Reach

Grow

Manage

Automate

Reach

Grow

Manage

Automate

Perché le attestazioni sono solo una parte del tuo programma di sicurezza nel cloud

Stefano Murray

5 lug 2017

Email

1 min read

Perché le attestazioni sono solo una parte del tuo programma di sicurezza nel cloud

Stefano Murray

5 lug 2017

Email

1 min read

Perché le attestazioni sono solo una parte del tuo programma di sicurezza nel cloud

Le persone mi chiedono spesso cosa rende un buon programma di sicurezza. Per quanto vorrei indicare un aspetto del mio perimetro di sicurezza da utilizzare come esempio, ci sono molteplici elementi da evidenziare.

Le attestazioni non sempre misurano il tuo Defensive Posture

Una attestazione, per definizione, è un'indicazione che rende evidente qualcosa. Nel caso della sicurezza, in particolare dei programmi di sicurezza, significa certificare in una capacità ufficiale.

Le persone spesso mi chiedono cosa rende un buon programma di sicurezza. Per quanto mi piacerebbe indicare un aspetto del mio perimetro di sicurezza da utilizzare come esempio, ci sono diversi elementi da evidenziare. L'industria si basa sulle attestazioni e certificazioni per misurare le vostre difese di sicurezza. Gli ingegneri e gli operatori vi diranno che il vostro perimetro di sicurezza effettivo e le capacità di valutazione delle minacce definiscono il vostro programma di sicurezza. Vi dirò che sono sia le attestazioni di conformità come misura che le capacità operative del vostro team di sicurezza a definire il vostro programma. Anche se le sole attestazioni non sono un benchmark accurato per misurare un programma.

Le attestazioni sono una necessità del settore per garantire la conformità con statuti federali, locali e statali oltre che con le migliori pratiche del settore. Gli standard ISO, NIST o DoD costituiscono la base della maggior parte delle attestazioni. NIST, ad esempio, pubblica una serie di standard e guide tecniche per aiutare le organizzazioni a costruire difese perimetrali che siano “accettabili” per il governo. Come illustrerò, tuttavia, solo perché gli standard sono impostati non significa che l'implementazione sia sempre eccellente.

Il deployment di uno strumento non significa che stia fornendo valore

I controlli consentono flessibilità nell'implementazione, nella crescita operativa e nell'innovazione nel tempo. Purtroppo alcune organizzazioni utilizzano la flessibilità per rispettare le formalità, ma non dispongono di difese reali.

Un esempio evidente di questo problema sono i sistemi di rilevazione/protezione dalle intrusioni (IDS o IPS). Come gli scanner antivirus, la maggior parte delle organizzazioni investe in IDS/IPS come parte delle pratiche standard di sicurezza per proteggersi dal traffico dannoso e dall'esfiltrazione dei dati. L'industria è piena di fornitori che realizzano varie forme di sistemi IDS/IPS. Tuttavia, alcune organizzazioni costruiscono sistemi piuttosto che acquistarli.

Di recente ho lasciato un'organizzazione che ha “costruito” il proprio sistema di rilevamento delle intrusioni utilizzando strumenti open source. Agli auditor è stato detto che il sistema era un “fantastico strumento”, e sono stati forniti esempi di traffico. Quando ho esaminato più a fondo la telemetria che lo strumento forniva, mi sono reso conto che il traffico non veniva analizzato affatto. Piuttosto, passava attraverso il sensore dato che non era configurato per catturare alcun traffico o inviare allarmi. Inoltre, le credenziali usate per amministrare lo strumento erano state impostate da un dipendente precedente e non erano mai state aggiornate dopo la sua partenza. Quindi, essenzialmente, lo strumento è rimasto inattivo per mesi senza alcun intervento umano. Questo non solo mette l'azienda a rischio, ma compromette anche il perimetro.

Un auditor esperto non avrebbe rilevato il problema perché le attestazioni non cercano informazioni “operative” su tutti i sistemi - lo standard è letteralmente uno strato di domande e risposte. Infatti, la maggior parte delle attestazioni misura semplicemente se lo strumento esiste, non la sua operatività. Inoltre, la maggior parte degli auditor non è sufficientemente tecnica per discernere un IDS/IPS funzionante da uno non funzionante. Il cuore dell'audit si basa sull'azienda che si presenta nel miglior modo anziché rispondere a domande difficili. Gli auditor devono anche coprire un vasto assortimento di controlli durante un audit, quindi il tempo è un fattore importante nella qualità della loro analisi.

Un'attestazione da sola vi dirà che un'azienda ha un programma di sicurezza maturo con controlli. Requisire che un potenziale partner compili un sondaggio sui fornitori non vi darà neanche una sicurezza. I sondaggi delineano semplicemente le stesse informazioni in un formato diverso. Quindi, come si valuta un programma di sicurezza maturo?

I controlli consentono flessibilità nell'implementazione, nella crescita operativa e nell'innovazione nel tempo. Purtroppo alcune organizzazioni utilizzano la flessibilità per rispettare le formalità, ma non dispongono di difese reali.

Un esempio evidente di questo problema sono i sistemi di rilevazione/protezione dalle intrusioni (IDS o IPS). Come gli scanner antivirus, la maggior parte delle organizzazioni investe in IDS/IPS come parte delle pratiche standard di sicurezza per proteggersi dal traffico dannoso e dall'esfiltrazione dei dati. L'industria è piena di fornitori che realizzano varie forme di sistemi IDS/IPS. Tuttavia, alcune organizzazioni costruiscono sistemi piuttosto che acquistarli.

Di recente ho lasciato un'organizzazione che ha “costruito” il proprio sistema di rilevamento delle intrusioni utilizzando strumenti open source. Agli auditor è stato detto che il sistema era un “fantastico strumento”, e sono stati forniti esempi di traffico. Quando ho esaminato più a fondo la telemetria che lo strumento forniva, mi sono reso conto che il traffico non veniva analizzato affatto. Piuttosto, passava attraverso il sensore dato che non era configurato per catturare alcun traffico o inviare allarmi. Inoltre, le credenziali usate per amministrare lo strumento erano state impostate da un dipendente precedente e non erano mai state aggiornate dopo la sua partenza. Quindi, essenzialmente, lo strumento è rimasto inattivo per mesi senza alcun intervento umano. Questo non solo mette l'azienda a rischio, ma compromette anche il perimetro.

Un auditor esperto non avrebbe rilevato il problema perché le attestazioni non cercano informazioni “operative” su tutti i sistemi - lo standard è letteralmente uno strato di domande e risposte. Infatti, la maggior parte delle attestazioni misura semplicemente se lo strumento esiste, non la sua operatività. Inoltre, la maggior parte degli auditor non è sufficientemente tecnica per discernere un IDS/IPS funzionante da uno non funzionante. Il cuore dell'audit si basa sull'azienda che si presenta nel miglior modo anziché rispondere a domande difficili. Gli auditor devono anche coprire un vasto assortimento di controlli durante un audit, quindi il tempo è un fattore importante nella qualità della loro analisi.

Un'attestazione da sola vi dirà che un'azienda ha un programma di sicurezza maturo con controlli. Requisire che un potenziale partner compili un sondaggio sui fornitori non vi darà neanche una sicurezza. I sondaggi delineano semplicemente le stesse informazioni in un formato diverso. Quindi, come si valuta un programma di sicurezza maturo?

I controlli consentono flessibilità nell'implementazione, nella crescita operativa e nell'innovazione nel tempo. Purtroppo alcune organizzazioni utilizzano la flessibilità per rispettare le formalità, ma non dispongono di difese reali.

Un esempio evidente di questo problema sono i sistemi di rilevazione/protezione dalle intrusioni (IDS o IPS). Come gli scanner antivirus, la maggior parte delle organizzazioni investe in IDS/IPS come parte delle pratiche standard di sicurezza per proteggersi dal traffico dannoso e dall'esfiltrazione dei dati. L'industria è piena di fornitori che realizzano varie forme di sistemi IDS/IPS. Tuttavia, alcune organizzazioni costruiscono sistemi piuttosto che acquistarli.

Di recente ho lasciato un'organizzazione che ha “costruito” il proprio sistema di rilevamento delle intrusioni utilizzando strumenti open source. Agli auditor è stato detto che il sistema era un “fantastico strumento”, e sono stati forniti esempi di traffico. Quando ho esaminato più a fondo la telemetria che lo strumento forniva, mi sono reso conto che il traffico non veniva analizzato affatto. Piuttosto, passava attraverso il sensore dato che non era configurato per catturare alcun traffico o inviare allarmi. Inoltre, le credenziali usate per amministrare lo strumento erano state impostate da un dipendente precedente e non erano mai state aggiornate dopo la sua partenza. Quindi, essenzialmente, lo strumento è rimasto inattivo per mesi senza alcun intervento umano. Questo non solo mette l'azienda a rischio, ma compromette anche il perimetro.

Un auditor esperto non avrebbe rilevato il problema perché le attestazioni non cercano informazioni “operative” su tutti i sistemi - lo standard è letteralmente uno strato di domande e risposte. Infatti, la maggior parte delle attestazioni misura semplicemente se lo strumento esiste, non la sua operatività. Inoltre, la maggior parte degli auditor non è sufficientemente tecnica per discernere un IDS/IPS funzionante da uno non funzionante. Il cuore dell'audit si basa sull'azienda che si presenta nel miglior modo anziché rispondere a domande difficili. Gli auditor devono anche coprire un vasto assortimento di controlli durante un audit, quindi il tempo è un fattore importante nella qualità della loro analisi.

Un'attestazione da sola vi dirà che un'azienda ha un programma di sicurezza maturo con controlli. Requisire che un potenziale partner compili un sondaggio sui fornitori non vi darà neanche una sicurezza. I sondaggi delineano semplicemente le stesse informazioni in un formato diverso. Quindi, come si valuta un programma di sicurezza maturo?

Valutare l'intero programma di sicurezza Cloud

Prima di tutto, dovresti esaminare almeno le attestazioni e il rapporto dei risultati, non il sommario esecutivo. Questo ti fornirà una panoramica del programma esaminato da una terza parte. Inoltre, i programmi di sicurezza completi dovrebbero includere strategie di protezione dei dati solide come procedure di backup e recupero dei database per garantire la continuità aziendale e l'integrità dei dati durante gli incidenti di sicurezza. In secondo luogo, dovresti sicuramente verificare se l'azienda si sottopone a un test di penetrazione o un programma di bug bounty da parte di terzi. Personalmente non sono un fan dei bug bounty, ma sono un fan dei test di penetrazione da parte di terzi su base annuale. I Pentesting ti forniscono un test strutturato delle tue difese e un feedback reale sulle vulnerabilità. Infine, esamina i documenti di sicurezza (solitamente indice dei contenuti) che l'azienda utilizza come base per l'implementazione. Questo include (ma certamente non si limita a) una politica di sicurezza, la gestione degli incidenti e la gestione delle vulnerabilità. Un team di sicurezza esperto offrirà di condividere quei documenti e gli artefatti come parte della normale attività.

Faccio una questione di prassi valutare ogni fornitore e partner dal punto di vista dell'accesso ai dati aziendali. Significa che se il partner o il fornitore gestisce i dati aziendali, sono soggetti a maggiori scrutinio rispetto a un fornitore che non lo fa. Tieni presente lo scopo aziendale quando valuti un programma di sicurezza. Esamino lo scopo aziendale e il tipo di informazioni coinvolte, quindi valuto da quella prospettiva, piuttosto che gestire tutti i partner e fornitori allo stesso modo. In caso di dubbio, chiedi sempre ulteriori informazioni.

Connettiamoci con un esperto di Bird.
Scopri tutta la potenza del Bird in 30 minuti.

Inviando, accetti che Bird possa contattarti riguardo ai nostri prodotti e servizi.

Puoi annullare l'iscrizione in qualsiasi momento. Consulta la Informativa sulla Privacy di Bird per i dettagli sul trattamento dei dati.

Azienda

Newsletter

Rimani aggiornato con Bird attraverso aggiornamenti settimanali nella tua inbox.

Connettiamoci con un esperto di Bird.
Scopri tutta la potenza del Bird in 30 minuti.

Inviando, accetti che Bird possa contattarti riguardo ai nostri prodotti e servizi.

Puoi annullare l'iscrizione in qualsiasi momento. Consulta la Informativa sulla Privacy di Bird per i dettagli sul trattamento dei dati.

Azienda

Newsletter

Rimani aggiornato con Bird attraverso aggiornamenti settimanali nella tua inbox.

Connettiamoci con un esperto di Bird.
Scopri tutta la potenza del Bird in 30 minuti.

Inviando, accetti che Bird possa contattarti riguardo ai nostri prodotti e servizi.

Puoi annullare l'iscrizione in qualsiasi momento. Consulta la Informativa sulla Privacy di Bird per i dettagli sul trattamento dei dati.

R

Raggiungi

G

Grow

M

Manage

A

Automate

Azienda

Newsletter

Rimani aggiornato con Bird attraverso aggiornamenti settimanali nella tua inbox.