Ist Ihr Sicherheitsprogramm auf die Reaktion auf Zwischenfälle ausgerichtet? Sie machen es falsch.
Ist Ihr Sicherheitsprogramm auf die Reaktion auf Zwischenfälle ausgerichtet? Sie machen es falsch.
Eine Version dieses Artikels erschien als Beitrag für den Forbes Technologie-Rat. Er wurde aktualisiert und hier syndiziert.
Es gibt nichts Schöneres, als auf der falschen Seite einer Datenschutzverletzung zu stehen. Zuerst gibt es vielleicht Leugnung, dann Panik. Nachdem alle Schimpfwörter ausgesprochen wurden und der CISO um 2 Uhr morgens eine Telefonkonferenz mit der Öffentlichkeitsarbeit abhalten musste, ist es an der Zeit, die Ärmel hochzukrempeln und sich an die Arbeit zu machen, um Endpunkte und Systeme zu sichern und potenzielle Angriffsvektoren schnell zu eliminieren. Das ist, gelinde gesagt, kein Zuckerschlecken.
Und doch ist dies eine Realität, mit der viele Unternehmen in Zukunft konfrontiert werden und auf die sie sich unbedingt mit einem umfassenden Plan zur Reaktion auf Cyberangriffe vorbereiten müssen. Das Problem ist jedoch, dass ein Großteil der Zeit, der Ressourcen und des Aufwands in diese reaktive Strategie gesteckt wird, anstatt daran zu arbeiten, den potenziellen Schweregrad von Cyberangriffen im Vorfeld zu verhindern oder zu verringern. Es ist ein bisschen so, als würde man bei einem vermuteten Herzinfarkt einen Krankenwagen rufen; die Ergebnisse sind oft weit weniger positiv - ganz zu schweigen von mehr Schaden - als wenn man präventive Gesundheitsmaßnahmen ergriffen hätte, bevor es zu spät war.
Wie sieht also ein Präventionsplan aus? Lassen Sie uns herausfinden, wie Sicherheitsexperten alle ihnen zur Verfügung stehenden Werkzeuge einsetzen können, um die ständig steigenden Cyberrisiken zu minimieren - jeden Tag:
Verstehen des Umfangs der anfallenden Arbeiten
Es scheint offensichtlich zu sein, aber der "richtige" Plan zur Minderung von Cyber-Risiken ist von Branche zu Branche unterschiedlich, und es ist wichtig zu verstehen, was im Vorfeld erforderlich ist, um das gewünschte Ergebnis zu erreichen.
Welche Sicherheitsprobleme gibt es derzeit? Wie viel Zeit und Ressourcen nehmen sie in Anspruch? Wie viele davon sind wiederkehrende Probleme? Dies sind wichtige Faktoren, die Ihnen eine gute Ausgangsbasis bieten. Überlegen Sie, welche Rollen neu besetzt werden müssen, welche Lücken in den Werkzeugen bestehen und was aus der Sicht des Fachwissens und der Werkzeuge erforderlich ist, um die Endpunkte zu sichern und die Angriffsfläche zu verringern und gleichzeitig anderen Bereichen mit potenziellen Risiken vorzubeugen.
Ein kürzlich veröffentlichter Bericht zeigt, dass in elf Branchen im vergangenen Jahr jeden Tag eine schwerwiegende Sicherheitslücke in mindestens der Hälfte der Anwendungen auftrat. Insbesondere die Versorgungsunternehmen, die öffentliche Verwaltung und die freien Berufe benötigten im Durchschnitt 288 Tage, um bekannte Schwachstellen zu beheben. Das ist unglaublich langsam und gibt einem Angreifer mehr als genug Zeit, ernsthaften Schaden anzurichten, wenn diese Schwachstellen entdeckt werden, bevor ein Patch eingespielt werden kann. Dies und die Tatsache, dass die Wahrscheinlichkeit, dass ein Unternehmen von einer Datenpanne betroffen ist, bei fast 30 % liegt, ist eine ernüchternde Mahnung, dass es nicht ausreicht, auf einen Vorfall zu reagieren, und dass zu viel auf dem Spiel steht, um sich auf die Auswirkungen eines groß angelegten Cyberangriffs einzustellen und auf das Beste zu hoffen.
Vorbereitung auf die Akzeptanz des kulturellen Wandels
Das Aufrütteln des Status quo sorgt zwar für Kopfschütteln, aber die Wahrheit ist, dass Sicherheitsprogramme ständig verbessert werden sollten. Jede Komponente sollte relevant bleiben, und neue Entwicklungen sollten bewertet und berücksichtigt werden.
Die Betonung eines präventiven - im Gegensatz zu einem reaktiven - Ansatz wird außerhalb des Sicherheitsteams möglicherweise nicht allgemein verstanden, vor allem, wenn noch kein großer, schlimmer Sicherheitsvorfall stattgefunden hat. Es könnte als etwas angesehen werden, das nicht kaputt ist und nicht repariert werden muss. In diesem Fall ist es von entscheidender Bedeutung, die Zustimmung der Führungskräfte zu erhalten. Einige der wichtigsten Punkte, die sie berücksichtigen sollten, sind:
- Zeit- und Kostenersparnis durch Präventivmaßnahmen, wie z. B. rollenbasierte Schulungen und entsprechende Tools, im Vergleich zu den potenziellen Kosten eines kritischen Zwischenfalls
- Wie das Auffinden und Beheben von Schwachstellen jetzt dafür sorgt, dass die Veröffentlichungen pünktlich erfolgen und das Sicherheitsteam nicht mehr so viele Hindernisse in den Weg legt
- Warum die Vorbereitung auf und die Vorbeugung von potenziellen Sicherheitsrisiken, vom Entwicklungsteam bis hin zur Veröffentlichung, insgesamt mehr Zeit (ganz zu schweigen von erheblichem Geld) spart. Um es in die richtige Perspektive zu rücken: Späte Schwachstellen, die in der Testphase - oder schlimmer noch, nach der Produktion - aufgedeckt werden, können die Kosten im Durchschnitt um bis zu 3000 % erhöhen.
Es ist von entscheidender Bedeutung, dass die vorgeschlagenen kulturellen Veränderungen mit den Unternehmenszielen in Einklang gebracht werden, auch wenn sie zunächst unbequem erscheinen.
Sicherheitsbewusstsein ist etwas, Sicherheitskompetenz ist alles
In der Branche wird häufig über die Bedeutung des Sicherheitsbewusstseins gesprochen, das für jeden Mitarbeiter in einem Unternehmen eine immer wichtigere Rolle spielt. Es reicht jedoch nicht aus, sich mit Lippenbekenntnissen und passiven Schulungen zu begnügen, vor allem nicht für Mitarbeiter in technischen Positionen.
Einfach ausgedrückt: Jeder, der mit Code in Berührung kommt, stellt ein potenzielles Sicherheitsrisiko dar, wenn er nicht über die nötigen Fähigkeiten für eine sichere Programmierung verfügt. Ein allgemeines Bewusstsein für grundlegende Sicherheitsparameter ist ein guter Anfang, aber ohne kontextbezogenes Wissen über gute, sichere Codierungsmuster herrschen schlechte Gewohnheiten vor, und es ist dieser Mangel an qualitativ hochwertigen Entwicklungsfähigkeiten, auf den sich Angreifer verlassen, um ihre schmutzige Arbeit zu erledigen.
Schreiben Sie Ihre Entwickler nicht ab.
Obwohl sich die Einstellung ändert, sind viele Unternehmen so strukturiert, dass Entwickler in den Plänen zur Eindämmung der Sicherheitsrisiken kaum eine Rolle spielen. Einige Branchen - wie das Bank- und Finanzwesen - haben strenge Compliance- und Regulierungsanforderungen, die zu verstärkten Sicherheitspraktiken und Schulungen für alle Mitarbeiter führen. Und obwohl sie anderen Branchen sicherlich voraus sind, könnte fast jedes Unternehmen auf der Welt von einem internen Heer sicherheitsbewusster Entwickler profitieren, die in der Lage sind, gängige Sicherheitslücken zu erkennen, bevor sie begangen werden. Die meisten sind noch weit davon entfernt, dieses wichtige Teil des Sicherheitsprogramms zu erreichen - und es ist notwendig, wenn wir jemals die Hoffnung haben wollen, die Flut von Code zu sichern, die von Jahr zu Jahr ansteigt.
Vorbeugende Sicherheit sollte in dem Moment beginnen, in dem die Finger die Tastatur berühren, um Software zu erstellen. Sie brauchen die richtigen Werkzeuge und kontextbezogene Anleitungen, um einen höheren Standard der Codequalität zu erreichen. Die besten Ergebnisse werden immer dann erzielt, wenn dies Teil ihrer täglichen Arbeit ist und nicht ein nachträglicher Gedanke, der sporadisch eingeführt wird, wenn die jährlichen Compliance-Anforderungen kommen.
Pieter Danhieux
Pieter Danhieux ist ein weltweit anerkannter Sicherheitsexperte mit mehr als 12 Jahren Erfahrung als Sicherheitsberater und 8 Jahren als Principal Instructor für SANS, wo er offensive Techniken lehrt, wie man Organisationen, Systeme und Einzelpersonen auf Sicherheitsschwächen hin untersucht und bewertet. Im Jahr 2016 wurde er als einer der "Coolest Tech People in Australia" (Business Insider) ausgezeichnet, erhielt die Auszeichnung "Cyber Security Professional of the Year" (AISA - Australian Information Security Association) und besitzt die Zertifizierungen GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
Verwandte Artikel, die wir empfehlen
Verwandte Artikel, die wir empfehlen
Tauchen Sie ein in unsere neuesten Erkenntnisse über sichere Kodierung im Blog.
Unsere umfangreiche Ressourcenbibliothek zielt darauf ab, die menschliche Herangehensweise an eine sichere Weiterbildung im Bereich der Programmierung zu stärken.
Holen Sie sich die neuesten Forschungsergebnisse zur entwicklergesteuerten Sicherheit
Unsere umfangreiche Ressourcenbibliothek ist voll von hilfreichen Ressourcen, von Whitepapers bis hin zu Webinaren, die Ihnen den Einstieg in die entwicklungsorientierte sichere Programmierung erleichtern. Erforschen Sie sie jetzt.
Ist Ihr Sicherheitsprogramm auf die Reaktion auf Zwischenfälle ausgerichtet? Sie machen es falsch.
Eine Version dieses Artikels erschien als Beitrag für den Forbes Technologie-Rat. Er wurde aktualisiert und hier syndiziert.
Es gibt nichts Schöneres, als auf der falschen Seite einer Datenschutzverletzung zu stehen. Zuerst gibt es vielleicht Leugnung, dann Panik. Nachdem alle Schimpfwörter ausgesprochen wurden und der CISO um 2 Uhr morgens eine Telefonkonferenz mit der Öffentlichkeitsarbeit abhalten musste, ist es an der Zeit, die Ärmel hochzukrempeln und sich an die Arbeit zu machen, um Endpunkte und Systeme zu sichern und potenzielle Angriffsvektoren schnell zu eliminieren. Das ist, gelinde gesagt, kein Zuckerschlecken.
Und doch ist dies eine Realität, mit der viele Unternehmen in Zukunft konfrontiert werden und auf die sie sich unbedingt mit einem umfassenden Plan zur Reaktion auf Cyberangriffe vorbereiten müssen. Das Problem ist jedoch, dass ein Großteil der Zeit, der Ressourcen und des Aufwands in diese reaktive Strategie gesteckt wird, anstatt daran zu arbeiten, den potenziellen Schweregrad von Cyberangriffen im Vorfeld zu verhindern oder zu verringern. Es ist ein bisschen so, als würde man bei einem vermuteten Herzinfarkt einen Krankenwagen rufen; die Ergebnisse sind oft weit weniger positiv - ganz zu schweigen von mehr Schaden - als wenn man präventive Gesundheitsmaßnahmen ergriffen hätte, bevor es zu spät war.
Wie sieht also ein Präventionsplan aus? Lassen Sie uns herausfinden, wie Sicherheitsexperten alle ihnen zur Verfügung stehenden Werkzeuge einsetzen können, um die ständig steigenden Cyberrisiken zu minimieren - jeden Tag:
Verstehen des Umfangs der anfallenden Arbeiten
Es scheint offensichtlich zu sein, aber der "richtige" Plan zur Minderung von Cyber-Risiken ist von Branche zu Branche unterschiedlich, und es ist wichtig zu verstehen, was im Vorfeld erforderlich ist, um das gewünschte Ergebnis zu erreichen.
Welche Sicherheitsprobleme gibt es derzeit? Wie viel Zeit und Ressourcen nehmen sie in Anspruch? Wie viele davon sind wiederkehrende Probleme? Dies sind wichtige Faktoren, die Ihnen eine gute Ausgangsbasis bieten. Überlegen Sie, welche Rollen neu besetzt werden müssen, welche Lücken in den Werkzeugen bestehen und was aus der Sicht des Fachwissens und der Werkzeuge erforderlich ist, um die Endpunkte zu sichern und die Angriffsfläche zu verringern und gleichzeitig anderen Bereichen mit potenziellen Risiken vorzubeugen.
Ein kürzlich veröffentlichter Bericht zeigt, dass in elf Branchen im vergangenen Jahr jeden Tag eine schwerwiegende Sicherheitslücke in mindestens der Hälfte der Anwendungen auftrat. Insbesondere die Versorgungsunternehmen, die öffentliche Verwaltung und die freien Berufe benötigten im Durchschnitt 288 Tage, um bekannte Schwachstellen zu beheben. Das ist unglaublich langsam und gibt einem Angreifer mehr als genug Zeit, ernsthaften Schaden anzurichten, wenn diese Schwachstellen entdeckt werden, bevor ein Patch eingespielt werden kann. Dies und die Tatsache, dass die Wahrscheinlichkeit, dass ein Unternehmen von einer Datenpanne betroffen ist, bei fast 30 % liegt, ist eine ernüchternde Mahnung, dass es nicht ausreicht, auf einen Vorfall zu reagieren, und dass zu viel auf dem Spiel steht, um sich auf die Auswirkungen eines groß angelegten Cyberangriffs einzustellen und auf das Beste zu hoffen.
Vorbereitung auf die Akzeptanz des kulturellen Wandels
Das Aufrütteln des Status quo sorgt zwar für Kopfschütteln, aber die Wahrheit ist, dass Sicherheitsprogramme ständig verbessert werden sollten. Jede Komponente sollte relevant bleiben, und neue Entwicklungen sollten bewertet und berücksichtigt werden.
Die Betonung eines präventiven - im Gegensatz zu einem reaktiven - Ansatz wird außerhalb des Sicherheitsteams möglicherweise nicht allgemein verstanden, vor allem, wenn noch kein großer, schlimmer Sicherheitsvorfall stattgefunden hat. Es könnte als etwas angesehen werden, das nicht kaputt ist und nicht repariert werden muss. In diesem Fall ist es von entscheidender Bedeutung, die Zustimmung der Führungskräfte zu erhalten. Einige der wichtigsten Punkte, die sie berücksichtigen sollten, sind:
- Zeit- und Kostenersparnis durch Präventivmaßnahmen, wie z. B. rollenbasierte Schulungen und entsprechende Tools, im Vergleich zu den potenziellen Kosten eines kritischen Zwischenfalls
- Wie das Auffinden und Beheben von Schwachstellen jetzt dafür sorgt, dass die Veröffentlichungen pünktlich erfolgen und das Sicherheitsteam nicht mehr so viele Hindernisse in den Weg legt
- Warum die Vorbereitung auf und die Vorbeugung von potenziellen Sicherheitsrisiken, vom Entwicklungsteam bis hin zur Veröffentlichung, insgesamt mehr Zeit (ganz zu schweigen von erheblichem Geld) spart. Um es in die richtige Perspektive zu rücken: Späte Schwachstellen, die in der Testphase - oder schlimmer noch, nach der Produktion - aufgedeckt werden, können die Kosten im Durchschnitt um bis zu 3000 % erhöhen.
Es ist von entscheidender Bedeutung, dass die vorgeschlagenen kulturellen Veränderungen mit den Unternehmenszielen in Einklang gebracht werden, auch wenn sie zunächst unbequem erscheinen.
Sicherheitsbewusstsein ist etwas, Sicherheitskompetenz ist alles
In der Branche wird häufig über die Bedeutung des Sicherheitsbewusstseins gesprochen, das für jeden Mitarbeiter in einem Unternehmen eine immer wichtigere Rolle spielt. Es reicht jedoch nicht aus, sich mit Lippenbekenntnissen und passiven Schulungen zu begnügen, vor allem nicht für Mitarbeiter in technischen Positionen.
Einfach ausgedrückt: Jeder, der mit Code in Berührung kommt, stellt ein potenzielles Sicherheitsrisiko dar, wenn er nicht über die nötigen Fähigkeiten für eine sichere Programmierung verfügt. Ein allgemeines Bewusstsein für grundlegende Sicherheitsparameter ist ein guter Anfang, aber ohne kontextbezogenes Wissen über gute, sichere Codierungsmuster herrschen schlechte Gewohnheiten vor, und es ist dieser Mangel an qualitativ hochwertigen Entwicklungsfähigkeiten, auf den sich Angreifer verlassen, um ihre schmutzige Arbeit zu erledigen.
Schreiben Sie Ihre Entwickler nicht ab.
Obwohl sich die Einstellung ändert, sind viele Unternehmen so strukturiert, dass Entwickler in den Plänen zur Eindämmung der Sicherheitsrisiken kaum eine Rolle spielen. Einige Branchen - wie das Bank- und Finanzwesen - haben strenge Compliance- und Regulierungsanforderungen, die zu verstärkten Sicherheitspraktiken und Schulungen für alle Mitarbeiter führen. Und obwohl sie anderen Branchen sicherlich voraus sind, könnte fast jedes Unternehmen auf der Welt von einem internen Heer sicherheitsbewusster Entwickler profitieren, die in der Lage sind, gängige Sicherheitslücken zu erkennen, bevor sie begangen werden. Die meisten sind noch weit davon entfernt, dieses wichtige Teil des Sicherheitsprogramms zu erreichen - und es ist notwendig, wenn wir jemals die Hoffnung haben wollen, die Flut von Code zu sichern, die von Jahr zu Jahr ansteigt.
Vorbeugende Sicherheit sollte in dem Moment beginnen, in dem die Finger die Tastatur berühren, um Software zu erstellen. Sie brauchen die richtigen Werkzeuge und kontextbezogene Anleitungen, um einen höheren Standard der Codequalität zu erreichen. Die besten Ergebnisse werden immer dann erzielt, wenn dies Teil ihrer täglichen Arbeit ist und nicht ein nachträglicher Gedanke, der sporadisch eingeführt wird, wenn die jährlichen Compliance-Anforderungen kommen.
