Ads 468x60px

tiistai 27. syyskuuta 2011

Ympäristön heterogeenisuus tietoturvallista?

Lukaisin jonkin aikaa sitten julkaistun tietoturvatutkimuksen, jonka kirjoittajina olivat Chen, Kataria ja Krishnan (Krishnan muun muassa toimii tietoturvapuolella kuuluisan Carnegie Mellon yliopiston tutkijana). Tutkimus oli julkaistu eräässä alan parhaimmaksi, tai jopa parhaaksi, rankatussa tieteellisessä julkaisussa nimeltä Management Information Systems Quarterly (MISQ). Tarkemmat ja yksityiskohtaisemmat tiedot löytyvät luonnollisesti itse artikkelista, mutta mielenkiintoisinta oli heidän johtopäätös: ohjelmistojen heterogeenisuuteen pyrkivä strategia on eduksi tietyissä tapauksissa ja lisää tietoturvallisuutta. Tutkijoiden väitteen mukaan kun heterogeenisuutta (tutkijat itse käyttävät englanninkielen termiä ”software diversification”) lisätään niin saatavuutta saadaan kasvatettua monimuotoistamalla käytössä olevat ohjelmistot ja näin on todennäköisempää ettei ongelma/haavoituvuus yhdessä ohjelmistossa kosketa koko ympäristöä.

Vastaavasta on käyty keskustelua jo pitkään ammatinharjoittajien keskuudessa. Hyvä esimerkki tästä on ollut keskustelu useampia vuosia sitten siitä tulisiko palomuurit hankkia kahdelta eri valmistajilta vai vain yhdeltä valmistajalta. Selkeyttä (tai ainakin lisäpontta keskustelulle) toi analytiikkayritys Gartnerin raportti, jossa suositeltiin vain yhtä laitevalmistajaa. Muistan kuitenkin tämän keskustelun muokanneen käytännön toteutuksia ja joskus maailmalla työskennellessäni, tällä kertaa kehittyvässä maassa, useammankin eri yrityksen asiantuntijat jakoivat näkemystään, jonka mukaan kahta tietoturvaratkaisua (ei siis vaan palomuuria vaan tietoturvaratkaisua yleensä) ei tulisi milloinkaan hankkia samalta laitevalmistajalta.

Tämä kaikki on myös tällä hetkellä hyvinkin ajankohtaista. Moni käyttäjä haluaa hyödyntää Applen tuotteita yrityskäytössä. Homogeenisuuden suosimisen kautta, kuten tutkijat totesivat, moni yritysverkko on puhtaasti Windows -verkko. Tästä johtuen voidaan esimerkiksi Applen tuotteiden käyttöönotto nähdä juuri artikkelin mukaisena monimuotoistamisena. Johtuen käyttöjärjestelmien hyvinkin suuresta erilaisuudesta, voidaan varmasti olettaa ettei kovin helposti löydetä haavoittuvuuksia, jotka koskisivat molempia käyttöjärjestelmiä (poikkeuksena luonnollisesti sovellushaavoittuvuudet tai esimerkiksi Java-haavoittuvuudet, joita on yleensä voitu hyödyntää yli käyttöjärjestelmärajojen). Voisiko siis tietoturvan lisääntyminen toimia business casena heterogeenisempien ympäristöjen suosimiseksi?
Lopuksi lienee hyvä huomioida, että tutkijat, tarkoituksen mukaisesti, ovat tutkineet asiaa vain valitsemastaan perspektiivistä. Tietoturvallisuus on kuitenkin monimutkaista ja näin ollen heterogeenisuuden vaikutuksia kokonaistietoturvaan on vaikea tai mahdoton arvioida vain näiden tulosten valossa.

Linkki artikkeliin: http://misq.org/correlated-failures-diversification-and-information-security-risk-management.html

Ei kommentteja:

Lähetä kommentti