Schwachstelle Wochenende

Der Wechsel vom reaktiven zum proaktiven Sicherheitsbetrieb

Der Wechsel vom reaktiven zum proaktiven Sicherheitsbetrieb

Wochenend-War-Rooms vermeiden

Cyber Security-Notfälle scheinen immer dann aufzutreten, wenn sich ein Unternehmen am wenigsten vorbereitet fühlt. Dieser Ruf nach dem Wochenend-War-Room ist eine Erfahrung, die sich kein CISO und sein Team wünscht. Während es wie ein Blitz aus heiterem Himmel erscheinen mag, ist es eher wie ein langsam rollender Donner, der sich zu einem lauten Knall aufbaut, den man nie richtig vorhersehen kann. Wie können Führungskräfte im Bereich der Cybersicherheit also besser vorbereitet sein und vermeiden, überrascht zu werden?

MK Palmore, Vice President und Field CSO Americas bei Palo Alto Networks , nimmt das Thema unter die Lupe:

„Meine Sichtweise zu diesem Thema ist geprägt von dem, was ich als leitender Angestellter eines großen FBI-Cybercrime- und Forensik-Teams erlebt habe. Allzu oft wurden wir Wochen oder länger nach dem Vorfall hinzugezogen. Zu diesem Zeitpunkt versuchte das betroffene Unternehmen gerade, den Angriff zu stoppen und herauszufinden, wie sie sich wieder erholen kann. Von einem Sicherheitsvorfall so schwer erschüttert zu werden, ist keine Position, in der sich eine IT-Führungskraft oder ein Unternehmensleiter befinden möchte, vor allem nicht am Wochenende.

Der erste Weg, die Kontrolle zu übernehmen, besteht darin, sicherzustellen, dass das Unternehmen Einblick hat. Es steht außer Frage, dass es nicht einfach ist, einen Überblick über Bedrohungen und Schwachstellen zu erhalten, aber es ist von grundlegender Bedeutung. Ist alles in der Umgebung sichtbar? Wenn nicht alles sichtbar ist, kann man nicht darauf reagieren, es nicht entschärfen und auch nicht dafür planen. Wenn Unternehmen das richtige Maß an Transparenz erreichen, erfolgt der Übergang von einer reaktiven zu einer proaktiven Präventionshaltung.

Bei der Sichtbarkeit geht es nur um die Protokollierung. Alle Unternehmen sammeln die eine oder andere Art von Protokollen von einer beliebigen Anzahl verschiedener Systeme. Das kann nützlich sein, aber das Wichtigste ist, dass man einen Kontext hat. Dies gibt Benutzern die Möglichkeit, Log-Aktivitäten aus den verschiedenen Domains und Enklaven innerhalb einer Umgebung zu korrelieren. Die Herausforderung besteht nun darin, dass ein Mensch in der Mitte sitzt, die Informationen korreliert, sie in einen Kontext setzt und dann in der Lage ist, zu reagieren.

Die Integration verschiedener Logs und Visibility-Tools bringt Unternehmen so weit, einen proaktiveren Ansatz wählen zu können. Der nächste Schritt ist, dass die besten Security Operations Center, die sich mit Sicherheitsvorfällen auseinandersetzen, oft ein standardisiertes Framework verwenden, das dabei hilft, zu definieren, welche Sicherheitsreaktionen erforderlich sind.

Eines der zu berücksichtigenden Frameworks ist das Center for Internet Security (CIS) Critical Security Controls. Diese 20 Kontrollmaßnahmen werden InfoSec-Fachleuten nicht nur in einer leicht verständlichen Sprache präsentiert. Sie sind auch nach Prioritäten geordnet, um einen Fahrplan zu erstellen, wo ein Unternehmen in Bezug auf sein Cybersicherheitsengagement beginnen und wo es sich befinden muss. Diese Kontrollen haben sich für Unternehmen aller Größen wiederholt als hilfreich erwiesen. In der Tat zeigt fast jeder bedeutende Cybersicherheitsvorfall, der von einer Organisation wie dem FBI untersucht wird, eine Verletzung dieser kritischen Kontrollen.

Der Wochenend-War-Room ist ein Produkt des reaktiven Managements. Das bedeutet jedoch nicht, dass es keinen War-Room für die Woche geben sollte. Proaktive Unternehmen sollten regelmäßige Bewertungen mit IT-Sicherheitsmitarbeitern und dem Management durchführen. Eine einfache und regelmäßige Einbindung der wichtigsten Stakeholder kann den Unterschied ausmachen.

Unternehmen, die einen War Room betreiben, brauchen einige spezielle Tools. Eines der Probleme, die ich beim FBI hatte, als ich das Enterprise Security Operations Center leitete, war, dass ich kein effektives Dashboard hatte, das ich mit Führungskräften teilen konnte, um ihnen zu zeigen, wo wir bei der Verbesserung und Stärkung unserer Sicherheitslage stehen. Aus diesem Grund empfehle ich Sicherheitsverantwortlichen heute ein Dashboard, das die Sicherheitslage klar visualisiert und es auch Nicht-Cybertechnikern leichtmacht, zu verstehen, was passiert und was sie tun müssen. Für einen erfolgreichen War Room sollten das Dashboard und alle zugehörigen Berichte den relativen Risikograd der Schwachstellen im Unternehmen sowie einen Zeitplan für deren Behebung anzeigen.

Einige andere Facetten des Dashboards tragen dazu bei, die Probleme bei der Bewältigung eines Sicherheitsvorfalls zu reduzieren. Es ist wichtig für das Unternehmen zu wissen und zu zeigen, was mit einem Netzwerk verbunden ist. Der Versuch, das herauszufinden, nachdem ein Vorfall aufgetreten ist, ist nie eine angenehme Aufgabe. Das Dashboard und die zugehörigen Berichte sollten auch den Kontext von Sicherheitswarnungen auf eine leicht verständliche Art und Weise darstellen, um die Auswirkungen zu bestimmen.

Unternehmen sollten Vorfälle aktiv nachverfolgen, damit Führungskräfte leicht erkennen können, ob es Versuche gab, bösartige Software im Unternehmen zu zünden – und ob diese Versuche blockiert wurden oder nicht.

Sichtbarkeit und ein klares Bild über den Zustand und die Reife der Sicherheitsabläufe zu haben, untermauert eine proaktive Sicherheitsorganisation. Ein proaktiver Sicherheitsansatz hilft nicht nur dabei, das Wochenende zu retten, er kann auch dabei helfen, die Schwierigkeiten bei der Besetzung von IT-Sicherheitsstellen zu lösen. Durch die Integration von Sichtbarkeit und Automatisierung, die einen proaktiven Ansatz ermöglichen, kann ein Unternehmen Routineaufgaben beschleunigen. So lassen sich die manchmal knappen Ressourcen von Sicherheitsanalysten freisetzen, damit diese sich um anspruchsvollere, personalintensivere Aufgaben kümmern können.“

Niemand möchte den Anruf erhalten, dass er am Wochenende an einem „War Room“ teilnehmen muss, wodurch wertvolle Zeit mit Familie und Freunden verloren geht. Der Schlüssel zur Vermeidung liegt in einer proaktiven Strategie, die Sichtbarkeit und Kontext bietet, um Risiken zu identifizieren, bevor sie zu einem War-Room-Zwischenfall am Wochenende werden.