Bereik

Grow

Manage

Automate

Bereik

Grow

Manage

Automate

Waarom Attestaties Slechts Een Onderdeel Zijn van Uw Cloudbeveiligingsprogramma

Steven Murray

5 jul 2017

E-mail

1 min read

Waarom Attestaties Slechts Een Onderdeel Zijn van Uw Cloudbeveiligingsprogramma

Steven Murray

5 jul 2017

E-mail

1 min read

Waarom Attestaties Slechts Een Onderdeel Zijn van Uw Cloudbeveiligingsprogramma

Mensen vragen me vaak wat een goed beveiligingsprogramma maakt. Hoe graag ik ook één aspect van mijn beveiligingsperimeter zou willen aanwijzen als voorbeeld, er zijn meerdere elementen om te benadrukken.

Attestaties meten niet altijd je verdedigingshouding

Een attestering, bij definitie, is een aanwijzing die iets duidelijk maakt. In het geval van beveiliging, specifiek beveiligingsprogramma's, betekent het officieel certificeren.

Mensen vragen me vaak wat een goed beveiligingsprogramma maakt. Hoe graag ik ook een aspect van mijn beveiligingsperimeter als voorbeeld zou willen aanwijzen, er zijn meerdere zaken om te benadrukken. De industrie vertrouwt op attesteringen en certificeringen om je beveiligingsverdedigingen te meten. Ingenieurs en operators zullen je vertellen dat je werkelijke beveiligingsperimeter en bedreigingsinschattingsmogelijkheden je beveiligingsprogramma definiëren. Ik zal je vertellen dat zowel nalevingsattesten als meetinstrument en de operationele capaciteiten van je beveiligingsteam je programma definiëren. Hoewel attesteringen alleen geen nauwkeurige maatstaf zijn om een programma te meten.

Attesteringen zijn een noodzaak in de industrie om te zorgen voor naleving van federale, lokale en staatswetten evenals industriële best practices. ISO, NIST of DoD standaarden vormen de basis van de meeste attesteringen. NIST, bijvoorbeeld, publiceert een reeks standaarden en technische gidsen om organisaties te helpen perimeterverdedigingen te bouwen die “acceptabel” zijn voor de overheid. Echter, zoals ik zal uiteenzetten, betekent het, hoewel de standaarden zijn vastgesteld, niet dat de implementatie altijd geweldig is.

Implementatie van een Tool betekent niet dat het Waarde biedt

Controles zorgen voor flexibiliteit in de implementatie en operationele groei en innovatie in de loop van de tijd. Helaas gebruiken sommige organisaties de flexibiliteit alleen om een vinkje te zetten, maar hebben ze geen echte verdedigingen ter plaatse.

Een goed voorbeeld van dit probleem zijn inbraakdetectie/-beschermingssystemen (IDS of IPS). Net als virusscanners investeren de meeste organisaties in IDS/IPS als een standaard beveiligingspraktijk om te beschermen tegen kwaadwillig verkeer en gegevensdiefstal. De industrie is rijk aan leveranciers die verschillende vormen van IDS/IPS-systemen maken. Sommige organisaties bouwen echter systemen in plaats van ze te kopen.

Onlangs verliet ik een organisatie die haar eigen inbraakdetectiesysteem 'bouwde' met open source tools. Aan auditors werd verteld dat het systeem een 'fantastisch hulpmiddel' was en ze kregen zelfs voorbeelden van verkeer. Toen ik dieper in de telemetrie dook die het hulpmiddel bood, realiseerde ik me dat het verkeer helemaal niet werd geanalyseerd. In plaats daarvan ging het door de sensor zonder dat deze was geconfigureerd om verkeer op te vangen of een alarm te geven. Bovendien waren de referenties die werden gebruikt om het hulpmiddel te beheren opgezet door een voormalige medewerker en nooit bijgewerkt na zijn vertrek. Het hulpmiddel stond dus maandenlang stil zonder menselijk ingrijpen. Dit brengt het bedrijf niet alleen in gevaar, maar het compromitteert ook de perimeter.

Een slimme auditor zou het probleem niet hebben opgemerkt omdat de verklaringen niet zoeken naar 'operationele' informatie over alle systemen - de standaard is letterlijk een laag van vraag en antwoord. In feite meten de meeste verklaringen eenvoudigweg of het hulpmiddel bestaat, niet operationele levensvatbaarheid. Daarnaast zijn de meeste auditors niet technisch genoeg om een functionerende IDS/IPS te onderscheiden van een niet-functionerende. De kern van de audit is afhankelijk van het bedrijf om zich van zijn beste kant te laten zien in plaats van moeilijke vragen te beantwoorden. Auditors moeten ook een breed scala aan controles dekken tijdens een audit, dus tijd is een belangrijke factor in de kwaliteit van hun analyse.

Een verklaring alleen zal u vertellen dat een bedrijf een volwassen beveiligingsprogramma met controles heeft. Het vereisen dat een potentiële partner een leveranciersenquête voltooit, zal u ook geen vertrouwen geven. Enquêtes schetsen slechts dezelfde informatie in een ander formaat. Dus hoe evalueert u een volwassen beveiligingsprogramma?

Controles zorgen voor flexibiliteit in de implementatie en operationele groei en innovatie in de loop van de tijd. Helaas gebruiken sommige organisaties de flexibiliteit alleen om een vinkje te zetten, maar hebben ze geen echte verdedigingen ter plaatse.

Een goed voorbeeld van dit probleem zijn inbraakdetectie/-beschermingssystemen (IDS of IPS). Net als virusscanners investeren de meeste organisaties in IDS/IPS als een standaard beveiligingspraktijk om te beschermen tegen kwaadwillig verkeer en gegevensdiefstal. De industrie is rijk aan leveranciers die verschillende vormen van IDS/IPS-systemen maken. Sommige organisaties bouwen echter systemen in plaats van ze te kopen.

Onlangs verliet ik een organisatie die haar eigen inbraakdetectiesysteem 'bouwde' met open source tools. Aan auditors werd verteld dat het systeem een 'fantastisch hulpmiddel' was en ze kregen zelfs voorbeelden van verkeer. Toen ik dieper in de telemetrie dook die het hulpmiddel bood, realiseerde ik me dat het verkeer helemaal niet werd geanalyseerd. In plaats daarvan ging het door de sensor zonder dat deze was geconfigureerd om verkeer op te vangen of een alarm te geven. Bovendien waren de referenties die werden gebruikt om het hulpmiddel te beheren opgezet door een voormalige medewerker en nooit bijgewerkt na zijn vertrek. Het hulpmiddel stond dus maandenlang stil zonder menselijk ingrijpen. Dit brengt het bedrijf niet alleen in gevaar, maar het compromitteert ook de perimeter.

Een slimme auditor zou het probleem niet hebben opgemerkt omdat de verklaringen niet zoeken naar 'operationele' informatie over alle systemen - de standaard is letterlijk een laag van vraag en antwoord. In feite meten de meeste verklaringen eenvoudigweg of het hulpmiddel bestaat, niet operationele levensvatbaarheid. Daarnaast zijn de meeste auditors niet technisch genoeg om een functionerende IDS/IPS te onderscheiden van een niet-functionerende. De kern van de audit is afhankelijk van het bedrijf om zich van zijn beste kant te laten zien in plaats van moeilijke vragen te beantwoorden. Auditors moeten ook een breed scala aan controles dekken tijdens een audit, dus tijd is een belangrijke factor in de kwaliteit van hun analyse.

Een verklaring alleen zal u vertellen dat een bedrijf een volwassen beveiligingsprogramma met controles heeft. Het vereisen dat een potentiële partner een leveranciersenquête voltooit, zal u ook geen vertrouwen geven. Enquêtes schetsen slechts dezelfde informatie in een ander formaat. Dus hoe evalueert u een volwassen beveiligingsprogramma?

Controles zorgen voor flexibiliteit in de implementatie en operationele groei en innovatie in de loop van de tijd. Helaas gebruiken sommige organisaties de flexibiliteit alleen om een vinkje te zetten, maar hebben ze geen echte verdedigingen ter plaatse.

Een goed voorbeeld van dit probleem zijn inbraakdetectie/-beschermingssystemen (IDS of IPS). Net als virusscanners investeren de meeste organisaties in IDS/IPS als een standaard beveiligingspraktijk om te beschermen tegen kwaadwillig verkeer en gegevensdiefstal. De industrie is rijk aan leveranciers die verschillende vormen van IDS/IPS-systemen maken. Sommige organisaties bouwen echter systemen in plaats van ze te kopen.

Onlangs verliet ik een organisatie die haar eigen inbraakdetectiesysteem 'bouwde' met open source tools. Aan auditors werd verteld dat het systeem een 'fantastisch hulpmiddel' was en ze kregen zelfs voorbeelden van verkeer. Toen ik dieper in de telemetrie dook die het hulpmiddel bood, realiseerde ik me dat het verkeer helemaal niet werd geanalyseerd. In plaats daarvan ging het door de sensor zonder dat deze was geconfigureerd om verkeer op te vangen of een alarm te geven. Bovendien waren de referenties die werden gebruikt om het hulpmiddel te beheren opgezet door een voormalige medewerker en nooit bijgewerkt na zijn vertrek. Het hulpmiddel stond dus maandenlang stil zonder menselijk ingrijpen. Dit brengt het bedrijf niet alleen in gevaar, maar het compromitteert ook de perimeter.

Een slimme auditor zou het probleem niet hebben opgemerkt omdat de verklaringen niet zoeken naar 'operationele' informatie over alle systemen - de standaard is letterlijk een laag van vraag en antwoord. In feite meten de meeste verklaringen eenvoudigweg of het hulpmiddel bestaat, niet operationele levensvatbaarheid. Daarnaast zijn de meeste auditors niet technisch genoeg om een functionerende IDS/IPS te onderscheiden van een niet-functionerende. De kern van de audit is afhankelijk van het bedrijf om zich van zijn beste kant te laten zien in plaats van moeilijke vragen te beantwoorden. Auditors moeten ook een breed scala aan controles dekken tijdens een audit, dus tijd is een belangrijke factor in de kwaliteit van hun analyse.

Een verklaring alleen zal u vertellen dat een bedrijf een volwassen beveiligingsprogramma met controles heeft. Het vereisen dat een potentiële partner een leveranciersenquête voltooit, zal u ook geen vertrouwen geven. Enquêtes schetsen slechts dezelfde informatie in een ander formaat. Dus hoe evalueert u een volwassen beveiligingsprogramma?

Evalueer het gehele Cloud Security Program

Ten eerste moet u minimaal de attesten en het bevindingenrapport bekijken, niet de samenvatting. Dat geeft u een overzicht van het programma dat door een derde partij is beoordeeld. Bovendien moeten uitgebreide beveiligingsprogramma's robuuste gegevensbeschermingsstrategieën omvatten, zoals database-back-up- en herstelprocedures om bedrijfscontinuïteit en gegevensintegriteit te waarborgen tijdens beveiligingsincidenten. Ten tweede moet u zeker controleren of het bedrijf een derde partij-penetratietest of bug bounty-programma ondergaat. Persoonlijk ben ik geen fan van bug bounties, maar ik ben wel een fan van jaarlijkse penetratietests door derden. Pentesting biedt u een gestructureerde test van uw verdediging en echte feedback over kwetsbaarheden. Ten slotte, bekijk de beveiligingsdocumenten (meestal inhoudsopgave) die het bedrijf gebruikt als basis voor implementatie. Dit omvat (maar is zeker niet beperkt tot) een beveiligingsbeleid, incident response en kwetsbaarheidsbeheer. Een ervaren beveiligingsteam zal aanbieden om die documenten en artefacten te delen als onderdeel van het normale bedrijfsleven.

Ik maak het een kwestie van gewoonte om elke leverancier en partner te evalueren vanuit het perspectief van toegang tot bedrijfsgegevens. Dit betekent dat als de partner of leverancier bedrijfsgegevens beheert, ze onderworpen zijn aan meer controle dan een leverancier die dat niet doet. Houd het zakelijke doel in gedachten bij het evalueren van een beveiligingsprogramma. Ik bekijk het zakelijke doel en het type informatie dat erbij betrokken is en evalueer dan vanuit dat perspectief, in plaats van alle partners en leveranciers hetzelfde te behandelen. Bij twijfel, vraag altijd om meer informatie.

Laten we je in contact brengen met een Bird-expert.
Bekijk de volledige kracht van de Bird in 30 minuten.

Door te verzenden, ga je ermee akkoord dat Bird contact met je mag opnemen over onze producten en diensten.

U kunt zich op elk moment afmelden. Zie Bird's Privacyverklaring voor details over gegevensverwerking.

Nieuwsbrief

Blijf op de hoogte met Bird via wekelijkse updates in je inbox.

Laten we je in contact brengen met een Bird-expert.
Bekijk de volledige kracht van de Bird in 30 minuten.

Door te verzenden, ga je ermee akkoord dat Bird contact met je mag opnemen over onze producten en diensten.

U kunt zich op elk moment afmelden. Zie Bird's Privacyverklaring voor details over gegevensverwerking.

Nieuwsbrief

Blijf op de hoogte met Bird via wekelijkse updates in je inbox.

Laten we je in contact brengen met een Bird-expert.
Bekijk de volledige kracht van de Bird in 30 minuten.

Door te verzenden, ga je ermee akkoord dat Bird contact met je mag opnemen over onze producten en diensten.

U kunt zich op elk moment afmelden. Zie Bird's Privacyverklaring voor details over gegevensverwerking.

R

Bereik

G

Grow

M

Manage

A

Automate

Nieuwsbrief

Blijf op de hoogte met Bird via wekelijkse updates in je inbox.