Finns det någonting fegare än en hare? Så fort den ser dig, är den borta så snabbt att den ser ut som ett streck när den rusar iväg. Är det inte mycket bättre att slåss mot fienden och vinna sin frihet? Svaret är att de flesta djur flyr när de ser någon komma. Det gäller även farliga djur som björnar. Geparder skrämmer man lättast bort med hundar. Detta trots att geparder borde kunna vinna mot en hund. I naturen undviker de flesta djur strider. Men det är inte det jag vill prata om idag. Det handlar istället om att ha överlägsna metoder för att upptäcka fara istället för att satsa på möjligheten att försvara sig eller motstå en attack.
Inom IT-världen har man tills ganska nyligen inte riktigt fattat hur viktigt det är att upptäcka hot. Mycket har handlat om starkare kontroller för att hindra intrång. Många företag och organisationer har haft loggning påslaget för alla viktiga system utan att ha haft någon mekanism för att automatiskt analysera loggarna och larma om hotfulla mönster upptäcks. För många har en lösning för att upptäcka hot på nätverket setts som för dyrt och enbart nödvändigt där man har högre kvar på säkerheten. Att upptäcka att någonting är på gång eller har hänt har varit nedprioriterat på grund av hur komplext och dyrt det är.
Men det är tyvärr en sanning att alla kassaskåp kan brytas upp av den som har tid och resurser att bryta sig in. Om du inte upptäcker att någon går lös på detta kassaskåp, kommer attacken tillsist att lyckas eftersom den som attackerar kan göra precis vad som helst och arbeta hur länge som helst utan att upptäckas.
En gång, för ett antal år sedan, kallades jag in till ett företag som råkat ut för skadlig kod. Man hade upptäckt denna för att den var så dåligt skriven att den sänkte de system den kopierade sig till. Detta var inte avsikten med den utan berodde på att den var dåligt gjord. Hade den som skrev koden varit bättre programmerare, hade kunden aldrig upptäckt denna skadliga kod som var byggd för att ligga i bakgrunden och köra.
Tiden mellan att ett system attackeras och att attacken upptäckts kan var så lång som uppemot ett år i många fall. Under denna tid kan attackeraren gör vad han/hon vill med organisationens system och nätverk.
En dövblind kanin klädd i rustning är sämre skyddad än en försvarslös kanin som vet hur den upptäcker fara och springer iväg! När såg du senast en sådan analogi på en säkerhetssite?