Inom ramen för min och mina kollegors profession möter vi allt oftare utvecklare av olika system. Jag ser detta som ett resultat av den naturliga utvecklingen som säkerhetsbranschen nu genomgår. Det räcker inte långt att år 2009 kunna säga ja eller nej till exempelvis trafik på TCP-port 80. Det krävs helt andra förmågor och förståelsen i applikationslagret är exempel på en sådan förmåga.
Denna insikt innebär inte att vi skall luta oss tillbaka i nätlagret och tycka att kriget är vunnet, eller förlorat beroende sinnesstämningen för dagen. Tvärt om, vi måste fortsätta och förfina nätlagret så att det är tillräckligt robust för att möta en verklighet i ständig förvandling. Nätlagret har alltid varit en lagspelare och alltid försökt stötta kollegorna i de övriga lagren. Inledningsvis förlitade sig övriga lagren helt på nätlagret, men den tiden är sedan länge förbi. Kanske känner sig nätlagret fortfarande utnyttjat och är därför inte lika samarbetsvilligt längre? Här krävs uppmuntring för att inte riskera att det blir obalans i laget, eller bland lagren, beroende på hur man ser det.
Händelserna i applikationslagret blir som sagt allt mer intressant. Tankarna bakom applikationslagret visar sig ofta än mer intressant. Jag och några kollegor konstaterade för en fyra fem år sedan att en ½ dags dialog med en utvecklare i nyckelposition är en tiopotens mer värt en 1 dags säkerhetsanalyserande av ett system som är resultatet av hennes eller hans tankar. När vi myntade uttrycket så hade vi inte någon egentlig tanke på att översätta det i direkt ekonomiska termer, men när jag nu gör det så är det ett högst rimligt påstående. Redan i den inledande delen av dialogen går det att avgöra vilket säkerhetsfokus utvecklarna av det aktuella systemet har. Efter ytterligare en stunds dialog så är ofta bristerna inringade.
Är alla säkerhetstester och säkerhetsanalyser som återkommande görs helt bortkastade? Det korta svaret är givetvis nej. Det krävs någon form av återkommande granskning för att säkerställa att rutinarbetet fungerar. Det är klart bättre att ett testverktyg noterar en sårbarhet än att en trojan utnyttjar det. Ett säkerhetstest är också ett utmärkt sätt att testa den organisation som är satt till att upptäcka och hantera en möjlig incident. Insikten att ett testverktygs förmåga ofta avtar ju närmare applikationslagret de arbetar gör att vi tvingas arbeta annorlunda. Denna insikt innebär inte att applikationslagret skall lämnas därhän i detta avseende. Det måste självfallet verifieras att utvecklarnas tankar och handlingar går i takt!
Kunskapen om applikationslagret och dess brister är ovärderliga. Oavsett om det handlar om att bygga bort bristerna eller att anpassa en säkerhetslösning efter bristerna. Det senare är inte något önskescenario, men sedan när har vi börjat leva med önskescenarios?
Med ytterligare en vetskap i bagaget så finns det än större förutsättningar att det som exponeras inte överexponeras.
© 2009 Thomas Nilsson, Certezza AB
Thomas Nilsson
