Reach

Grow

Manage

Automate

Reach

Grow

Manage

Automate

Mengapa Attestation Hanyalah Satu Bagian dari Program Keamanan Cloud Anda

Email

1 min read

Mengapa Attestation Hanyalah Satu Bagian dari Program Keamanan Cloud Anda

Email

1 min read

Mengapa Attestation Hanyalah Satu Bagian dari Program Keamanan Cloud Anda

Orang sering bertanya kepada saya apa yang membuat program keamanan yang baik. Sebanyak saya ingin menunjuk ke satu aspek dari batas keamanan saya untuk digunakan sebagai contoh, ada beberapa hal yang perlu disoroti.

Attestasi Tidak Selalu Mengukur Postur Pertahanan Anda

Sebuah attestation, berdasarkan definisi, adalah indikasi yang membuat sesuatu menjadi jelas. Dalam kasus keamanan, khususnya program keamanan, ini berarti untuk menyatakan secara resmi.




Orang sering bertanya kepada saya apa yang membuat program keamanan yang baik. Seperti yang saya ingin tunjukkan pada satu aspek dari perimeter keamanan saya untuk digunakan sebagai contoh, ada beberapa item untuk disorot. Industri ini mengandalkan atestasi dan sertifikasi untuk mengukur pertahanan keamanan Anda. Insinyur dan operator akan memberi tahu Anda bahwa perimeter keamanan Anda yang sebenarnya dan kemampuan penilaian ancaman Anda yang mendefinisikan program keamanan Anda. Saya akan memberi tahu Anda bahwa itu adalah atestasi kepatuhan sebagai pengukuran dan kemampuan operasional tim keamanan Anda yang mendefinisikan program Anda. Meskipun atestasi sendiri bukanlah tolok ukur yang akurat untuk mengukur sebuah program.




Atestasi adalah kebutuhan industri untuk memastikan kepatuhan terhadap undang-undang federal, lokal, dan negara bagian serta praktik terbaik industri. Standar ISO, NIST, atau DoD membentuk dasar sebagian besar atestasi. NIST, misalnya, menerbitkan serangkaian standar dan panduan teknis untuk membantu organisasi membangun pertahanan perimeter yang "dapat diterima" oleh pemerintah. Namun, seperti yang akan saya jelaskan, hanya karena standar ditetapkan tidak berarti implementasinya selalu luar biasa.

Penerapan sebuah Alat Tidak Berarti itu Memberikan Nilai

Kontrol memungkinkan fleksibilitas dalam implementasi dan pertumbuhan operasional serta inovasi dari waktu ke waktu. Sayangnya, beberapa organisasi menggunakan fleksibilitas ini hanya untuk memenuhi syarat, tetapi tidak memiliki pertahanan nyata yang diterapkan.




Contoh utama dari masalah ini adalah sistem deteksi/prevention intrusi (IDS atau IPS). Seperti pemindai virus, sebagian besar organisasi berinvestasi dalam IDS/IPS sebagai bagian dari praktik keamanan standar untuk menjaga dari lalu lintas berbahaya dan eksfiltrasi data. Industri ini dipenuhi dengan pemasok yang membuat berbagai bentuk sistem IDS/IPS. Namun, beberapa organisasi membangun sistem daripada membelinya.




Saya baru saja meninggalkan salah satu organisasi yang “membangun” sistem deteksi intrusi mereka sendiri dari alat sumber terbuka. Auditor diberitahu bahwa sistem tersebut adalah “alat fantastis”, dan bahkan diberikan contoh lalu lintas. Ketika saya meneliti lebih dalam tentang telemetri yang disediakan alat tersebut, saya menyadari bahwa lalu lintas tidak dianalisis sama sekali. Malahan, melewati sensor karena tidak dikonfigurasi untuk menangkap atau mengingatkan lalu lintas sama sekali. Selain itu, kredensial yang digunakan untuk mengelola alat tersebut diatur oleh karyawan sebelumnya dan tidak pernah diperbarui setelah ia pergi. Jadi pada dasarnya, alat tersebut duduk diam selama berbulan-bulan tanpa intervensi manusia. Ini tidak hanya menempatkan perusahaan dalam risiko, tetapi juga mengompromikan perimeter.




Seorang auditor yang cerdas tidak menemukan masalahnya karena atestasi tidak mencari informasi “operasional” pada semua sistem – standarnya adalah satu lapis pertanyaan dan jawaban. Faktanya, sebagian besar atestasi hanya mengukur apakah alat tersebut ada, bukan kelayakan operasionalnya. Selain itu, sebagian besar auditor tidak cukup teknis untuk membedakan IDS/IPS yang berfungsi dari yang tidak berfungsi. Inti dari audit bergantung pada perusahaan untuk tampil sebaik mungkin daripada menjawab pertanyaan sulit. Auditor juga harus mencakup berbagai kontrol selama audit sehingga waktu menjadi faktor besar dalam kualitas analisis mereka.




Sebuah atestasi saja akan memberi tahu Anda bahwa sebuah perusahaan memiliki program keamanan yang matang dengan kontrol. Meminta mitra potensial untuk mengisi survei vendor juga tidak akan memberi Anda kepercayaan diri. Survei hanya menguraikan informasi yang sama dalam format yang berbeda. Jadi, bagaimana Anda mengevaluasi program keamanan yang matang?

Kontrol memungkinkan fleksibilitas dalam implementasi dan pertumbuhan operasional serta inovasi dari waktu ke waktu. Sayangnya, beberapa organisasi menggunakan fleksibilitas ini hanya untuk memenuhi syarat, tetapi tidak memiliki pertahanan nyata yang diterapkan.




Contoh utama dari masalah ini adalah sistem deteksi/prevention intrusi (IDS atau IPS). Seperti pemindai virus, sebagian besar organisasi berinvestasi dalam IDS/IPS sebagai bagian dari praktik keamanan standar untuk menjaga dari lalu lintas berbahaya dan eksfiltrasi data. Industri ini dipenuhi dengan pemasok yang membuat berbagai bentuk sistem IDS/IPS. Namun, beberapa organisasi membangun sistem daripada membelinya.




Saya baru saja meninggalkan salah satu organisasi yang “membangun” sistem deteksi intrusi mereka sendiri dari alat sumber terbuka. Auditor diberitahu bahwa sistem tersebut adalah “alat fantastis”, dan bahkan diberikan contoh lalu lintas. Ketika saya meneliti lebih dalam tentang telemetri yang disediakan alat tersebut, saya menyadari bahwa lalu lintas tidak dianalisis sama sekali. Malahan, melewati sensor karena tidak dikonfigurasi untuk menangkap atau mengingatkan lalu lintas sama sekali. Selain itu, kredensial yang digunakan untuk mengelola alat tersebut diatur oleh karyawan sebelumnya dan tidak pernah diperbarui setelah ia pergi. Jadi pada dasarnya, alat tersebut duduk diam selama berbulan-bulan tanpa intervensi manusia. Ini tidak hanya menempatkan perusahaan dalam risiko, tetapi juga mengompromikan perimeter.




Seorang auditor yang cerdas tidak menemukan masalahnya karena atestasi tidak mencari informasi “operasional” pada semua sistem – standarnya adalah satu lapis pertanyaan dan jawaban. Faktanya, sebagian besar atestasi hanya mengukur apakah alat tersebut ada, bukan kelayakan operasionalnya. Selain itu, sebagian besar auditor tidak cukup teknis untuk membedakan IDS/IPS yang berfungsi dari yang tidak berfungsi. Inti dari audit bergantung pada perusahaan untuk tampil sebaik mungkin daripada menjawab pertanyaan sulit. Auditor juga harus mencakup berbagai kontrol selama audit sehingga waktu menjadi faktor besar dalam kualitas analisis mereka.




Sebuah atestasi saja akan memberi tahu Anda bahwa sebuah perusahaan memiliki program keamanan yang matang dengan kontrol. Meminta mitra potensial untuk mengisi survei vendor juga tidak akan memberi Anda kepercayaan diri. Survei hanya menguraikan informasi yang sama dalam format yang berbeda. Jadi, bagaimana Anda mengevaluasi program keamanan yang matang?

Kontrol memungkinkan fleksibilitas dalam implementasi dan pertumbuhan operasional serta inovasi dari waktu ke waktu. Sayangnya, beberapa organisasi menggunakan fleksibilitas ini hanya untuk memenuhi syarat, tetapi tidak memiliki pertahanan nyata yang diterapkan.




Contoh utama dari masalah ini adalah sistem deteksi/prevention intrusi (IDS atau IPS). Seperti pemindai virus, sebagian besar organisasi berinvestasi dalam IDS/IPS sebagai bagian dari praktik keamanan standar untuk menjaga dari lalu lintas berbahaya dan eksfiltrasi data. Industri ini dipenuhi dengan pemasok yang membuat berbagai bentuk sistem IDS/IPS. Namun, beberapa organisasi membangun sistem daripada membelinya.




Saya baru saja meninggalkan salah satu organisasi yang “membangun” sistem deteksi intrusi mereka sendiri dari alat sumber terbuka. Auditor diberitahu bahwa sistem tersebut adalah “alat fantastis”, dan bahkan diberikan contoh lalu lintas. Ketika saya meneliti lebih dalam tentang telemetri yang disediakan alat tersebut, saya menyadari bahwa lalu lintas tidak dianalisis sama sekali. Malahan, melewati sensor karena tidak dikonfigurasi untuk menangkap atau mengingatkan lalu lintas sama sekali. Selain itu, kredensial yang digunakan untuk mengelola alat tersebut diatur oleh karyawan sebelumnya dan tidak pernah diperbarui setelah ia pergi. Jadi pada dasarnya, alat tersebut duduk diam selama berbulan-bulan tanpa intervensi manusia. Ini tidak hanya menempatkan perusahaan dalam risiko, tetapi juga mengompromikan perimeter.




Seorang auditor yang cerdas tidak menemukan masalahnya karena atestasi tidak mencari informasi “operasional” pada semua sistem – standarnya adalah satu lapis pertanyaan dan jawaban. Faktanya, sebagian besar atestasi hanya mengukur apakah alat tersebut ada, bukan kelayakan operasionalnya. Selain itu, sebagian besar auditor tidak cukup teknis untuk membedakan IDS/IPS yang berfungsi dari yang tidak berfungsi. Inti dari audit bergantung pada perusahaan untuk tampil sebaik mungkin daripada menjawab pertanyaan sulit. Auditor juga harus mencakup berbagai kontrol selama audit sehingga waktu menjadi faktor besar dalam kualitas analisis mereka.




Sebuah atestasi saja akan memberi tahu Anda bahwa sebuah perusahaan memiliki program keamanan yang matang dengan kontrol. Meminta mitra potensial untuk mengisi survei vendor juga tidak akan memberi Anda kepercayaan diri. Survei hanya menguraikan informasi yang sama dalam format yang berbeda. Jadi, bagaimana Anda mengevaluasi program keamanan yang matang?

Evaluasi Program Keamanan Cloud Secara Keseluruhan

Pertama, Anda harus meninjau setidaknya pernyataan dan laporan temuan, bukan ringkasan eksekutif. Itu akan memberi Anda gambaran umum tentang program yang ditinjau oleh pihak ketiga. Kedua, Anda sebaiknya memeriksa apakah perusahaan menjalani uji penetrasi pihak ketiga atau program bug bounty. Secara pribadi, saya tidak menyukai bug bounties, tetapi saya menyukai pengujian penetrasi pihak ketiga secara tahunan. Pengujian penetrasi memberi Anda pengujian terstruktur terhadap pertahanan Anda dan umpan balik nyata tentang kerentanan. Terakhir, tinjau dokumen keamanan (biasanya daftar isi) yang digunakan perusahaan sebagai dasar untuk implementasi. Ini mencakup (tetapi tentu saja tidak terbatas pada) kebijakan keamanan, respons insiden, dan manajemen kerentanan. Tim keamanan yang berpengalaman akan menawarkan untuk membagikan dokumen dan artefak tersebut sebagai bagian dari bisnis normal.




Saya menjadikannya sebagai kebiasaan untuk mengevaluasi setiap vendor dan mitra dari perspektif akses ke data perusahaan. Artinya, jika mitra atau vendor mengelola data perusahaan, mereka tunduk pada pemeriksaan lebih ketat dibandingkan vendor yang tidak mengelola. Ingat tujuan bisnis saat mengevaluasi program keamanan. Saya meninjau tujuan bisnis dan jenis informasi yang terlibat, kemudian mengevaluasi dari perspektif tersebut, daripada menangani semua mitra dan vendor dengan cara yang sama. Ketika ragu, selalu minta informasi lebih lanjut.

Mari hubungkan Anda dengan pakar Bird.
Lihat kekuatan penuh dari Bird dalam 30 menit.

Dengan mengirimkan, Anda setuju Bird dapat menghubungi Anda tentang produk dan layanan kami.

Anda dapat berhenti berlangganan kapan saja. Lihat Pernyataan Privasi Bird untuk detail tentang pemrosesan data.

Perusahaan

Newsletter

Tetap terinformasi dengan Bird melalui pembaruan mingguan ke kotak masuk Anda.

Dengan mengirimkan, Anda setuju Bird dapat menghubungi Anda tentang produk dan layanan kami.

Anda dapat berhenti berlangganan kapan saja. Lihat Pernyataan Privasi Bird untuk detail tentang pemrosesan data.

Mari hubungkan Anda dengan pakar Bird.
Lihat kekuatan penuh dari Bird dalam 30 menit.

Dengan mengirimkan, Anda setuju Bird dapat menghubungi Anda tentang produk dan layanan kami.

Anda dapat berhenti berlangganan kapan saja. Lihat Pernyataan Privasi Bird untuk detail tentang pemrosesan data.

Perusahaan

Newsletter

Tetap terinformasi dengan Bird melalui pembaruan mingguan ke kotak masuk Anda.

Dengan mengirimkan, Anda setuju Bird dapat menghubungi Anda tentang produk dan layanan kami.

Anda dapat berhenti berlangganan kapan saja. Lihat Pernyataan Privasi Bird untuk detail tentang pemrosesan data.

Mari hubungkan Anda dengan pakar Bird.
Lihat kekuatan penuh dari Bird dalam 30 menit.

Dengan mengirimkan, Anda setuju Bird dapat menghubungi Anda tentang produk dan layanan kami.

Anda dapat berhenti berlangganan kapan saja. Lihat Pernyataan Privasi Bird untuk detail tentang pemrosesan data.

R

Reach

G

Grow

M

Manage

A

Automate

Perusahaan

Newsletter

Tetap terinformasi dengan Bird melalui pembaruan mingguan ke kotak masuk Anda.

Dengan mengirimkan, Anda setuju Bird dapat menghubungi Anda tentang produk dan layanan kami.

Anda dapat berhenti berlangganan kapan saja. Lihat Pernyataan Privasi Bird untuk detail tentang pemrosesan data.