Företagen investerar mycket tid, arbete och pengar i att hålla sina system säkra. De mest säkerhetsmedvetna kanske har ett säkerhetsoperationscenter. De använder naturligtvis brandväggar och antivirusverktyg. De spenderar förmodligen mycket tid på att övervaka sina nätverk och letar efter avslöjande avvikelser som kan tyda på ett intrång. Med IDS, SIEM och NGFWs har de ett veritabelt alfabet av försvarssystem.
Men hur många har tänkt på en av hörnstenarna i den digitala verksamheten: de operativsystem som används på personalens datorer? Var säkerheten ens en faktor när man valde operativsystem för skrivbordet?
Detta ger upphov till en fråga som varje IT-person borde kunna besvara: Vilket operativsystem är det säkraste för allmän användning?
Vi frågade några experter vad de anser om säkerheten hos dessa tre alternativ: Windows, den alltmer komplexa plattformen som är det populäraste skrivbordssystemet, macOS X, det Unix-baserade operativsystemet FreeBSD som driver Apples Macintosh-system, och Linux, med vilket vi menar alla de olika Linuxdistributionerna och relaterade Unix-baserade system.
Hur vi hamnade här
En anledning till att företag kanske inte har utvärderat säkerheten hos det operativsystem som de distribuerar till personalen är att de har gjort valet för flera år sedan. Om man går tillräckligt långt tillbaka i tiden var alla operativsystem relativt säkra, eftersom det var i sin linda att hacka sig in i dem och stjäla data eller installera skadlig kod. Och när man väl har valt ett operativsystem är det svårt att tänka sig att ändra det. Få IT-organisationer vill ha huvudvärk av att flytta en globalt utspridd arbetsstyrka till ett helt nytt operativsystem. De får redan tillräckligt mycket motstånd när de flyttar användarna till en ny version av det operativsystem de valt.
Så skulle det ändå vara klokt att tänka om? Skiljer sig de tre ledande operativsystemen för skrivbordssystem tillräckligt mycket åt när det gäller säkerhet för att det ska vara värt ett byte?
De hot som företagssystemen står inför har förvisso förändrats under de senaste åren. Attackerna har blivit mycket mer sofistikerade. Den ensamma tonårshackaren som en gång dominerade allmänhetens föreställningsvärld har ersatts av välorganiserade nätverk av brottslingar och skumma, statligt finansierade organisationer med enorma datorresurser.
Som många av er har jag egen erfarenhet av de hot som finns där ute: Jag har blivit infekterad av skadlig kod och virus på många Windows-datorer, och jag har till och med haft makrovirus som infekterat filer på min Mac. Nyligen kringgick en utbredd automatiserad hackning säkerheten på min webbplats och infekterade den med skadlig kod. Effekterna av sådan skadlig kod var alltid till en början subtila, något som man inte ens märkte, tills den skadliga koden hamnade så djupt inbäddad i systemet att prestandan började bli märkbart lidande. En slående sak med infestationerna var att jag aldrig var särskilt måltavla för de illasinnade; numera är det lika lätt att angripa 100 000 datorer med ett botnät som att angripa ett dussin.
Har operativsystemet verkligen någon betydelse?
Det operativsystem som du distribuerar till dina användare har betydelse för din säkerhet, men det är inget säkert skydd. För det första är det i dag mer sannolikt att ett intrång sker på grund av att en angripare har undersökt användarna, inte systemen. En undersökning av hackare som deltog i en nyligen genomförd DEFCON-konferens visade att ”84 procent använder social ingenjörskonst som en del av sin angreppsstrategi”. Att installera ett säkert operativsystem är en viktig utgångspunkt, men utan utbildning av användarna, starka brandväggar och ständig vaksamhet kan även de säkraste nätverken invaderas. Och naturligtvis finns det alltid en risk för användardownloadad programvara, tillägg, verktyg, plug-ins och annan programvara som verkar godartad men som blir en väg för skadlig kod att dyka upp i systemet.
Och oavsett vilken plattform du väljer är ett av de bästa sätten att hålla ditt system säkert att se till att du tillämpar programvaruuppdateringar omgående. När en patch väl har kommit ut i naturen kan hackarna trots allt omvända den och hitta en ny exploit som de kan använda i nästa våg av attacker.
Och glöm inte grunderna. Använd inte root, och ge inte gäståtkomst till ens äldre servrar i nätverket. Lär dina användare att välja riktigt bra lösenord och beväpna dem med verktyg som 1Password som gör det lättare för dem att ha olika lösenord för varje konto och webbplats de använder.
För att det viktigaste är att varje beslut du fattar om dina system kommer att påverka din säkerhet, till och med det operativsystem som dina användare utför sitt arbete på.
Windows, det populära valet
Om du är säkerhetsansvarig är det ytterst troligt att de frågor som tas upp i den här artikeln skulle kunna omformuleras så här: Skulle vi bli säkrare om vi övergav Microsoft Windows? Att säga att Windows dominerar företagsmarknaden är att underskatta saken. NetMarketShare uppskattar att hela 88 procent av alla datorer på Internet kör en version av Windows.
Om dina system hör till dessa 88 procent är du förmodligen medveten om att Microsoft har fortsatt att förbättra säkerheten i Windows-systemet. Bland förbättringarna har Microsoft skrivit om och skrivit om koden för operativsystemet, lagt till ett eget antivirusprogramsystem, förbättrat brandväggar och infört en sandlådearkitektur, där program inte kan få tillgång till operativsystemets eller andra programs minnesutrymme.
Men Windows’ popularitet är ett problem i sig självt. Säkerheten hos ett operativsystem kan till stor del bero på storleken på dess installerade bas. För författare av skadlig kod erbjuder Windows en enorm spelplan. Genom att koncentrera sig på det får de mest valuta för sina ansträngningar.
Som Troy Wilkinson, vd för Axiom Cyber Solutions, förklarar: ”Windows kommer alltid sist i säkerhetsvärlden av flera skäl, främst på grund av konsumenternas användningsgrad. Med ett stort antal Windows-baserade persondatorer på marknaden har hackare historiskt sett riktat in sig på dessa system mest.”
Det är säkert sant att, från Melissa till WannaCry och framåt, har mycket av den skadlig kod som världen har sett varit riktad mot Windows-system.
macOS X och säkerhet genom obskyritet
Om det populäraste operativsystemet alltid kommer att vara det största målet, kan användningen av ett mindre populärt alternativ då garantera säkerheten? Den idén är en ny version av det gamla – och helt misskrediterade – konceptet ”säkerhet genom obskyritet”, som gick ut på att det bästa sättet att försvara sig mot attacker var att hålla programvarans inre arbete hemligt.
Wilkinson säger rakt ut att macOS X ”är säkrare än Windows”, men han skyndar sig att tillägga att ”macOS brukade betraktas som ett helt säkert operativsystem med liten risk för säkerhetsbrister, men under de senaste åren har vi sett hackare skapa ytterligare exploateringar mot macOS.”
Med andra ord, angriparna har förgrenat sig och ignorerar inte Mac-universumet.”
Säkerhetsforskaren Lee Muson från Comparitech säger att ”macOS sannolikt kommer att vara det bästa alternativet” när det gäller att välja ett säkrare operativsystem, men han varnar för att det inte är ogenomträngligt, som man en gång trodde. Fördelen med MacOS är att ”det fortfarande drar nytta av en viss säkerhet genom obemärkthet jämfört med det mycket större mål som Microsofts erbjudande utgör”.”
Joe Moore från Wolf Solutions ger Apple lite mer beröm och säger att ”macOS X har en bra meritlista när det gäller säkerhet, delvis på grund av att det inte är lika allmänt målinriktat som Windows och delvis på grund av att Apple gör ett ganska bra jobb när det gäller att hålla koll på säkerhetsfrågor.”
Och vinnaren är …
Det här visste du förmodligen redan från början: Experterna är eniga om att Linux är det säkraste operativsystemet. Men även om det är det bästa operativsystemet för servrar är det få företag som använder det på skrivbordet.
Och om du bestämde dig för att Linux var rätt väg att gå måste du fortfarande bestämma dig för vilken distribution av Linuxsystemet du ska välja, och där blir det lite mer komplicerat. Användarna vill ha ett användargränssnitt som verkar bekant, och du vill ha det säkraste operativsystemet.
Som Moore förklarar: ”Linux har potential att vara det säkraste, men kräver att användaren är något av en power user”. Så, inte för alla.
Linux-distributioner som har säkerhet som en huvudfunktion är bland annat Parrot Linux, en Debianbaserad distro som enligt Moore tillhandahåller många säkerhetsrelaterade verktyg direkt ur lådan.
En viktig skillnad är förstås att Linux är öppen källkod. Det faktum att kodare kan läsa och kommentera varandras arbete kan tyckas vara en säkerhetsmardröm, men det visar sig faktiskt vara en viktig anledning till att Linux är så säkert, säger Igor Bidenko, CISO på Simplex Solutions. ”Linux är det säkraste operativsystemet eftersom källan är öppen. Vem som helst kan granska det och se till att det inte finns några buggar eller bakdörrar.”
Wilkinson utvecklar att ”Linux och Unix-baserade operativsystem har färre exploaterbara säkerhetsbrister som är kända i informationssäkerhetsvärlden. Linuxkoden granskas av den tekniska världen, vilket ger en bättre säkerhet:
Det är en subtil och kanske kontraintuitiv förklaring, men genom att dussintals – eller ibland hundratals – personer läser igenom varje kodrad i operativsystemet blir koden faktiskt mer robust och risken för att fel ska komma ut i naturen minskar. Detta hade mycket att göra med varför PC World gick ut och sa att Linux är säkrare. Som Katherine Noyes förklarar: ”Microsoft må lovorda sitt stora team av betalda utvecklare, men det är osannolikt att det teamet kan jämföras med den globala basen av Linuxanvändare och utvecklare runt om i världen. Säkerheten kan bara gynnas av alla dessa extra ögon.”
En annan faktor som PC World nämner är Linux bättre modell för användarprivilegier: Windows-användare ”får i allmänhet administratörsbehörighet som standard, vilket innebär att de i stort sett har tillgång till allt i systemet”, enligt Noyes artikel. Linux däremot begränsar kraftigt ”root”.
Noyes noterade också att den mångfald som är möjlig i Linux-miljöer är ett bättre skydd mot attacker än den typiska Windows-monokulturen: Det finns helt enkelt många olika Linux-distributioner tillgängliga. Och en del av dem är differentierade på ett sätt som specifikt tar upp säkerhetsfrågor. Säkerhetsforskaren Lee Muson från Comparitech ger följande förslag på en Linux-distribution: ”Qubes OS är en så bra utgångspunkt för Linux som du kan hitta just nu, med ett stöd från Edward Snowden som kraftigt överskuggar dess egna extremt ödmjuka påståenden.” Andra säkerhetsexperter pekar på specialiserade säkra Linuxdistributioner som Tails Linux, som är utformade för att köras säkert och anonymt direkt från ett USB-minne eller en liknande extern enhet.
Bygga upp ett säkerhetsmomentum
Inertia är en stark kraft. Även om det finns ett tydligt samförstånd om att Linux är det säkraste valet för skrivbordet, har det inte skett någon störtflocka för att dumpa Windows- och Mac-maskiner till förmån för Linux. Trots detta skulle en liten men betydande ökning av Linuxanvändningen förmodligen leda till säkrare datoranvändning för alla, eftersom en förlust av marknadsandelar är ett säkert sätt att få Microsofts och Apples uppmärksamhet. Med andra ord, om tillräckligt många användare byter till Linux på skrivbordet kommer Windows- och Mac-datorer med stor sannolikhet att bli säkrare plattformar.