Attestationen Messen Ihre Defensive Haltung Nicht Immer

Eine Attestierung, per Definition, ist ein Hinweis, der etwas offensichtlich macht. Im Zusammenhang mit der Sicherheit, insbesondere Sicherheitsprogrammen, bedeutet es, in offizieller Kapazität zu zertifizieren.

Die Leute fragen mich oft, was ein gutes Sicherheitsprogramm ausmacht. So sehr ich auch auf einen Aspekt meines Sicherheitsperimeters als Beispiel hinweisen möchte, gibt es mehrere Punkte hervorzubeheben. Die Branche verlässt sich auf Attestierungen und Zertifizierungen, um Ihre Sicherheitsverteidigung zu messen. Ingenieure und Betreiber werden Ihnen sagen, dass Ihr tatsächlicher Sicherheitsperimeter und Ihre Bedrohungsbewertungskapazitäten Ihr Sicherheitsprogramm definieren. Ich werde Ihnen sagen, dass es sowohl Compliance-Attestierungen als auch die operationale Fähigkeit Ihres Sicherheitsteams sind, die Ihr Programm definieren. Obwohl Attestierungen allein kein präziser Maßstab zur Bewertung eines Programms sind.

Attestierungen sind eine branchenweite Notwendigkeit, um die Einhaltung von Bundes-, Landes- und Kommunalgesetzen sowie der besten Branchenpraktiken zu gewährleisten. ISO-, NIST- oder DoD-Standards bilden die Grundlage der meisten Attestierungen. NIST veröffentlicht beispielsweise eine Reihe von Standards und technischen Leitfäden, um Organisationen beim Aufbau von Perimetersicherheiten zu helfen, die für die Regierung „akzeptabel“ sind. Wie ich jedoch umreißen werde, bedeutet es nicht, dass die Umsetzung immer herausragend ist, nur weil die Standards festgelegt sind.

Der Einsatz eines Werkzeugs Bedeutet Nicht, dass es einen Wert Bietet

Kontrollen ermöglichen Flexibilität bei der Implementierung sowie operationelles Wachstum und Innovation im Laufe der Zeit. Leider nutzen einige Organisationen die Flexibilität, um das Kästchen abzuhaken, haben aber keine realen Verteidigungen eingerichtet.

Ein hervorragendes Beispiel für dieses Problem sind Intrusion-Detection/Protection-Systeme (IDS oder IPS). Wie Virenscanner investieren die meisten Organisationen in IDS/IPS als Teil der standardmäßigen Sicherheitspraktiken, um sich gegen bösartigen Datenverkehr und Datenexfiltration zu schützen. Die Branche ist übersät mit Anbietern, die verschiedene Formen von IDS/IPS-Systemen anbieten. Einige Organisationen bauen jedoch Systeme anstatt sie zu kaufen.

Ich habe kürzlich eine solche Organisation verlassen, die ihr eigenes Intrusion-Detection-System aus Open-Source-Tools „gebaut“ hat. Auditoren wurde gesagt, das System sei ein „fantastisches Tool“, und es wurden sogar Beispiele für den Datenverkehr gegeben. Als ich jedoch tiefer in die Telemetrie eintauchte, die das Tool lieferte, stellte ich fest, dass der Datenverkehr überhaupt nicht analysiert wurde. Vielmehr ging er am Sensor vorbei, da es nicht so konfiguriert war, dass es irgendwelchen Datenverkehr erfassen oder alarmieren konnte. Darüber hinaus waren die Anmeldedaten, die zur Verwaltung des Tools verwendet wurden, von einem früheren Mitarbeiter eingerichtet worden und wurden nach dessen Ausscheiden nie aktualisiert. Im Wesentlichen saß das Tool monatelang untätig ohne menschliches Eingreifen. Dies gefährdet nicht nur das Unternehmen, sondern gefährdet auch den Perimeter.

Ein versierter Auditor hätte das Problem nicht bemerkt, da die Attestierungen nicht nach „operationellen“ Informationen zu allen Systemen suchen – der Standard ist buchstäblich eine Schicht von Fragen und Antworten. Tatsächlich messen die meisten Attestierungen lediglich, ob das Tool existiert, nicht die operationale Lebensfähigkeit. Darüber hinaus sind die meisten Auditoren nicht technisch genug, um ein funktionierendes IDS/IPS von einem nicht funktionierenden zu unterscheiden. Der Kern der Prüfung beruht darauf, dass das Unternehmen sich von seiner besten Seite zeigt, anstatt schwierige Fragen zu beantworten. Auditoren müssen während einer Prüfung auch eine große Vielzahl von Kontrollen abdecken, sodass die Zeit ein großer Faktor für die Qualität ihrer Analyse ist.

Eine Attestierung allein wird Ihnen sagen, dass ein Unternehmen ein ausgereiftes Sicherheitsprogramm mit Kontrollen hat. Von einem potenziellen Partner zu verlangen, einen Anbieterfragebogen auszufüllen, wird Ihnen auch kein Vertrauen geben. Umfragen umreißen lediglich dieselben Informationen in einem anderen Format. Wie bewerten Sie also ein ausgereiftes Sicherheitsprogramm?

Bewerten Sie Das Ganze Cloud-Sicherheitsprogramm

Zuerst sollten Sie mindestens die Attestierungen und den Prüfbericht überprüfen, nicht die Zusammenfassung. Das gibt Ihnen einen Überblick über das Programm, das von einer dritten Partei überprüft wurde. Zweitens sollten Sie auf jeden Fall überprüfen, ob das Unternehmen einen Drittanbieter-Penetrationstest oder ein Bug-Bounty-Programm durchführt. Persönlich bin ich kein Fan von Bug-Bounties, aber ich bin ein Fan von Penetrationstests durch Dritte auf jährlicher Basis. Pentesting gibt Ihnen einen strukturierten Test Ihrer Verteidigung und echtes Feedback zu Schwachstellen. Schließlich sollten Sie die Sicherheitsdokumente (üblicherweise Inhaltsverzeichnis) überprüfen, die das Unternehmen als Grundlage für die Implementierung nutzt. Dazu gehören (aber sind sicherlich nicht beschränkt auf) eine Sicherheitsrichtlinie, Vorfallreaktion und Schwachstellenmanagement. Ein erfahrenes Sicherheitsteam wird anbieten, diese Dokumente und Artefakte im Rahmen des normalen Geschäfts zu teilen.

Ich halte es für selbstverständlich, jeden Anbieter und Partner aus der Perspektive des Zugriffs auf Unternehmensdaten zu bewerten. Das bedeutet, wenn der Partner oder Anbieter Unternehmensdaten verwaltet, unterliegt er einer genaueren Prüfung als ein Anbieter, der dies nicht tut. Beachten Sie den Geschäftszweck, wenn Sie ein Sicherheitsprogramm bewerten. Ich überprüfe den Geschäftszweck und die Art der beteiligten Informationen und bewerte dann aus dieser Perspektive, anstatt alle Partner und Anbieter gleich zu behandeln. Im Zweifelsfall sollten Sie immer nach weiteren Informationen fragen.