Zasięg

Grow

Manage

Automate

Zasięg

Grow

Manage

Automate

Dlaczego atestacje są tylko jedną częścią Twojego programu bezpieczeństwa chmurowego

Email

1 min read

Dlaczego atestacje są tylko jedną częścią Twojego programu bezpieczeństwa chmurowego

Email

1 min read

Dlaczego atestacje są tylko jedną częścią Twojego programu bezpieczeństwa chmurowego

Ludzie często pytają mnie, co sprawia, że program bezpieczeństwa jest dobry. Chociaż chciałbym wskazać jeden aspekt mojego obwodu bezpieczeństwa jako przykład, istnieje wiele elementów, które warto podkreślić.

Świadectwa nie zawsze mierzą twoją postawę obronną

An attestation, by definition, jest wskazaniem, które sprawia, że coś jest oczywiste. W przypadku bezpieczeństwa, a dokładniej programów bezpieczeństwa, oznacza to certyfikowanie w oficjalnym charakterze.




Ludzie często pytają mnie, co czyni dobry program bezpieczeństwa. Choć chciałbym wskazać jeden aspekt mojej ochrony, którego można użyć jako przykładu, istnieje wiele elementów do podkreślenia. Przemysł polega na atestacjach i certyfikacjach, aby mierzyć twoje zabezpieczenia. Inżynierowie i operatorzy powiedzą ci, że to twój faktyczny obwód bezpieczeństwa i zdolności oceny zagrożeń definiują twój program bezpieczeństwa. Ja powiem ci, że to zarówno atestacje zgodności jako miara, jak i operacyjne zdolności twojego zespołu bezpieczeństwa definiują twój program. Chociaż same atestacje nie są dokładnym wskaźnikiem do oceny programu.




Atestacje są koniecznością w branży, aby zapewnić zgodność z federalnymi, lokalnymi i stanowymi przepisami oraz najlepszymi praktykami branży. Normy ISO, NIST lub DoD tworzą podstawę większości atestacji. NIST, na przykład, publikuje zestaw norm i przewodników technicznych, aby pomóc organizacjom budować zabezpieczenia obwodowe, które są „akceptowalne” dla rządu. Jak jednak będę wyjaśniać, samo ustanowienie standardów nie oznacza, że ich wdrożenie jest zawsze genialne.

Wdrożenie narzędzia nie oznacza, że ​​dostarcza wartość

Kontrole umożliwiają elastyczność w implementacji oraz operacyjny rozwój i innowacje z biegiem czasu. Niestety niektóre organizacje wykorzystują tę elastyczność, aby zaznaczyć pole wyboru, ale nie mają żadnych realnych zabezpieczeń.




Przykładem tego problemu są systemy wykrywania/ochrony przed włamaniami (IDS lub IPS). Podobnie jak skanery wirusów, większość organizacji inwestuje w IDS/IPS jako standardową praktykę bezpieczeństwa, aby chronić się przed złośliwym ruchem i wyciekiem danych. Branża jest pełna dostawców oferujących różne formy systemów IDS/IPS. Jednak niektóre organizacje budują systemy zamiast je kupować.




Ostatnio opuściłem jedną z takich organizacji, która „zbudowała” swój własny system wykrywania włamań z narzędzi open source. Audytorzy zostali poinformowani, że system jest „fantastycznym narzędziem” i nawet otrzymali przykłady ruchu. Kiedy zgłębiłem temat telemetrii, którą dostarczało to narzędzie, zdałem sobie sprawę, że ruch nie był w ogóle analizowany. Po prostu przechodził przez sensor, ponieważ nie był skonfigurowany do przechwytywania ani alarmowania o żadnym ruchu. Ponadto, dane logowania używane do zarządzania tym narzędziem zostały założone przez poprzedniego pracownika i nigdy nie zostały zaktualizowane po jego odejściu. W związku z tym, narzędzie pozostawało w bezczynności przez miesiące bez jakiejkolwiek interwencji człowieka. To nie tylko naraża firmę na ryzyko, ale także kompromituje obwód.




Przebiegły audytor nie wykryłby tego problemu, ponieważ zaświadczenia nie szukają „operacyjnych” informacji na wszystkich systemach – standard to dosłownie jedna warstwa pytań i odpowiedzi. W rzeczywistości, większość zaświadczeń ocenia jedynie, czy narzędzie istnieje, a nie jego operacyjną zdolność. Ponadto, większość audytorów nie jest wystarczająco techniczna, aby odróżnić funkcjonalne IDS/IPS od niefunkcjonalnego. Sedno audytu polega na tym, że firma ma się dobrze prezentować, zamiast odpowiadać na trudne pytania. Audytorzy muszą również pokrywać szeroki zakres kontroli podczas audytu, więc czas jest dużym czynnikiem wpływającym na jakość ich analizy.




Samo zaświadczenie powie Ci, że firma ma dojrzały program bezpieczeństwa z kontrolami. Wymóg ukończenia ankiety dla dostawcy przez potencjalnego partnera również nie zapewni Ci zaufania. Ankiety po prostu przedstawiają te same informacje w inny sposób. Jak więc ocenić dojrzały program bezpieczeństwa?

Kontrole umożliwiają elastyczność w implementacji oraz operacyjny rozwój i innowacje z biegiem czasu. Niestety niektóre organizacje wykorzystują tę elastyczność, aby zaznaczyć pole wyboru, ale nie mają żadnych realnych zabezpieczeń.




Przykładem tego problemu są systemy wykrywania/ochrony przed włamaniami (IDS lub IPS). Podobnie jak skanery wirusów, większość organizacji inwestuje w IDS/IPS jako standardową praktykę bezpieczeństwa, aby chronić się przed złośliwym ruchem i wyciekiem danych. Branża jest pełna dostawców oferujących różne formy systemów IDS/IPS. Jednak niektóre organizacje budują systemy zamiast je kupować.




Ostatnio opuściłem jedną z takich organizacji, która „zbudowała” swój własny system wykrywania włamań z narzędzi open source. Audytorzy zostali poinformowani, że system jest „fantastycznym narzędziem” i nawet otrzymali przykłady ruchu. Kiedy zgłębiłem temat telemetrii, którą dostarczało to narzędzie, zdałem sobie sprawę, że ruch nie był w ogóle analizowany. Po prostu przechodził przez sensor, ponieważ nie był skonfigurowany do przechwytywania ani alarmowania o żadnym ruchu. Ponadto, dane logowania używane do zarządzania tym narzędziem zostały założone przez poprzedniego pracownika i nigdy nie zostały zaktualizowane po jego odejściu. W związku z tym, narzędzie pozostawało w bezczynności przez miesiące bez jakiejkolwiek interwencji człowieka. To nie tylko naraża firmę na ryzyko, ale także kompromituje obwód.




Przebiegły audytor nie wykryłby tego problemu, ponieważ zaświadczenia nie szukają „operacyjnych” informacji na wszystkich systemach – standard to dosłownie jedna warstwa pytań i odpowiedzi. W rzeczywistości, większość zaświadczeń ocenia jedynie, czy narzędzie istnieje, a nie jego operacyjną zdolność. Ponadto, większość audytorów nie jest wystarczająco techniczna, aby odróżnić funkcjonalne IDS/IPS od niefunkcjonalnego. Sedno audytu polega na tym, że firma ma się dobrze prezentować, zamiast odpowiadać na trudne pytania. Audytorzy muszą również pokrywać szeroki zakres kontroli podczas audytu, więc czas jest dużym czynnikiem wpływającym na jakość ich analizy.




Samo zaświadczenie powie Ci, że firma ma dojrzały program bezpieczeństwa z kontrolami. Wymóg ukończenia ankiety dla dostawcy przez potencjalnego partnera również nie zapewni Ci zaufania. Ankiety po prostu przedstawiają te same informacje w inny sposób. Jak więc ocenić dojrzały program bezpieczeństwa?

Kontrole umożliwiają elastyczność w implementacji oraz operacyjny rozwój i innowacje z biegiem czasu. Niestety niektóre organizacje wykorzystują tę elastyczność, aby zaznaczyć pole wyboru, ale nie mają żadnych realnych zabezpieczeń.




Przykładem tego problemu są systemy wykrywania/ochrony przed włamaniami (IDS lub IPS). Podobnie jak skanery wirusów, większość organizacji inwestuje w IDS/IPS jako standardową praktykę bezpieczeństwa, aby chronić się przed złośliwym ruchem i wyciekiem danych. Branża jest pełna dostawców oferujących różne formy systemów IDS/IPS. Jednak niektóre organizacje budują systemy zamiast je kupować.




Ostatnio opuściłem jedną z takich organizacji, która „zbudowała” swój własny system wykrywania włamań z narzędzi open source. Audytorzy zostali poinformowani, że system jest „fantastycznym narzędziem” i nawet otrzymali przykłady ruchu. Kiedy zgłębiłem temat telemetrii, którą dostarczało to narzędzie, zdałem sobie sprawę, że ruch nie był w ogóle analizowany. Po prostu przechodził przez sensor, ponieważ nie był skonfigurowany do przechwytywania ani alarmowania o żadnym ruchu. Ponadto, dane logowania używane do zarządzania tym narzędziem zostały założone przez poprzedniego pracownika i nigdy nie zostały zaktualizowane po jego odejściu. W związku z tym, narzędzie pozostawało w bezczynności przez miesiące bez jakiejkolwiek interwencji człowieka. To nie tylko naraża firmę na ryzyko, ale także kompromituje obwód.




Przebiegły audytor nie wykryłby tego problemu, ponieważ zaświadczenia nie szukają „operacyjnych” informacji na wszystkich systemach – standard to dosłownie jedna warstwa pytań i odpowiedzi. W rzeczywistości, większość zaświadczeń ocenia jedynie, czy narzędzie istnieje, a nie jego operacyjną zdolność. Ponadto, większość audytorów nie jest wystarczająco techniczna, aby odróżnić funkcjonalne IDS/IPS od niefunkcjonalnego. Sedno audytu polega na tym, że firma ma się dobrze prezentować, zamiast odpowiadać na trudne pytania. Audytorzy muszą również pokrywać szeroki zakres kontroli podczas audytu, więc czas jest dużym czynnikiem wpływającym na jakość ich analizy.




Samo zaświadczenie powie Ci, że firma ma dojrzały program bezpieczeństwa z kontrolami. Wymóg ukończenia ankiety dla dostawcy przez potencjalnego partnera również nie zapewni Ci zaufania. Ankiety po prostu przedstawiają te same informacje w inny sposób. Jak więc ocenić dojrzały program bezpieczeństwa?

Oceń Entire Cloud Security Program

Po pierwsze, powinieneś co najmniej przejrzeć oświadczenia i raport z ustaleń, ale nie podsumowanie wykonawcze. To zapewni ci przegląd programu sprawdzonego przez stronę trzecią. Po drugie, powinieneś zdecydowanie sprawdzić, czy firma poddaje się testowi penetracyjnemu przez stronę trzecią lub programowi nagród za znalezienie błędów. Osobiście nie jestem fanem nagród za znalezienie błędów, ale jestem zwolennikiem corocznych testów penetracyjnych przez stronę trzecią. Testy penetracyjne zapewniają ci zorganizowany test twojej obrony i rzeczywiste informacje zwrotne na temat podatności. Na koniec, przejrzyj dokumenty dotyczące bezpieczeństwa (zwykle spis treści), które firma wykorzystuje jako podstawę wdrożenia. Obejmuje to (ale z pewnością nie jest ograniczone do) politykę bezpieczeństwa, reagowanie na incydenty i zarządzanie podatnościami. Doświadczony zespół ds. bezpieczeństwa zaproponuje udostępnienie tych dokumentów i artefaktów jako część normalnego prowadzenia Business.




Traktuję to jako rutynę, aby oceniać każdego dostawcę i partnera z perspektywy dostępu do danych firmy. Oznacza to, że jeśli partner lub dostawca zarządza danymi firmy, są poddawani większej kontroli niż dostawca, który tego nie robi. Pamiętaj o celu Business, oceniając program bezpieczeństwa. Przeglądam cel Business i rodzaj zaangażowanych informacji, a następnie oceniam z tej perspektywy, zamiast traktować wszystkich partnerów i dostawców tak samo. W razie wątpliwości zawsze proś o więcej informacji.

Połączmy Cię z ekspertem Bird.
Zobacz pełną moc Bird w 30 minut.

Przesyłając, zgadzasz się, że Bird może kontaktować się z Tobą w sprawie naszych produktów i usług.

Możesz zrezygnować z subskrypcji w dowolnym momencie. Zobacz Privacy Statement firmy Bird, aby uzyskać szczegóły dotyczące przetwarzania danych.

Company

Biuletyn

Bądź na bieżąco z Bird dzięki cotygodniowym aktualizacjom do Twojej skrzynki odbiorczej.

Przesyłając, zgadzasz się, że Bird może kontaktować się z Tobą w sprawie naszych produktów i usług.

Możesz zrezygnować z subskrypcji w dowolnym momencie. Zobacz Privacy Statement firmy Bird, aby uzyskać szczegóły dotyczące przetwarzania danych.

Połączmy Cię z ekspertem Bird.
Zobacz pełną moc Bird w 30 minut.

Przesyłając, zgadzasz się, że Bird może kontaktować się z Tobą w sprawie naszych produktów i usług.

Możesz zrezygnować z subskrypcji w dowolnym momencie. Zobacz Privacy Statement firmy Bird, aby uzyskać szczegóły dotyczące przetwarzania danych.

Company

Biuletyn

Bądź na bieżąco z Bird dzięki cotygodniowym aktualizacjom do Twojej skrzynki odbiorczej.

Przesyłając, zgadzasz się, że Bird może kontaktować się z Tobą w sprawie naszych produktów i usług.

Możesz zrezygnować z subskrypcji w dowolnym momencie. Zobacz Privacy Statement firmy Bird, aby uzyskać szczegóły dotyczące przetwarzania danych.

Połączmy Cię z ekspertem Bird.
Zobacz pełną moc Bird w 30 minut.

Przesyłając, zgadzasz się, że Bird może kontaktować się z Tobą w sprawie naszych produktów i usług.

Możesz zrezygnować z subskrypcji w dowolnym momencie. Zobacz Privacy Statement firmy Bird, aby uzyskać szczegóły dotyczące przetwarzania danych.

R

Reach

G

Grow

M

Manage

A

Automate

Company

Biuletyn

Bądź na bieżąco z Bird dzięki cotygodniowym aktualizacjom do Twojej skrzynki odbiorczej.

Przesyłając, zgadzasz się, że Bird może kontaktować się z Tobą w sprawie naszych produktów i usług.

Możesz zrezygnować z subskrypcji w dowolnym momencie. Zobacz Privacy Statement firmy Bird, aby uzyskać szczegóły dotyczące przetwarzania danych.