Erreichen

Grow

Manage

Automate

Erreichen

Grow

Manage

Automate

Warum Attestierungen nur ein Teil Ihres Cloud-Sicherheitsprogramms sind

Steven Murray

05.07.2017

E-Mail

1 min read

Warum Attestierungen nur ein Teil Ihres Cloud-Sicherheitsprogramms sind

Steven Murray

05.07.2017

E-Mail

1 min read

Warum Attestierungen nur ein Teil Ihres Cloud-Sicherheitsprogramms sind

Menschen fragen mich oft, was ein gutes Sicherheitsprogramm ausmacht. So gern ich auch auf einen Aspekt meines Sicherheitsperimeters als Beispiel verweisen würde, gibt es mehrere Punkte, die hervorgehoben werden sollten.

Attestations messen nicht immer Ihre defensive Haltung

Eine Bescheinigung, per Definition, ist ein Hinweis, der etwas offensichtlich macht. Im Fall der Sicherheit, speziell Sicherheitsprogramme, bedeutet es, in offizieller Funktion zu zertifizieren.

Oft fragen mich Leute, was ein gutes Sicherheitsprogramm ausmacht. So sehr ich auch einen Aspekt meines Sicherheitsumfelds als Beispiel hervorheben möchte, es gibt mehrere Punkte, die erwähnt werden sollten. Die Branche verlässt sich auf Bescheinigungen und Zertifikationen, um Ihre Sicherheitsabwehr zu messen. Ingenieure und Betreiber werden Ihnen sagen, dass Ihr tatsächliches Sicherheitsumfeld und Ihre Bedrohungsbewertungsfähigkeiten Ihr Sicherheitsprogramm definieren. Ich werde Ihnen sagen, es sind sowohl die Einhaltungszertifikate als Maßstab als auch die operativen Fähigkeiten Ihres Sicherheitsteams, die Ihr Programm definieren. Obwohl Bescheinigungen allein kein genauer Maßstab sind, um ein Programm zu bewerten.

Bescheinigungen sind eine Branchennotwendigkeit, um die Einhaltung von bundesstaatlichen, lokalen und staatlichen Gesetzen sowie branchenüblichen Standards zu gewährleisten. ISO-, NIST- oder DoD-Standards bilden die Grundlage der meisten Bescheinigungen. NIST beispielsweise, veröffentlicht eine Reihe von Standards und technischen Leitfäden, um Organisationen dabei zu helfen, Sicherheitsbarrieren zu errichten, die der Regierung „akzeptabel“ sind. Wie ich jedoch darlegen werde, bedeutet das nicht, dass die Umsetzung immer hervorragend ist, nur weil die Standards festgelegt sind.

Die Einführung eines Tools bedeutet nicht, dass es einen Wert bietet

Kontrollen ermöglichen Flexibilität bei der Implementierung, operationalem Wachstum und Innovation im Laufe der Zeit. Leider nutzen einige Organisationen die Flexibilität, um das Kästchen abzuhaken, ohne dass echte Verteidigungsmaßnahmen vorhanden sind.

Ein gutes Beispiel für dieses Problem sind Eindringungserkennungs-/schutzsysteme (IDS oder IPS). Wie Virenscanner investieren die meisten Organisationen in IDS/IPS als Teil der Standard-Sicherheitspraktiken, um sich vor bösartigem Datenverkehr und Datenexfiltration zu schützen. Die Branche ist übersät mit Anbietern, die verschiedene Formen von IDS/IPS-Systemen anbieten. Einige Organisationen bauen jedoch Systeme, anstatt sie zu kaufen.

Ich habe kürzlich eine solche Organisation verlassen, die ihr eigenes Eindringungserkennungssystem aus Open-Source-Tools „gebaut“ hat. Den Prüfern wurde gesagt, das System sei ein „fantastisches Werkzeug“, und es wurden sogar Beispiele für den Verkehr gegeben. Als ich tiefer in die Telemetrie eintauchte, die das Tool bereitstellte, stellte ich fest, dass der Verkehr überhaupt nicht analysiert wurde. Vielmehr passierte der Verkehr den Sensor, da er nicht so konfiguriert war, dass er irgendeinen Verkehr erfassen oder überhaupt Warnungen ausgeben konnte. Darüber hinaus wurden die Anmeldedaten zur Verwaltung des Tools von einem früheren Mitarbeiter eingerichtet und nach dessen Abgang nie aktualisiert. Das Tool saß im Grunde monatelang untätig, ohne dass jemand eingriff. Dies setzt das Unternehmen nicht nur einem Risiko aus, sondern gefährdet auch die Außengrenze.

Ein versierter Prüfer hätte das Problem nicht erkannt, da die Bescheinigungen nicht nach „betrieblichen“ Informationen zu allen Systemen suchen – der Standard ist buchstäblich eine Schicht von Fragen und Antworten. Tatsächlich messen die meisten Bescheinigungen einfach nur, ob das Tool existiert, nicht die Betriebsfähigkeit. Darüber hinaus sind die meisten Prüfer nicht technisch genug, um ein funktionales IDS/IPS von einem nicht-funktionalen zu unterscheiden. Der Hauptteil der Prüfung beruht darauf, dass das Unternehmen sein Bestes gibt, anstatt schwierige Fragen zu beantworten. Prüfer müssen bei einer Prüfung auch eine Vielzahl von Kontrollen abdecken, daher ist die Zeit ein wesentlicher Faktor für die Qualität ihrer Analyse.

Eine Bescheinigung allein wird Ihnen sagen, dass ein Unternehmen ein ausgereiftes Sicherheitsprogramm mit Kontrollen hat. Wenn Sie einen potenziellen Partner auffordern, einen Lieferantenfragebogen auszufüllen, wird Ihnen das ebenfalls kein Vertrauen geben. Fragebögen skizzieren lediglich dieselben Informationen in einem anderen Format. Wie bewertet man also ein ausgereiftes Sicherheitsprogramm?

Kontrollen ermöglichen Flexibilität bei der Implementierung, operationalem Wachstum und Innovation im Laufe der Zeit. Leider nutzen einige Organisationen die Flexibilität, um das Kästchen abzuhaken, ohne dass echte Verteidigungsmaßnahmen vorhanden sind.

Ein gutes Beispiel für dieses Problem sind Eindringungserkennungs-/schutzsysteme (IDS oder IPS). Wie Virenscanner investieren die meisten Organisationen in IDS/IPS als Teil der Standard-Sicherheitspraktiken, um sich vor bösartigem Datenverkehr und Datenexfiltration zu schützen. Die Branche ist übersät mit Anbietern, die verschiedene Formen von IDS/IPS-Systemen anbieten. Einige Organisationen bauen jedoch Systeme, anstatt sie zu kaufen.

Ich habe kürzlich eine solche Organisation verlassen, die ihr eigenes Eindringungserkennungssystem aus Open-Source-Tools „gebaut“ hat. Den Prüfern wurde gesagt, das System sei ein „fantastisches Werkzeug“, und es wurden sogar Beispiele für den Verkehr gegeben. Als ich tiefer in die Telemetrie eintauchte, die das Tool bereitstellte, stellte ich fest, dass der Verkehr überhaupt nicht analysiert wurde. Vielmehr passierte der Verkehr den Sensor, da er nicht so konfiguriert war, dass er irgendeinen Verkehr erfassen oder überhaupt Warnungen ausgeben konnte. Darüber hinaus wurden die Anmeldedaten zur Verwaltung des Tools von einem früheren Mitarbeiter eingerichtet und nach dessen Abgang nie aktualisiert. Das Tool saß im Grunde monatelang untätig, ohne dass jemand eingriff. Dies setzt das Unternehmen nicht nur einem Risiko aus, sondern gefährdet auch die Außengrenze.

Ein versierter Prüfer hätte das Problem nicht erkannt, da die Bescheinigungen nicht nach „betrieblichen“ Informationen zu allen Systemen suchen – der Standard ist buchstäblich eine Schicht von Fragen und Antworten. Tatsächlich messen die meisten Bescheinigungen einfach nur, ob das Tool existiert, nicht die Betriebsfähigkeit. Darüber hinaus sind die meisten Prüfer nicht technisch genug, um ein funktionales IDS/IPS von einem nicht-funktionalen zu unterscheiden. Der Hauptteil der Prüfung beruht darauf, dass das Unternehmen sein Bestes gibt, anstatt schwierige Fragen zu beantworten. Prüfer müssen bei einer Prüfung auch eine Vielzahl von Kontrollen abdecken, daher ist die Zeit ein wesentlicher Faktor für die Qualität ihrer Analyse.

Eine Bescheinigung allein wird Ihnen sagen, dass ein Unternehmen ein ausgereiftes Sicherheitsprogramm mit Kontrollen hat. Wenn Sie einen potenziellen Partner auffordern, einen Lieferantenfragebogen auszufüllen, wird Ihnen das ebenfalls kein Vertrauen geben. Fragebögen skizzieren lediglich dieselben Informationen in einem anderen Format. Wie bewertet man also ein ausgereiftes Sicherheitsprogramm?

Kontrollen ermöglichen Flexibilität bei der Implementierung, operationalem Wachstum und Innovation im Laufe der Zeit. Leider nutzen einige Organisationen die Flexibilität, um das Kästchen abzuhaken, ohne dass echte Verteidigungsmaßnahmen vorhanden sind.

Ein gutes Beispiel für dieses Problem sind Eindringungserkennungs-/schutzsysteme (IDS oder IPS). Wie Virenscanner investieren die meisten Organisationen in IDS/IPS als Teil der Standard-Sicherheitspraktiken, um sich vor bösartigem Datenverkehr und Datenexfiltration zu schützen. Die Branche ist übersät mit Anbietern, die verschiedene Formen von IDS/IPS-Systemen anbieten. Einige Organisationen bauen jedoch Systeme, anstatt sie zu kaufen.

Ich habe kürzlich eine solche Organisation verlassen, die ihr eigenes Eindringungserkennungssystem aus Open-Source-Tools „gebaut“ hat. Den Prüfern wurde gesagt, das System sei ein „fantastisches Werkzeug“, und es wurden sogar Beispiele für den Verkehr gegeben. Als ich tiefer in die Telemetrie eintauchte, die das Tool bereitstellte, stellte ich fest, dass der Verkehr überhaupt nicht analysiert wurde. Vielmehr passierte der Verkehr den Sensor, da er nicht so konfiguriert war, dass er irgendeinen Verkehr erfassen oder überhaupt Warnungen ausgeben konnte. Darüber hinaus wurden die Anmeldedaten zur Verwaltung des Tools von einem früheren Mitarbeiter eingerichtet und nach dessen Abgang nie aktualisiert. Das Tool saß im Grunde monatelang untätig, ohne dass jemand eingriff. Dies setzt das Unternehmen nicht nur einem Risiko aus, sondern gefährdet auch die Außengrenze.

Ein versierter Prüfer hätte das Problem nicht erkannt, da die Bescheinigungen nicht nach „betrieblichen“ Informationen zu allen Systemen suchen – der Standard ist buchstäblich eine Schicht von Fragen und Antworten. Tatsächlich messen die meisten Bescheinigungen einfach nur, ob das Tool existiert, nicht die Betriebsfähigkeit. Darüber hinaus sind die meisten Prüfer nicht technisch genug, um ein funktionales IDS/IPS von einem nicht-funktionalen zu unterscheiden. Der Hauptteil der Prüfung beruht darauf, dass das Unternehmen sein Bestes gibt, anstatt schwierige Fragen zu beantworten. Prüfer müssen bei einer Prüfung auch eine Vielzahl von Kontrollen abdecken, daher ist die Zeit ein wesentlicher Faktor für die Qualität ihrer Analyse.

Eine Bescheinigung allein wird Ihnen sagen, dass ein Unternehmen ein ausgereiftes Sicherheitsprogramm mit Kontrollen hat. Wenn Sie einen potenziellen Partner auffordern, einen Lieferantenfragebogen auszufüllen, wird Ihnen das ebenfalls kein Vertrauen geben. Fragebögen skizzieren lediglich dieselben Informationen in einem anderen Format. Wie bewertet man also ein ausgereiftes Sicherheitsprogramm?

Bewerten Sie das gesamte Cloud Security Program

Zuerst sollten Sie mindestens die Erklärungen und den Untersuchungsbericht überprüfen, nicht die Zusammenfassung. Das verschafft Ihnen einen Überblick über das Programm, das von Dritten geprüft wurde. Zusätzlich sollten umfassende Sicherheitsprogramme robuste Datenschutzstrategien wie Datenbank-Backup- und Wiederherstellungsverfahren beinhalten, um die Geschäftskontinuität und Datenintegrität bei Sicherheitsvorfällen sicherzustellen. Zweitens sollten Sie auf jeden Fall überprüfen, ob das Unternehmen einen Penetrationstest oder ein Bug-Bounty-Programm von Dritten durchführt. Persönlich bin ich kein Fan von Bug-Bountys, aber ein Fan von jährlichen Penetrationstests durch Dritte. Penetrationstests bieten Ihnen eine strukturierte Prüfung Ihrer Abwehrmaßnahmen und echtes Feedback zu Schwachstellen. Schließlich sollten Sie die Sicherheitsdokumente (gewöhnlich Inhaltsverzeichnis), die das Unternehmen als Grundlage für die Implementierung nutzt, überprüfen. Dazu gehören unter anderem eine Sicherheitspolitik, ein Reaktionsplan auf Vorfälle und ein Schwachstellenmanagement. Ein erfahrenes Sicherheitsteam wird anbieten, diese Dokumente und Artefakte im normalen Geschäftsverkehr zu teilen.

Ich mache es zur Selbstverständlichkeit, jeden Anbieter und Partner aus der Perspektive des Zugriffs auf Unternehmensdaten zu bewerten. Das bedeutet, wenn der Partner oder Anbieter Unternehmensdaten verwaltet, unterliegt er einer strengeren Prüfung als ein Anbieter, der dies nicht tut. Beachten Sie den Geschäftszweck, wenn Sie ein Sicherheitsprogramm bewerten. Ich überprüfe den Geschäftszweck und die Art der beteiligten Informationen und bewerte dann aus dieser Perspektive, anstatt alle Partner und Anbieter gleich zu behandeln. Im Zweifelsfall fragen Sie immer nach weiteren Informationen.

Lassen Sie uns Sie mit einem Bird-Experten verbinden.
Erleben Sie die volle Macht des Bird in 30 Minuten.

Durch die Übermittlung stimmen Sie zu, dass Bird Sie bezüglich unserer Produkte und Dienstleistungen kontaktieren darf.

Sie können sich jederzeit abmelden. Weitere Informationen zur Datenverarbeitung finden Sie in Birds Datenschutzerklärung.

Unternehmen

Newsletter

Bleiben Sie mit Bird auf dem Laufenden durch wöchentliche Updates in Ihrem Posteingang.

Lassen Sie uns Sie mit einem Bird-Experten verbinden.
Erleben Sie die volle Macht des Bird in 30 Minuten.

Durch die Übermittlung stimmen Sie zu, dass Bird Sie bezüglich unserer Produkte und Dienstleistungen kontaktieren darf.

Sie können sich jederzeit abmelden. Weitere Informationen zur Datenverarbeitung finden Sie in Birds Datenschutzerklärung.

Unternehmen

Newsletter

Bleiben Sie mit Bird auf dem Laufenden durch wöchentliche Updates in Ihrem Posteingang.

Lassen Sie uns Sie mit einem Bird-Experten verbinden.
Erleben Sie die volle Macht des Bird in 30 Minuten.

Durch die Übermittlung stimmen Sie zu, dass Bird Sie bezüglich unserer Produkte und Dienstleistungen kontaktieren darf.

Sie können sich jederzeit abmelden. Weitere Informationen zur Datenverarbeitung finden Sie in Birds Datenschutzerklärung.

R

Erreichen

G

Grow

M

Manage

A

Automate

Unternehmen

Newsletter

Bleiben Sie mit Bird auf dem Laufenden durch wöchentliche Updates in Ihrem Posteingang.