Atteste sind nicht immer ein Maßstab für Ihre defensive Haltung

An Bescheinigung, per Definition, is an indication that makes something evident. In the case of the security, specifically security programs it means to certify in an official capacity.

People often ask me what makes a good security program. As much as I would like to point to one aspect of my security perimeter to use as an example, there are multiple items to highlight. Die industry relies on attestations and certifications to measure your security defenses. Engineers and operators will tell you that your actual security perimeter and threat assessment capabilities define your security program. I will tell you it is both compliance attestations as a measurement and the operational capabilities of your security team that define your program. Though attestations alone are not an accurate benchmark to measure a program.

Attestations are an industry necessity to ensure compliance with federal, local and state statutes as well as industry best practices. ISO, NIST or DoD standards form the baseline of most attestations. NIST, for example, publishes a set of standards and technical guides to help organizations build perimeter defenses that are “acceptable” zum government. As I will outline however, just because the standards are set doesn’t mean implementation is always stellar.

Der Einsatz eines Tools bedeutet nicht, dass es einen Mehrwert bietet

Kontrollen ermöglichen Flexibilität bei der Implementierung sowie betriebliches Wachstum und Innovation im Laufe der Zeit. Leider nutzen einige Unternehmen die Flexibilität, um ein Kästchen anzukreuzen, haben aber keine wirklichen Schutzmaßnahmen.

Ein Paradebeispiel für dieses Problem sind Intrusion Detection/Protection-Systeme (IDS oder IPS). Wie bei Virenscannern gehören IDS/IPS für die meisten Unternehmen zu den Standard-Sicherheitspraktiken, um sich vor bösartigem Datenverkehr und Datenexfiltration zu schützen. In der Branche gibt es eine Vielzahl von Anbietern, die verschiedene Formen von IDS/IPS-Systemen herstellen. Einige Unternehmen bauen jedoch Systeme selbst, anstatt sie zu kaufen.

I recently left one such organization that “built” their own intrusion detection system from open source tools. Auditors were told the system was a “fantastic tool”, and even given examples of traffic. When I dug deeper into the telemetry the tool was providing, I realized that traffic was not being analyzed at all. Rather, passing through the sensor as it was not configured to capture any traffic or alert at all. Furthermore, the credentials used to administer the tool were set up by a previous employee and were never updated after his departure. So essentially, the tool was sitting idle for months without any human intervention. Not only does this put the company at risk, but it also compromises the perimeter.

Einem versierten Prüfer wäre das Problem nicht aufgefallen, weil in den Bescheinigungen nicht nach "operativen" Informationen über alle Systeme gesucht wird - der Standard besteht buchstäblich aus einer Ebene von Fragen und Antworten. Tatsächlich wird in den meisten Bescheinigungen lediglich geprüft, ob das Instrument existiert, nicht aber, ob es einsatzfähig ist. Außerdem sind die meisten Prüfer technisch nicht in der Lage, ein funktionierendes IDS/IPS von einem nicht funktionierenden zu unterscheiden. Der Kern des Audits besteht darin, dass das Unternehmen sich von seiner besten Seite zeigt, anstatt schwierige Fragen zu beantworten. Außerdem müssen die Prüfer während einer Prüfung eine Vielzahl von Kontrollen abdecken, so dass der Zeitfaktor einen großen Einfluss auf die Qualität ihrer Analyse hat.

Eine Bescheinigung allein sagt Ihnen nicht, dass ein Unternehmen über ein ausgereiftes Sicherheitsprogramm mit Kontrollen verfügt. Die Aufforderung an einen potenziellen Partner, eine Anbieterumfrage auszufüllen, wird Ihnen ebenfalls kein Vertrauen verschaffen. Umfragen geben lediglich die gleichen Informationen in einem anderen Format wieder. Wie können Sie also ein ausgereiftes Sicherheitsprogramm bewerten?

Bewerten Sie das gesamte Cloud-Sicherheitsprogramm

Zunächst sollten Sie zumindest die Bescheinigungen und den Ergebnisbericht prüfen, nicht die Zusammenfassung. So erhalten Sie einen Überblick über das Programm, das von einer dritten Partei überprüft wurde. Zweitens sollten Sie auf jeden Fall prüfen, ob das Unternehmen einem Penetrationstest durch Dritte oder einem Bug-Bounty-Programm unterzogen wird. Ich persönlich bin kein Fan von Bug Bounties, aber ich bin ein Fan von Penetrationstests durch Dritte auf jährlicher Basis. Pentesting bietet Ihnen einen strukturierten Test Ihrer Verteidigungsmaßnahmen und echtes Feedback zu Schwachstellen. Schließlich sollten Sie die Sicherheitsdokumente (in der Regel das Inhaltsverzeichnis) prüfen, die das Unternehmen als Grundlage für die Implementierung verwendet. Dazu gehören unter anderem eine Sicherheitsrichtlinie, die Reaktion auf Zwischenfälle und das Schwachstellenmanagement. Ein erfahrenes Sicherheitsteam wird anbieten, diese Dokumente und Artefakte als Teil des normalen Geschäftsverkehrs zu teilen.

I make it a matter of course to evaluate every vendor and partner from the perspective of access to company data. Meaning if the partner or vendor manages company data, they’re subject to more scrutiny than a vendor that does not. Keep in mind the business purpose when evaluating a security program. I review the business purpose and type of information involved, then evaluate from that perspective, rather than handle all partners and vendors the same. When in doubt, always ask for more information.