Erreichen

Grow

Manage

Automate

Erreichen

Grow

Manage

Automate

Warum Attestierungen nur ein Teil Ihres Cloud-Sicherheitsprogramms sind

E-Mail

1 min read

Warum Attestierungen nur ein Teil Ihres Cloud-Sicherheitsprogramms sind

E-Mail

1 min read

Warum Attestierungen nur ein Teil Ihres Cloud-Sicherheitsprogramms sind

Menschen fragen mich oft, was ein gutes Sicherheitsprogramm ausmacht. So gern ich auch auf einen Aspekt meines Sicherheitsperimeters als Beispiel verweisen würde, gibt es mehrere Punkte, die hervorgehoben werden sollten.

Attestations messen nicht immer Ihre defensive Haltung

Ein Attestation, per Definition, ist ein Hinweis, der etwas offensichtlich macht. Im Falle der Sicherheit, insbesondere von Sicherheitsprogrammen, bedeutet es, offiziell zu bescheinigen.




Menschen fragen mich oft, was ein gutes Sicherheitsprogramm ausmacht. So gerne ich auch auf einen Aspekt meines Sicherheitsperimeters hinweisen würde, um ihn als Beispiel zu verwenden, gibt es mehrere Punkte hervorzuheben. Die Branche verlässt sich auf Attestationen und Zertifizierungen, um Ihre Sicherheitsmaßnahmen zu beurteilen. Ingenieure und Betreiber werden Ihnen sagen, dass Ihr tatsächlicher Sicherheitsperimeter und Ihre Bedrohungsbewertungskompetenzen Ihr Sicherheitsprogramm definieren. Ich werde Ihnen sagen, dass sowohl Compliance-Attestationen als auch die operationellen Fähigkeiten Ihres Sicherheitsteams Ihr Programm definieren. Zwar sind allein Attestationen kein genauer Maßstab, um ein Programm zu messen.




Attestationen sind eine Branchennotwendigkeit, um die Einhaltung von Bundes-, lokalen und staatlichen Gesetzen sowie bewährten Branchenpraktiken sicherzustellen. ISO, NIST oder DoD-Standards bilden die Basis der meisten Attestationen. NIST veröffentlicht zum Beispiel einen Satz von Standards und technischen Leitfäden, um Organisationen dabei zu helfen, Perimeterverteidigungen aufzubauen, die für die Regierung „akzeptabel“ sind. Wie ich jedoch aufzeigen werde, bedeutet das Setzen von Standards nicht zwangsläufig, dass die Implementierung immer hervorragend ist.

Die Einführung eines Tools bedeutet nicht, dass es einen Wert bietet

Kontrollen ermöglichen Flexibilität bei der Implementierung sowie betrieblichem Wachstum und Innovation im Laufe der Zeit. Leider nutzen einige Organisationen die Flexibilität, um nur den Haken zu setzen, ohne dass echte Abwehrmaßnahmen vorhanden sind.




Ein herausragendes Beispiel für dieses Problem sind Intrusionsdetektions-/Schutzsysteme (IDS oder IPS). Wie Virenscanner investieren die meisten Organisationen in IDS/IPS im Rahmen standardmäßiger Sicherheitspraktiken zum Schutz vor bösartigem Datenverkehr und Datenexfiltration. Die Branche ist voll von Anbietern, die verschiedene Formen von IDS/IPS-Systemen herstellen. Einige Organisationen bauen jedoch Systeme statt zu kaufen.




Ich habe kürzlich eine Organisation verlassen, die ihr eigenes Intrusionsdetektionssystem aus Open-Source-Tools „gebaut“ hat. Den Prüfern wurde gesagt, das System sei ein „fantastisches Werkzeug“ und es wurden sogar Beispiele für den Datenverkehr gegeben. Als ich tiefer in die Telemetrie eindrang, die das Tool bereitstellte, stellte ich fest, dass der Datenverkehr überhaupt nicht analysiert wurde. Vielmehr passierte er den Sensor, da dieser nicht konfiguriert war, um Datenverkehr überhaupt zu erfassen oder zu alarmieren. Darüber hinaus wurden die Anmeldedaten zur Verwaltung des Tools von einem früheren Mitarbeiter eingerichtet und nach dessen Ausscheiden nie aktualisiert. Im Wesentlichen war das Tool also monatelang ohne menschliches Eingreifen untätig. Dies gefährdet nicht nur das Unternehmen, sondern beeinträchtigt auch den Schutzbereich.




Ein geschickter Prüfer hätte das Problem nicht erkannt, da die Bestätigungen nicht nach „betrieblichen“ Informationen aller Systeme suchen – der Standard ist buchstäblich eine Schicht von Frage und Antwort. Tatsächlich messen die meisten Bestätigungen einfach, ob das Tool existiert, nicht die betriebliche Funktionsfähigkeit. Zudem sind die meisten Prüfer nicht technisch genug, um ein funktionierendes IDS/IPS von einem nicht funktionierenden zu unterscheiden. Der Kernpunkt der Prüfung hängt davon ab, dass das Unternehmen sein Bestes gibt, anstatt schwierige Fragen zu beantworten. Die Prüfer müssen auch eine Vielzahl von Kontrollen während einer Prüfung abdecken, sodass die Zeit ein großer Faktor für die Qualität ihrer Analyse ist.




Eine Bestätigung allein wird Ihnen sagen, dass ein Unternehmen ein ausgereiftes Sicherheitsprogramm mit Kontrollen hat. Von einem potenziellen Partner zu verlangen, eine Lieferantenbefragung abzuschließen, wird Ihnen auch kein Vertrauen geben. Umfragen skizzieren lediglich dieselben Informationen in einem anderen Format. Wie bewertet man also ein ausgereiftes Sicherheitsprogramm?

Kontrollen ermöglichen Flexibilität bei der Implementierung sowie betrieblichem Wachstum und Innovation im Laufe der Zeit. Leider nutzen einige Organisationen die Flexibilität, um nur den Haken zu setzen, ohne dass echte Abwehrmaßnahmen vorhanden sind.




Ein herausragendes Beispiel für dieses Problem sind Intrusionsdetektions-/Schutzsysteme (IDS oder IPS). Wie Virenscanner investieren die meisten Organisationen in IDS/IPS im Rahmen standardmäßiger Sicherheitspraktiken zum Schutz vor bösartigem Datenverkehr und Datenexfiltration. Die Branche ist voll von Anbietern, die verschiedene Formen von IDS/IPS-Systemen herstellen. Einige Organisationen bauen jedoch Systeme statt zu kaufen.




Ich habe kürzlich eine Organisation verlassen, die ihr eigenes Intrusionsdetektionssystem aus Open-Source-Tools „gebaut“ hat. Den Prüfern wurde gesagt, das System sei ein „fantastisches Werkzeug“ und es wurden sogar Beispiele für den Datenverkehr gegeben. Als ich tiefer in die Telemetrie eindrang, die das Tool bereitstellte, stellte ich fest, dass der Datenverkehr überhaupt nicht analysiert wurde. Vielmehr passierte er den Sensor, da dieser nicht konfiguriert war, um Datenverkehr überhaupt zu erfassen oder zu alarmieren. Darüber hinaus wurden die Anmeldedaten zur Verwaltung des Tools von einem früheren Mitarbeiter eingerichtet und nach dessen Ausscheiden nie aktualisiert. Im Wesentlichen war das Tool also monatelang ohne menschliches Eingreifen untätig. Dies gefährdet nicht nur das Unternehmen, sondern beeinträchtigt auch den Schutzbereich.




Ein geschickter Prüfer hätte das Problem nicht erkannt, da die Bestätigungen nicht nach „betrieblichen“ Informationen aller Systeme suchen – der Standard ist buchstäblich eine Schicht von Frage und Antwort. Tatsächlich messen die meisten Bestätigungen einfach, ob das Tool existiert, nicht die betriebliche Funktionsfähigkeit. Zudem sind die meisten Prüfer nicht technisch genug, um ein funktionierendes IDS/IPS von einem nicht funktionierenden zu unterscheiden. Der Kernpunkt der Prüfung hängt davon ab, dass das Unternehmen sein Bestes gibt, anstatt schwierige Fragen zu beantworten. Die Prüfer müssen auch eine Vielzahl von Kontrollen während einer Prüfung abdecken, sodass die Zeit ein großer Faktor für die Qualität ihrer Analyse ist.




Eine Bestätigung allein wird Ihnen sagen, dass ein Unternehmen ein ausgereiftes Sicherheitsprogramm mit Kontrollen hat. Von einem potenziellen Partner zu verlangen, eine Lieferantenbefragung abzuschließen, wird Ihnen auch kein Vertrauen geben. Umfragen skizzieren lediglich dieselben Informationen in einem anderen Format. Wie bewertet man also ein ausgereiftes Sicherheitsprogramm?

Kontrollen ermöglichen Flexibilität bei der Implementierung sowie betrieblichem Wachstum und Innovation im Laufe der Zeit. Leider nutzen einige Organisationen die Flexibilität, um nur den Haken zu setzen, ohne dass echte Abwehrmaßnahmen vorhanden sind.




Ein herausragendes Beispiel für dieses Problem sind Intrusionsdetektions-/Schutzsysteme (IDS oder IPS). Wie Virenscanner investieren die meisten Organisationen in IDS/IPS im Rahmen standardmäßiger Sicherheitspraktiken zum Schutz vor bösartigem Datenverkehr und Datenexfiltration. Die Branche ist voll von Anbietern, die verschiedene Formen von IDS/IPS-Systemen herstellen. Einige Organisationen bauen jedoch Systeme statt zu kaufen.




Ich habe kürzlich eine Organisation verlassen, die ihr eigenes Intrusionsdetektionssystem aus Open-Source-Tools „gebaut“ hat. Den Prüfern wurde gesagt, das System sei ein „fantastisches Werkzeug“ und es wurden sogar Beispiele für den Datenverkehr gegeben. Als ich tiefer in die Telemetrie eindrang, die das Tool bereitstellte, stellte ich fest, dass der Datenverkehr überhaupt nicht analysiert wurde. Vielmehr passierte er den Sensor, da dieser nicht konfiguriert war, um Datenverkehr überhaupt zu erfassen oder zu alarmieren. Darüber hinaus wurden die Anmeldedaten zur Verwaltung des Tools von einem früheren Mitarbeiter eingerichtet und nach dessen Ausscheiden nie aktualisiert. Im Wesentlichen war das Tool also monatelang ohne menschliches Eingreifen untätig. Dies gefährdet nicht nur das Unternehmen, sondern beeinträchtigt auch den Schutzbereich.




Ein geschickter Prüfer hätte das Problem nicht erkannt, da die Bestätigungen nicht nach „betrieblichen“ Informationen aller Systeme suchen – der Standard ist buchstäblich eine Schicht von Frage und Antwort. Tatsächlich messen die meisten Bestätigungen einfach, ob das Tool existiert, nicht die betriebliche Funktionsfähigkeit. Zudem sind die meisten Prüfer nicht technisch genug, um ein funktionierendes IDS/IPS von einem nicht funktionierenden zu unterscheiden. Der Kernpunkt der Prüfung hängt davon ab, dass das Unternehmen sein Bestes gibt, anstatt schwierige Fragen zu beantworten. Die Prüfer müssen auch eine Vielzahl von Kontrollen während einer Prüfung abdecken, sodass die Zeit ein großer Faktor für die Qualität ihrer Analyse ist.




Eine Bestätigung allein wird Ihnen sagen, dass ein Unternehmen ein ausgereiftes Sicherheitsprogramm mit Kontrollen hat. Von einem potenziellen Partner zu verlangen, eine Lieferantenbefragung abzuschließen, wird Ihnen auch kein Vertrauen geben. Umfragen skizzieren lediglich dieselben Informationen in einem anderen Format. Wie bewertet man also ein ausgereiftes Sicherheitsprogramm?

Bewerten Sie das gesamte Cloud Security Program

Erstens sollten Sie mindestens die Bescheinigungen und den Bericht der Ergebnisse überprüfen, nicht die Zusammenfassung für Führungskräfte. Dies gibt Ihnen einen Überblick über das Programm, das von einer dritten Partei überprüft wurde. Zweitens sollten Sie definitiv überprüfen, ob das Unternehmen einem dritten Penetrationstest oder Bug-Bounty-Programm unterzogen wird. Persönlich bin ich kein Fan von Bug-Bounties, aber ich bin ein Fan von jährlichen Penetrationstests durch Dritte. Pentesting gibt Ihnen eine strukturierte Prüfung Ihrer Abwehrmaßnahmen und echtes Feedback zu Schwachstellen. Schließlich sollten Sie die Sicherheitsdokumente überprüfen (normalerweise Inhaltsverzeichnis), die das Unternehmen als Grundlage für die Umsetzung verwendet. Dazu gehören (aber sind sicherlich nicht beschränkt auf) eine Sicherheitsrichtlinie, Vorfallreaktion und Schwachstellenmanagement. Ein erfahrenes Sicherheitsteam wird anbieten, diese Dokumente und Artefakte als Teil des normalen Geschäfts zu teilen.




Für mich ist es selbstverständlich, jeden Anbieter und Partner aus der Perspektive des Zugriffs auf Unternehmensdaten zu bewerten. Das bedeutet, wenn der Partner oder Anbieter Unternehmensdaten verwaltet, unterliegt er einer stärkeren Prüfung als ein Anbieter, der dies nicht tut. Behalten Sie den Geschäftszweck im Kopf, wenn Sie ein Sicherheitsprogramm bewerten. Ich überprüfe den Geschäftszweck und die Art der beteiligten Informationen und bewerte dann aus dieser Perspektive, anstatt alle Partner und Anbieter gleich zu behandeln. Im Zweifelsfall immer nach mehr Informationen fragen.

Lassen Sie uns Sie mit einem Bird-Experten verbinden.
Erleben Sie die volle Macht des Bird in 30 Minuten.

Durch die Übermittlung stimmen Sie zu, dass Bird Sie bezüglich unserer Produkte und Dienstleistungen kontaktieren darf.

Sie können sich jederzeit abmelden. Weitere Informationen zur Datenverarbeitung finden Sie in Birds Datenschutzerklärung.

Unternehmen

Newsletter

Bleiben Sie mit Bird auf dem Laufenden durch wöchentliche Updates in Ihrem Posteingang.

Durch die Übermittlung stimmen Sie zu, dass Bird Sie bezüglich unserer Produkte und Dienstleistungen kontaktieren darf.

Sie können sich jederzeit abmelden. Weitere Informationen zur Datenverarbeitung finden Sie in Birds Datenschutzerklärung.

Lassen Sie uns Sie mit einem Bird-Experten verbinden.
Erleben Sie die volle Macht des Bird in 30 Minuten.

Durch die Übermittlung stimmen Sie zu, dass Bird Sie bezüglich unserer Produkte und Dienstleistungen kontaktieren darf.

Sie können sich jederzeit abmelden. Weitere Informationen zur Datenverarbeitung finden Sie in Birds Datenschutzerklärung.

Unternehmen

Newsletter

Bleiben Sie mit Bird auf dem Laufenden durch wöchentliche Updates in Ihrem Posteingang.

Durch die Übermittlung stimmen Sie zu, dass Bird Sie bezüglich unserer Produkte und Dienstleistungen kontaktieren darf.

Sie können sich jederzeit abmelden. Weitere Informationen zur Datenverarbeitung finden Sie in Birds Datenschutzerklärung.

Lassen Sie uns Sie mit einem Bird-Experten verbinden.
Erleben Sie die volle Macht des Bird in 30 Minuten.

Durch die Übermittlung stimmen Sie zu, dass Bird Sie bezüglich unserer Produkte und Dienstleistungen kontaktieren darf.

Sie können sich jederzeit abmelden. Weitere Informationen zur Datenverarbeitung finden Sie in Birds Datenschutzerklärung.

R

Erreichen

G

Grow

M

Manage

A

Automate

Unternehmen

Newsletter

Bleiben Sie mit Bird auf dem Laufenden durch wöchentliche Updates in Ihrem Posteingang.

Durch die Übermittlung stimmen Sie zu, dass Bird Sie bezüglich unserer Produkte und Dienstleistungen kontaktieren darf.

Sie können sich jederzeit abmelden. Weitere Informationen zur Datenverarbeitung finden Sie in Birds Datenschutzerklärung.