar det lugnt och inte stressar fram beslut som kommer påverka under många år. Ett exempel på det är att han tillfälligt stoppade införandet Einstein 3 för genomgång liksom att han tar tid på sig att utse sin "cyber-security czar".

Frågor som senaste månaderna diskuterats i USA av DHS, NSA, DOD, företag och olika icke-statliga organisationer är hur man ska lägga upp strategin på nationellnivå och var man ska hitta tillräckligt med specialister som kan implementera det.

Bättre Infrastruktur gör allt lättare

En idé jag bloggade här är att stödja infrastruktur för att göra säkerhet lättare och billigare:

UPPMUNTRAN OCH MÖJLIGHET ISTÄLLET FÖR INGREPP

Första steget blir att dokumentera pågående och befintliga statliga och icke-statliga projekt och lösningar. I öppenkällkod m.m. finns massor av bra lösningar och att lösa dem flera gånger tillför långt ifrån alltid. Det kan ge många fler värden:

1. Lösningar som redan används av stora grupper kan uppnå högre säkerhet:

  • Stor statlig användning kan göra att fler säkerhetshål upptäcks kortsiktigt och höjer allmänt resistens mot Zero-Day attacks.
  • Samarbete där man liksom många andra bidrar till projektet kan medverka till högre säkerhet på lång sikt.
  • Kontakt i samarbete med andra i projekten för ut och sprider kunskap.
  • Spridande av kunskap och säkerhetsrutiner tror jag dramatiskt kan öka säkerhetsnivån för projekt vilka inte utvecklar säkerhetslösningar (t.ex. komprimering till webbläsare och kommunikationsprotokoll).

Effekten det ger tror jag är mycket större än tvingande lagar.

2. Ett problem som flera gånger tagits upp av olika amerikanska myndigheter är brist på personer att rekommendera som kan IT-säkerhet. Det har här tidigare bl.a. diskuterats i:

10 000 KRIGARE REKRYTERAS MED US CYBER CHALLENGE

För man ut kunskap och resurser till befintliga projekt bidrar det till att lösa detta problem. Mindre problem i produkterna reducerar behovet. Samtidigt förs kunskap ut till viktiga personer som för dem vidare på sina företag.

Vidare samlas kunskap om existerande grupper med personer med kompetens att lösa väldigt specialiserade problem. Dessa problem kanske inte ofta uppstår men när de gör det kan problemet bli större.

Slutligen kan det tillföra kompetens hos DHS m.fl. Det kan även handla om kunskap om fler kompetensprofiler som kan lösa olika typer av praktiska säkerhetsproblem. Att annonsera efter personer som anser sig kunna säkerhet kanske är mer begränsat än det behöver vara?

3. Om DHS m.fl. tänker börja rekrytera så pass många som nu diskuteras finns kanske en risk att det blir kontraproduktivt om de inte bidrar med ordentligt utåt. Detta genom att tillgången på kompetens bland privata företag minskar.

Google bra exempel på hur stora värden man når

En mycket stor aktör jag såg faktiskt delvis redan arbetar på detta sätt är Google. Deras säkerhetsgrupp gav några exempel på hur de bidrar till omvärlden i inlägget:

Improving web browser security

Bättre exempel på hur enormt stort värdet kan bli går knappast att få. Trots att Google relativt DHS, NSA och DOD är väldigt små har stor värden genererats bara utifrån avseende vad de tar upp som exempel i inlägget:

1. Säkerhetsprodukter och lösningar som alla kan använda.
Ex: Fuzzer, Browser DOM access checker, Ratproxy.

2. Dyra egna utredningar av hög kvalitet publiceras fritt så att alla får nytta av dom.
Ex: Browser Security Handbook .

3. Samarbete med andra leverantörer.
Ex. Upptäcker och rapporterar säkerhetshål i andras produkter, delar kodbas med Mozillar m.fl.

4. Rapporterar säkerhetshål.
Ex. Apple Safari cross-domain XML theft, Mozilla Foundation Security Advisory 2008-64, Microsoft Security Bulletin Summary for August 2008.

5. Stödjer samarbete med infrastruktur.
Ex: code.google.com.

6. Medarbetare deltar i och samarbetar med olika projekt.

Tänk dig nu att man gör detta bredare och djupare med enormt mycket större resurser och en samlad strategi. Effekten skulle inte bara bli enorm utan rätt gjort uppnås kortsiktigt stor påverkan.

Mer relaterat på SEOTaktik

BRA OKÄND SÄKERHET I GMAIL OCH CHROME

GOOGLE VOICE GÅR UT I FÄLT

UPPMUNTRAN OCH MÖJLIGHET ISTÄLLET FÖR INGREPP

TWITTER UNDER ANGREPP

TWITTER-ANGREPPET: STATISTIK, MOTIV OCH METOD

DOS-ANGREPPET MOT TWITTER: MER OM MOTIV OCH SÄKERHETSHÅL

SÄKERHETSPROBLEM FÖR SOCIALA MEDIA I SAMMANFATTNING

U.S. MILITARY HANTERAR SOCIALA NÄTVERK

0 kommentarer

Kommentera