Cybersecurity
Wie die IT-Sicherheit grundlegend verbessert werden kann
Von Paul Baird, UK Chief Technical Security Officer bei Qualys
Nach der nun über zwei Jahre andauernden COVID-19-Pandemie sollte man meinen, dass wir uns an hybrides Arbeiten gewöhnt haben. Die Welt der IT Security wird jedoch immer noch schnell durch Bedrohungen wie etwa Log4J erschüttert. Dabei können Sicherheitsteams ein paar grundlegende Punkte abarbeiten, um ihre aktuelle Situation einzuschätzen, zu verbessern und ihre zukünftige Entwicklung zu verbessern.
Asset-Inventar vervollständigen und auf dem neuesten Stand halten
Die Verwaltung von Assets ist eine der wichtigsten Aufgaben der IT-Abteilung, die jedoch häufig übersehen wird. In der Eile, neue Dienste zu implementieren oder vom Unternehmen geforderte Anwendungen zu unterstützen, kann die Aufrechterhaltung des Betriebs leicht in den Hintergrund geraten. Die hier anfallenden Aufgaben sind für die Sicherheit unerlässlich. Nach wie vor gilt: Was man nicht kennt, kann man nicht sichern.
Das gilt insbesondere, nachdem COVID-19 dazu geführt hat, dass Remote Work im großen Stil praktisch über Nacht grünes Licht bekam. Einige Mitarbeiter nahmen ihre Firmengeräte einfach mit nach Hause, andere kauften neue Geräte hinzu. Einige IT-Teams mussten Geräte auf die Ferne spezifizieren und bereitstellen.
All diese Einzelentscheidungen summieren sich, und Asset-Inventare sind heute größer und vielfältiger, als es der offizielle Bestand vermuten lässt. Für IT-Sicherheitsteams sollte die Bewältigung dieses Problems Priorität haben. Remote- und Hybridarbeit sind bereits keine Neuerung mehr und werden in Zukunft der Standard sein. Eine genaue Bestandsaufnahme der Assets hilft Unternehmen, Prioritäten richtig zu setzen und zu verhindern, dass ihr Team plötzlich von kritischen Schwachstellen überrollt wird. Jede neue Bedrohung kann dazu führen, dass IT-Teams vollkommen damit ausgelastet sind, die Sicherheit zu gewährleisten. Wichtig ist in diesen Fällen, dass eine genaue Übersicht über das Inventar das Gesamtrisiko niedrig hält.
Erstellen einer Software-Bestandsliste
Im Jahr 2021 gewannen Projekte zur Erstellung von Software-Bestandslisten mehr an Bedeutung. In den USA ordnete die Biden-Regierung gar an, dass alle Lieferanten Software-Bestandslisten (Software Bill of Materials – SBOMs) als Teil ihrer Lieferungen pflegen müssen. Diese Listen verhelfen öffentlichen Einrichtungen dazu, genau zu wissen, was sich in ihrer Software-Lieferkette befindet, um sich so vor Problemen schützen zu können. Dieser Ansatz wird sich mit der Zeit zu einer Best Practice für alle DevOps- und IT-Sicherheitsteams entwickeln.
Was bedeutet das für IT-Sicherheits- und Softwareentwicklungsteams? Es bietet die Chance zur Zusammenarbeit, um eine genaue Bestandsaufnahme dessen zu erhalten, was in die Softwareprojekte, die sie für ihre Kunden erstellen, einfließt, und um den richtigen Ansatz für die Verwaltung von SBOMs von Lieferanten zu finden. Das kann dann dazu führen, dass bei der Softwareentwicklung mehr an den Grundsätzen des „Security by Design“ gearbeitet wird. Wie die Log4J-Sicherheitsprobleme im Dezember 2021 gezeigt haben, ist es möglich, dass Unternehmen mit ihren Produkten und Lösungen schnell vor Problemen stehen. Eine genaue SBOM kann die Verwaltung von Aktualisierungen erleichtern, wenn diese erforderlich sind. Sie stellt zudem sicher, dass ein tiefgreifender Verteidigungsprozess funktioniert.
Ausweitung der IT-Sicherheit auch auf die Betriebstechnologie
Im Dezember 2021 veröffentlichte die britische Regierung ihr Cybersicherheitskonzept, das auch neue Maßnahmen zur Sicherung von Assets in der Betriebstechnologie vorsieht. Betriebstechnologie (OT) bezeichnet alle Assets, die für die Durchführung von Prozessen in Branchen wie Fertigung, Versorgung und Energie verwendet werden. In der Praxis liegt die OT-Sicherheit etwa zehn Jahre hinter dem Stand der IT-Sicherheitsbranche zurück. Es ist jedoch wichtig, diese bewährten Verfahren auf den neuesten Stand zu bringen, da die OT-Assets mit den Unternehmensnetzen verbunden werden. So können Unternehmen auf die Daten dieser Assets zugreifen und sie zur Leistungsverbesserung nutzen. Dieser Prozess ist für das Geschäft unerlässlich, birgt aber auch neue Risiken. OT-Assets sind in der Regel große, teure Anschaffungen, die über Jahre oder sogar Jahrzehnte hinweg ununterbrochen funktionieren müssen. Sie auf dem neuesten Stand zu halten, ist aufgrund der Kosten für Ausfallzeiten schwierig. Viele dieser Assets sind seit Jahren nicht mehr gepatcht worden.
IT-Sicherheitsteams stehen heute mehr denn je vor der Aufgabe, für die Sicherheit aller Assets zu sorgen. Um das zu erreichen, sollten sie die Assets prüfen und im Rahmen jedes Projekts auf bekannte Probleme untersuchen. Dies ist eine Gelegenheit, sich für die Einführung besserer Kontrollen einzusetzen und Leitlinien zur Risikominderung im Laufe der Zeit bereitzustellen. Schließlich sollten Unternehmen einen umfassenden Verteidigungsansatz implementieren, der auf der Grundlage der Zero-Trust-Prinzipien jeglichen unbefugten Zugriff aus internen Netzen verhindert.
Blick auf die Zukunft des Teams
Es wird sich meist vollends auf Technologie verlassen, damit Abläufe reibungslos und sicher funktionieren. Aber diese Tools sind nur so gut wie die Menschen, die sie nutzen. Selbst mit Automatisierung und KI ist das Sicherheitsteam die effektivste Ressource, die Unternehmen zur Verfügung steht.
Daher sollten Unternehmen potenzielle IT-Talente ihrer Mitarbeiterschaft fördern. Zeit in die Ausbildung und Entwicklung von Mitarbeitern mit der richtigen Eignung zu investieren, kann effektiver und kostengünstiger sein als die Einstellung neuer Mitarbeiter. Das ganze Spektrum der Sichtweisen und Hintergründe im Team kann erweitert werden, was zur Verbesserung des Security Operations Centre beiträgt. Zudem kann die gesamte Arbeitsweise an Prozessen im Teams um zusätzliche Möglichkeiten erweitert werden.
Es sollte jedoch nicht nur in die Entwicklung des Teams investiert, sondern auch der eigene Ansatz grundlegend überdacht werden. Menschen zu verstehen und zu wissen, was sie antreibt, ist entscheidend für den Gesamterfolg des Teams. Entscheider sollten an ihrer emotionalen Intelligenz arbeiten, damit sie ihre Teammitglieder besser unterstützen, potenzielle Probleme erkennen und dafür sorgen können, dass diese in ihren Positionen zufriedener sind.
Automatisieren und konsolidieren wo möglich
Unternehmen sollten mehr nach Möglichkeiten zur Verbesserung der Effizienz im gesamten Team suchen. Dabei sollte die Automatisierung auf dieser Liste stehen. In der Praxis bedeutet das, einen Blick auf bestehende Tools zu werfen, um zu überprüfen, wie Prozesse mit besserer Transparenz unterstützt werden können. Das geht über SIEM hinaus und bezieht sich auf die gesamte Palette der Sicherheitswerkzeuge. Anstatt spezifische Aufgaben zu automatisieren, müssen Prozesse und Tools im Kontext betrachtet werden. Dieser Ansatz wird unter dem Begriff „Extended Detection and Response“ (XDR) zusammengefasst. Dabei wird das gesamte Unternehmen betrachtet, um Sicherheitstelemetrie über den gesamten Security Stack hinweg zu integrieren und zu korrelieren, um Bedrohungen zu erkennen und automatisierte Reaktionsmöglichkeiten zu finden, anstatt jede Gruppe von Assets in ihrem eigenen Silo zu betrachten.
Neben der Automatisierung von Arbeitsschritten, wo immer dies möglich ist, sollte auch überlegt werden, wie Sicherheitstools konsolidiert werden können. Diese Arbeit sollte nicht aus finanziellen Gründen erfolgen. Auch wenn durch den Wegfall zusätzlicher Lizenzkosten einige Einsparungen erzielt werden können, sollte dies nicht das vorrangige Ziel sein. Es sollte stattdessen versucht werden, Prozesse zu verbessern und die Anzahl der Schritte zu verringern, die das Team durchlaufen muss, um Ergebnisse zu erzielen.
Die Zeit der Mitarbeiter ist die wertvollste Ressource, die zur Verfügung steht. Alles, was dazu beitragen kann, diese zu maximieren, sollte auf der Agenda stehen. Wenn Unternehmen das Potenzial ihrer Werkzeuge, Prozesse und des Teams voll ausschöpfen und auf Verbesserungsmöglichkeiten überprüfen, dann können sie ihre IT-Sicherheit nachhaltig steigern.
