Pembuktian Tidak Selalu Mengukur Postur Pertahanan Anda

An pengesahan, menurut definisi, is an indication that makes something evident. In the case of the security, specifically security programs it means to certify in an official capacity.

People often ask me what makes a good security program. As much as I would like to point to one aspect of my security perimeter to use as an example, there are multiple items to highlight. The industry relies on attestations and certifications to measure your security defenses. Engineers and operators will tell you that your actual security perimeter and threat assessment capabilities define your security program. I will tell you it is both compliance attestations as a measurement and the operational capabilities of your security team that define your program. Though attestations alone are not an accurate benchmark to measure a program.

Attestations are an industry necessity to ensure compliance with federal, local and state statutes as well as industry best practices. ISO, NIST or DoD standards form the baseline of most attestations. NIST, for example, publishes a set of standards and technical guides to help organizations build perimeter defenses that are “acceptable” ke government. As I will outline however, just because the standards are set doesn’t mean implementation is always stellar.

Penerapan Alat Tidak Berarti Alat tersebut Memberikan Nilai

Kontrol memungkinkan fleksibilitas dalam implementasi dan pertumbuhan operasional serta inovasi dari waktu ke waktu. Sayangnya, beberapa organisasi menggunakan fleksibilitas ini untuk mencentang kotak, namun tidak memiliki pertahanan yang nyata.

Contoh utama dari masalah ini adalah sistem deteksi/proteksi penyusupan (IDS atau IPS). Seperti pemindai virus, sebagian besar organisasi berinvestasi pada IDS/IPS sebagai bagian dari praktik keamanan standar untuk melindungi dari lalu lintas berbahaya dan eksfiltrasi data. Industri ini penuh dengan vendor yang membuat berbagai bentuk sistem IDS/IPS. Namun, beberapa organisasi membangun sistem daripada membeli.

I recently left one such organization that “built” their own intrusion detection system from open source tools. Auditors were told the system was a “fantastic tool”, and even given examples of traffic. When I dug deeper into the telemetry the tool was providing, I realized that traffic was not being analyzed at all. Rather, passing through the sensor as it was not configured to capture any traffic or alert at all. Furthermore, the credentials used to administer the tool were set up by a previous employee and were never updated after his departure. So essentially, the tool was sitting idle for months without any human intervention. Not only does this put the company at risk, but it also compromises the perimeter.

Seorang auditor yang cerdas tidak akan menangkap masalah ini karena atestasi tidak mencari informasi "operasional" pada semua sistem - standar secara harfiah adalah satu lapisan pertanyaan dan jawaban. Faktanya, sebagian besar atestasi hanya mengukur apakah alat tersebut ada, bukan kelayakan operasional. Selain itu, sebagian besar auditor tidak cukup teknis untuk membedakan IDS/IPS yang fungsional dengan yang tidak fungsional. Inti dari audit ini bergantung pada perusahaan untuk memberikan yang terbaik daripada menjawab pertanyaan-pertanyaan yang sulit. Auditor juga harus mencakup berbagai macam kontrol selama audit sehingga waktu merupakan faktor penting dalam kualitas analisis mereka.

Pengesahan saja sudah cukup untuk memberi tahu Anda bahwa sebuah perusahaan memiliki program keamanan yang matang dengan kontrol. Meminta calon mitra untuk menyelesaikan survei vendor juga tidak akan memberi Anda kepercayaan diri. Survei hanya menguraikan informasi yang sama dalam format yang berbeda. Jadi, bagaimana Anda mengevaluasi program keamanan yang matang?

Mengevaluasi Seluruh Program Keamanan Cloud

Pertama, Anda harus meninjau setidaknya pengesahan dan laporan temuan, bukan ringkasan eksekutif. Hal itu akan memberi Anda gambaran umum tentang program yang ditinjau oleh pihak ketiga. Kedua, Anda sebaiknya meninjau apakah perusahaan menjalani uji penetrasi pihak ketiga atau program bug bounty. Secara pribadi saya bukan penggemar bug bounty, tetapi saya penggemar pengujian penetrasi pihak ketiga setiap tahun. Pentesting memberi Anda pengujian terstruktur atas pertahanan Anda dan umpan balik nyata tentang kerentanan. Terakhir, tinjau dokumen keamanan (biasanya daftar isi) yang digunakan perusahaan sebagai dasar penerapan. Ini termasuk (tetapi tentu saja tidak terbatas pada) kebijakan keamanan, respons insiden, dan manajemen kerentanan. Tim keamanan yang berpengalaman akan menawarkan untuk membagikan dokumen dan artefak tersebut sebagai bagian dari bisnis normal.

I make it a matter of course to evaluate every vendor and partner from the perspective of access to company data. Meaning if the partner or vendor manages company data, they’re subject to more scrutiny than a vendor that does not. Keep in mind the business purpose when evaluating a security program. I review the business purpose and type of information involved, then evaluate from that perspective, rather than handle all partners and vendors the same. When in doubt, always ask for more information.