Kostenfallen Security

Versteckte Sicherheitskosten die ein Projekt scheitern lassen können

, Stuttgart, Orca Security | Autor: Herbert Wieler

Versteckte Sicherheitskosten die ein Projekt scheitern lassen können

Orca Security deckt Kostenfallen der IT-Security auf

In viele Unternehmen stellen sich Entscheider die Frage, wie wahrscheinlich es ist, dass ein bestimmter Anbieter ihre digitale Sicherheit verbessern wird. Fast jede Lösung eines Anbieters wird ein Unternehmen sicherer machen, manche vielleicht nur geringfügig, manche wird vielleicht die Sicherheit mit riesigen Sprüngen nach vorne bringen.

Die größte Herausforderung für einen CISO besteht nicht darin, die wenigen Anbieter, die „Wundermitteln“ präsentieren, auszusortieren. Es geht darum, jene Lösungen zu erkennen, die das Unternehmen vielleicht etwas sicherer machen, deren versteckte Kosten aber zu hoch sind. Diese versteckten Kosten können nach Erfahrung von Orca Security nicht nur die Implementierung zum Scheitern bringen, sondern wahrscheinlich sogar das gesamte Sicherheitsprogramm aus der Bahn werfen.

Agents

Eine große Anzahl von Sicherheitsprodukten beruht auf der Installation eines Agents: ein kleines Stück Software, das auf jedem System installiert werden muss, um den Schutz dieses Systems zu gewährleisten. Das klingt unbedeutend, ja sogar trivial, aber es kann alles andere als das sein. Wenn eine völlig homogene Umgebung vorliegt, also jedes System mit jedem anderen System identisch ist, dann ist die Integration von Agents wahrscheinlich kein großes Problem. Die meisten Umgebungen sind jedoch heterogener. Windows-Server stehen Seite an Seite mit Linux-Servern und die Linux-Server gibt es in einer ganzen Reihe verschiedener Distributionen, während Anwendungen verschiedensten Umgebungen erstellt werden.

Ein Agent muss in der Lage sein, in jeder einzelnen dieser Umgebungen sicher zu arbeiten, um eine vollständige Abdeckung zu gewährleisten. Wenn während der Bereitstellungsphase etwas schiefgeht, wird der Agent dafür verantwortlich gemacht, ob zu Recht oder nicht. Dann wird er als Teil der Reaktion auf den Vorfall deaktiviert, und Unternehmen müssen sich nach dem Vorfall darum streiten, dass er wieder aktiviert wird.

Agents verbrauchen auch Ressourcen auf dem Rechner. Auf die Frage nach dem Performance-Overhead geben Sicherheitsanbieter wahrscheinlich eine vage Antwort wie „Oh, nicht sehr viel, nur ein paar Prozent“. „Ein paar Prozent wovon?“, stellt sich jedoch die Frage. Ebenso werden Agents auf Systemen im Leerlauf getestet, und die CPU-Auslastung wird gemessen. Entscheidend ist jedoch oft, wie der Agent bei Spitzenlast mit dem System interagiert. Die meisten Unternehmensanwender kennen wahrscheinlich eine Horrorgeschichte über einen Laptop, der sie wegen eines Antiviren-Scans aufhielt, als sie gerade eine wichtige Präsentation vorbereiten wollten. Man stelle sich vor, dasselbe wäre mit dem Web-Server während eines Ausverkaufs am Black Friday passiert.

Weitverbreitete Agents sind auch ein Vektor für Angriffe auf die Lieferkette. Ein Beispiel dafür ist der Vorfall bei Solarwinds, wo ein überall installierter IT-Management-Agent einen Weg zur Kompromittierung eröffnete. Die Sicherheitsrisiken der eigenen Tools sind ein Kostenfaktor, den die meisten Sicherheitsteams nicht berücksichtigen, der aber in jede Bewertung einbezogen werden sollte.

Unverständliche Warnungen

Jeder, der schon einmal naiv ein neues Sicherheitsprodukt verwendet hat, das Probleme in seiner Umgebung finden soll, ist mit einer Flut von undurchschaubaren Warnmeldungen konfrontiert worden. Warum ist es wichtig, dass ein Rechner auf ICMP-Zeitstempel-Anfragen antwortet? Tatsächlich spielt dies keine Rolle.

Die Herausforderung bei der Definition von Warnmeldungen in Sicherheitsprodukten besteht darin, dass die Anreize zwischen dem Anbieter und dem Käufer völlig unausgewogen sind. Der Anbieter möchte die gefürchteten falsch-negativen Warnmeldungen vermeiden, die eigentlich wichtig sind, während der Käufer sich auf das gegenteilige Problem konzentriert und versucht, bedeutungslose Warnmeldungen zu vermeiden, die keinen verwertbaren Nutzen bringen.

Es ist sehr schwierig, den Wert einer Warnung im Voraus zu definieren. Manchmal ist er kontextabhängig. Vielleicht kann ein Angreifer alle Dateien auf einem Webserver lesen. Ist das ein Problem? Möglicherweise schon, denn dieser Server könnte Zugangsdaten zur Produktionsdatenbank haben. Es könnte aber auch weniger interessant sein, wenn der Server nur eine Website mit Broschüren verwaltet.

Viele Sicherheitsteams sind nicht einmal die eigentlichen Nutzer der Warnmeldungen. Die Warnungen werden an die Geschäftsabteilung weitergeleitet, und das Sicherheitsteam wird oft ignoriert. Viele Unternehmen geraten in eine unangenehme Situation, in der das Devops-Team eine Priorisierung fordert, während das Sicherheitsteam Maßnahmen verlangt. Beide Teams haben zwar Recht, aber die wertvolle Sicherheitsarbeit wird nicht erledigt.

Der Kern des Problems liegt in der Diskrepanz zwischen der Zielgruppe, für die das Produkt implizit entwickelt wurde und der Zielgruppe, die das Produkt tatsächlich nutzt. Zur einen Zielgruppe gehört ein technisch versierter Sicherheitsarchitekt oder Security Operator und mit ausgezeichneten Projektmanagementfähigkeiten und zur anderen ein junger Sicherheitsanalytiker oder Projektmanager, dessen Fähigkeiten jeden Tag sprunghaft zunehmen. Die Fähigkeit eines profunden Sicherheitsexperten, relativ schnell Prioritäten bei Warnmeldungen zu setzen, wäre praktisch, aber das ist eine teure Fähigkeit, die man für Tausende von Warnmeldungen braucht.

Leider verfügen die meisten Tools nicht über den architektonischen oder organisatorischen Kontext, um eine erste Priorisierung vorzunehmen und den Analysten dabei zu helfen, schnell positive Sicherheitsänderungen vorzunehmen.

Komplexe Implementierungen und organisatorische Reibungsverluste

Wann immer ein komplexes Projekt in mehreren Unternehmen eingeführt werden muss, möchte kein Unternehmen wirklich das erste sein, denn es trägt die Last der Probleme bei der Integration. Wahrscheinlich muss die Einführung auch wiederholt werden, weil das Unternehmen im Laufe der Zeit Lektionen über eine bessere Implementierung als die zuerst vorgeschlagene gelernt hat. Die meisten Projektleiter haben diese Erfahrung schon gemacht: Kollegen, die den Erfolg eines anderen sehen wollen, bevor sie selbst das Nötigste tun, überraschende Hindernisse, die ein Projekt zum Entgleisen bringen, das ohnehin schon sehr langsam vorankam. Wenn ein Projekt zu lange zu langsam vorankommt, wird es implizit „entpriorisiert“. Wenn es in den letzten drei Jahren nicht vollendet wurde, warum ist es jetzt wichtig genug, um es dieses Jahr durchzudrücken?

Die Kosten für die organisatorische Koordination steigen supralinear mit den technischen Kosten: Je mehr Arbeit ein Team tatsächlich zu erledigen hat, desto größer ist der Aufwand für die Koordination dieser Arbeit. Wenn ein Unternehmen zu viel Arbeit hat, muss es große oder nebulös definierte Arbeitslasten zurückdrängen.

Sicherheitsprodukte als Ladenhüter

Viele Sicherheitsprodukte enden nach Erfahrung von Orca Security als Ladenhüter oder Teilimplementierungen, weil bei ihrer Einführung eine oder mehrere dieser Fallstricke auftraten. Die Führungskräfte merken vielleicht nicht einmal, dass die Projekte nur begrenzt oder gar nicht erfolgreich waren, weil sie den Anbieter immer noch für eine Lösung bezahlen, die nicht eingeführt oder ignoriert wird. Daher gilt es in jedem Fall rechtzeitig auf versteckte Kosten zu achten.