TOP 3 ERGEBNISSE

Rapid7 führte vor kurzem einen UX-Workshop mit Sicherheitsexperten aus 18 verschiedenen Unternehmen durch. Basierend darauf leiteten wir 97 Ergebnisse ab, die diese Organisationen mit ihren Incident-Detection- und Response-Strategien in ihren Unternehmen erreichen wollten.

Wade Woolwine, Principal Security Researcher bei Rapid7, kommentierte die Top drei.

Zunächst fragen Sie sich bestimmt, was wir mit Ergebnis meinen. Kurz gesagt, handelt es sich um etwas, das jemand in einer bestimmten Zeitspanne zu erreichen versucht, gemessen an einem bestimmten Wert. Konkret ist jedes Ergebnis wie folgt strukturiert:

Hier nun die Top drei Ergebnisse:

1. Wahrscheinlichkeit minimieren, dass es Bedrohungen gibt, die vorhandene Sicherheitswerkzeuge nicht erkennen können.
2. Eigene Kenntnisse darüber maximieren, welche Schwachstellen im Netzwerk vorhanden sind.
3. Bewusstsein der Mitarbeiter für bewährte Sicherheitspraktiken erhöhen, um Probleme gar nicht erst entstehen zu lassen.

1. „Wahrscheinlichkeit minimieren, dass es Bedrohungen gibt, die vorhandene Sicherheitswerkzeuge nicht erkennen können“.

Ich bin überhaupt nicht überrascht, dass das an erster Stelle steht. Genau das ist es, was die Zuständigen in der IT und Geschäftsleitung nachts nicht schlafen lässt. So muss es aber nicht sein. Sicher werden Sie immer diese kleine Stimme im Hinterkopf haben, aber Sie werden deutlich zuversichtlicher sein, wenn Ihre Sicherheitsmaßnahmen und darauf hin optimiert sind, das zu schützen, was für Ihr Unternehmen am wertvollsten ist. Vergessen Sie nicht, an der Stelle geht es nicht darum, einen Angriff zu verhindern, es geht darum, einen Angriff zu stoppen, bevor er Ihrer Organisation materiellen Schaden zufügen kann.

Wie kann also ein Sicherheitsprogramm aussehen, das Ihnen hilft, nachts besser zu schlafen? Im Grunde genommen muss jedes Sicherheitsprogramm in die folgenden Schlüsselbereiche investieren:

• Vorbereitung: Wenn es nicht aufgeschrieben wurde, können die Beteiligten nicht zusammenarbeiten und gemeinsam gestalten. Außerdem, wenn es auf dem Papier keinen Sinn ergibt, wird es in der Praxis erst recht nicht funktionieren.
• Prävention: Nutzen Sie Technologie, um bekannte Bedrohungen daran zu hindern, den normalen Geschäftsbetrieb zu stören. Auf dem nächsten Reifegrad sind zusätzliche Mitarbeier für die Betreuung, Einspeisung und Verbesserungen dieser Technologieschicht zuständig.
• Erkennung von Vorfällen: Setzen Sie spezialisierte Technologie und qualifizierte Teams ein, um Angreifer aufzuspüren, die die präventiven Verteidigungsmaßnahmen umgehen.
• Abwehr: Setzen Sie Prozesse, spezialisierte Technologie und Teams ein, um Reaktionen auf alle Vorfälle zu steuern. Sowohl ernste Vorfälle, als auch andere Alerts.
• Kontinuierliche Verbesserungen und Beratung zur Unternehmenssicherheit: Stetige Verbesserungen umfassen die Übernahme der Ergebnisse aus einer der oben genannten Phasen und die Anwendung der daraus gezogenen Lehren auf die vorangegangene Phase. Dadurch wird der gesamte Prozess effizienter. Enterprise Security Consulting steht für alle Tätigkeiten, die das Sicherheitsteam zur Verbesserung der Unternehmenssicherheit durchführt. Einige Beispiele hierfür sind die Einrichtung eines Sicherheits-Helpdesks zur Beantwortung von Mitarbeiterfragen, die Bewertung der Sicherheit eines potenziellen M&A-Ziels, die Bereitstellung von Risikohilfe bei der Entscheidungsfindung von Führungskräften usw.

Wann und wo in diese Bereiche investiert werden muss, wird dann zur nächsten Herausforderung. Eine Ressource, die ich speziell für Detection und Response empfehle, ist das MITRE ATT&CK Framework. Richten Sie Ihre Detection-Strategie auf ATT&CK aus und Sie werden nachts besser schlafen können.

2. „Eigene Kenntnisse darüber maximieren, welche Schwachstellen im Netzwerk vorhanden sind“.

Normalerweise packe ich alle Maßnahmen zur Verwaltung der Angriffsfläche in die Präventionsebene Ihres Sicherheitsprogramms. Ein wirksames Programm zum Management und zur Behebung von Schwachstellen ist ein zentraler Baustein, mit dem sich die Chancen für das Eintreten von Bedrohungen verringern lassen.

Dank InsightVM, der Schwachstellen-Risikomanagementlösung von Rapid7, als Technologiekomponente, ist die Identifizierung, Validierung und Automatisierung der Zuweisung von Remediationsprojekten und -aufgaben so einfach wie nie. Durch die Integration einer Automatisierungsplattform wie InsightConnect in den Technologiestack können Sicherheitsteams über Jira, SCCM und andere DevOps-Tools direkt in die Arbeitsprozesse der IT-Teams integriert werden. SOAR-Tools wie InsightConnect werden in Ihrem gesamten Sicherheitsprogramm zur Automatisierung sich wiederholender manueller Aufgaben und zur Steigerung der Effizienz der Spezialisten in Ihren Sicherheitsteams eingesetzt.

Gewöhnlich liegen die Komplikationen und Misserfolge von Schwachstellenmanagementprogrammen nicht in der Identifizierung und Handhabung von Schwachstellen, sondern eher in der Koordination von Mitigation- und Remediationsmaßnahmen. Bedauerlicherweise ist das ein Gebiet, auf dem die Technologie lediglich dazu beitragen kann, einen effizienten und abgestimmten Prozess zu erleichtern. Das verdeutlicht die Bedeutung einer ausgewogenen Investition in Ihr Sicherheitsprogramm. Wenn Organisationen sich auf die Ergebnisse konzentrieren, die das Programm zu erreichen versucht, und anhand von Kennzahlen, die alle Führungskräfte verstehen, den Erfolg messen, können Prozessfragen sehr schnell zum Handeln führen.

Um Schwachstellen, die behoben werden müssen, mit den angestrebten Ergebnissen in Relation zu setzen, müssen Sicherheitsteams die Aufgaben, die sie an ihre Kollegen in der IT-Abteilung weitergeben, priorisieren. Dafür muss das Sicherheitsteam:

• Ein technisches Verständnis davon haben, wie die Schwachstelle und die damit verbundenen Exploits funktionieren
• Verstehen, wie Bedrohungen und Angreifer die Schwachstellen und Exploits missbrauchen können
• Wissen, wo (auf welchen Assets) die Schwachstelle vorhanden ist, insbesondere in Bezug auf die „Kronjuwelen“ des Unternehmens, wo z.B. wertvolle Daten aufbewahrt werden

Auf diesem Gebiet hat Rapid7 in letzter Zeit viel unternommen. Mein Team, Rapid7 Labs, nimmt an einer multidisziplinären Team-Initiative teil, die darauf abzielt, auf Gefahrereignisse zu reagieren, sobald sie eintreten. Wir befassen uns mit Schwachstellen, Gefahrenmeldungen, Gerüchten, wo sich die Angreifer aufhalten, und mit allem, was unsere verschiedenen Forschungsprojekte wie Heisenberg (unser Honeynet-Netzwerk) und Sonar (wir kennen das Internet) identifizieren. In den letzten Monaten hat das Team neue Schwachstellenüberprüfungen für InsightVM durchgeführt, neue Erkennungsmethoden für InsightIDR (unsere SIEM-Lösung) und neue Exploits für Metasploit und Community-Posts in unserem Blog erstellt. Darüber hinaus verwalten wir den Inhalt, der die Darstellung der Threat Landscape-Ansicht in InsightVM steuert.

Die nächste Herausforderung besteht darin, den anderen Komponenten Ihres Sicherheitsprogramms Informationen über Schwachstellen zugänglich zu machen. Ihre Erkennungs- und Reaktionsteams müssen wissen, welche Schwachstellen es innerhalb des Technologie-Ökosystems gibt, um die Bedrohungen richtig einzuschätzen und Alerts zu validieren. Auch hier macht Rapid7 es Ihnen leicht, wenn Sie InsightIDR auch für die Erkennung und Reaktion auf Bedrohungen einsetzen. Durch die Integration von InsightIDR und InsightVM erhalten Bedrohungsanalysten einen Echtzeit-Einblick in die bei Schwachstellen-Scans identifizierten Sicherheitslücken.

Bisher haben wir nicht über Anwendungssicherheitsprogramme als Teil der Auseinandersetzung mit diesem Ergebnis gesprochen. Auch wenn ich gerne tiefer in die Materie eintauchen würde, die Beratung zur Einrichtung eines effektiven AppSec-Programms wird einen eigenen Post benötigen!

3. „Bewusstsein der Mitarbeiter für bewährte Sicherheitspraktiken erhöhen, um Probleme gar nicht erst entstehen zu lassen“.

Ich freue mich wirklich sehr, das hier auf Platz 3 zu sehen. Ich bin der festen Überzeugung, dass ein mangelndes Verständnis dafür, wie Bedrohungen und Angriffe in Unternehmen zustande kommen, zu einseitigen Investitionen in Sicherheitsprogramme und damit zu einem falschen Sicherheitsgefühl führen. Dies beginnt sicherlich beim Endbenutzer, erstreckt sich aber auch auf die gesamte Organisation, einschließlich der IT- und Sicherheitsteams.

Leider haben wir als Branche unsere Organisationen im Hinblick auf eine kohärente Bildung vernachlässigt. Obwohl ich Dokumente wie die CIS Top 20 Controls und andere bewährte Praktiken/Standards sehr schätze, werden Ihre Kinder wahrscheinlich erwachsen und in die Uni gehen, bevor wir hier erkennbare Fortschritte gemacht haben.

Inzwischen zeichnen sich aber ein paar Hoffnungsschimmer ab. Organisationen wie OWASP und MITRE stellen hochwertige, kostenlose Ressourcen für den Aufbau von AppSec-Programmen bzw. Erkennungs- und Response-Programmen zur Verfügung. Es gibt auch großartige Ausbildungsorganisationen wie SANS, aber so sehr ich ihre Leistungen auch begrüße, die Kosten werden schnell zum Thema.

Wir brauchen also mehr Initiativen, die kostenlose Beratung und Ressourcen anbieten, die nicht nur bestimmte Komponenten von Sicherheitsprogrammen, sondern auch die Bedeutung eines ganzheitlichen Programms ansprechen. Genau das ist das Ziel der Forschung für das Security Program Framework, die ich durchführe.

Zusätzlich zu dem, was Sie (hoffentlich) bereits mit Phishing-Aufklärung/Phishing-Tests, Social Engineering, grundlegenden bewährten Infosec-Praktiken umsetzen, muss Ihre Initiative aus verschiedenen Gründen unterschiedliche Zielgruppen ansprechen:

• Alle Mitarbeiter: Regelmäßige Aktualisierungen/Erinnerungen an das, was das Unternehmen schützen möchte. Regelmäßige Aktualisierungen der von den Angreifern verwendeten Techniken.
• Management/Leitung: Regelmäßige Updates zu Sicherheitsrichtlinien und -anleitungen. Einweisung der Geschäftsführung in das Sicherheitsprogramm. Regelmäßige Aktualisierungen der Schlüsselmetriken des Sicherheitsprogramms. Regelmäßige Updates zu funktionsübergreifenden Interaktionen.
• IT-Mitarbeiter: Regelmäßige Mittagsschulung im „Lunch-n-learn“-Stil, bei der beide Teams über die von ihnen verwendeten Technologien und Prozesse referieren. Besondere Sicherheitsschulungen für die von ihnen verwendeten Technologien. Eine Schulung in sicherem Codieren für Ingenieure. Regelmäßige Überprüfung der Schwachstellen und der Ergebnisse des für Bedrohungen zuständigen Teams.
• Security-Mitarbeiter: Alle Mitarbeiter sollten einen individuellen Entwicklungs- und Ausbildungsplan haben, der ihnen die nötigen Fähigkeiten zur Verbesserung des Infosec-Programms vermittelt.

Das waren jetzt ein paar Überraschungen, oder? Sie halten einige Dinge, die Sie tun, für „Status-Updates“, aber tatsächlich sind es Trainingsmöglichkeiten, die sie verstreichen lassen.

Was den letzten Punkt bzgl. des für Sicherheitspersonals betrifft, so rate ich den Leitern und Managern von Sicherheitsteams oft, eine Kompetenzmatrix von Fachkenntnissen zu pflegen, die Sie brauchen, um die gewünschten Ergebnisse zu erreichen. Ich ermutige Manager, mit Technikern zusammenzuarbeiten, um auf Grundlage dieser Fähigkeiten Lernpfade einzurichten.

So, jetzt wissen Sie es. Ich kratze hier allerdings nur an der Oberfläche. In der Realität erfordert die Verwirklichung dieser Ergebnisse eine Menge Investitionen und Zeit. Meine 25-jährige Erfahrung mit Sicherheitsprogrammen hat mich jedoch eines gelehrt: Die einzige Möglichkeit, Sicherheitsprogramme zu erstellen, besteht darin, gleichzeitig die Angriffsfläche zu verwalten, Einbrüche zu überwachen und darauf zu reagieren und Korrekturmaßnahmen voranzutreiben. Wir kommen aus der Sache hier erstmal nicht mehr raus, also schnallen Sie sich an und lassen Sie uns ein paar Bösewichte fangen.