Die Reihe Vectra Masked CISO bietet Sicherheitsverantwortlichen einen Ort, an dem sie die größten Sicherheitsprobleme offenlegen und Kollegen beraten können, wie sie diese lösen können.
Ich habe es schon unzählige Male erlebt. Ein anderer CISO geht in eine Vorstandssitzung und wälzt Statistiken über den Stand der Einhaltung. Toll, Sie sind zu 75 % konform mit ISO 27001, aber was sagt das über den Grad des Risikos aus?
Das Problem mit der ISO-Konformität
Die Wahrheit ist, dass Sie Jahre damit verbringen können, alle 114 Kontrollmechanismen von ISO 27001 zu implementieren, und ein entschlossener Angreifer könnte Ihre Verteidigungsmaßnahmen innerhalb weniger Stunden umgehen. Da die Angreifer ihre TTPs (Tactics, Techniques, and Procedures) laufend aktualisieren und fehlbare Mitarbeiter austricksen, kann keine noch so gute Einhaltung der Vorschriften Ihre gesamte Basis abdecken. Warum also klammern sich CISOs an Compliance-Zahlen wie an eine alte Sicherheitsdecke?
Vorstände reagieren in der Regel gut auf klare Anzeichen für Fortschritte, die im Sicherheitsbereich bekanntermaßen schwer zu messen sind. Aber wir müssen die Diskussion ändern. Bei der klassischen Risikomanagement-Gleichung Risiko = Bedrohung x Schwachstelle habe ich keine Kontrolle über die Motivation, die Fähigkeiten oder die Ressourcen des Bedrohungsakteurs. Ich könnte all meine Ressourcen in eine umfassende Compliance-Strategie stecken und wäre trotzdem nicht erfolgreich.
Sei "fadenführend"
Stattdessen müssen die Ansätze THREAT-LED sein. Das bedeutet, dass Sie Ihre wertvollsten Vermögenswerte ermitteln, wer es wahrscheinlich auf Ihr Unternehmen abgesehen hat, und dass Sie Prioritäten setzen, um die ermittelten Risiken zu mindern. CISOs sollten die Sicherheit daran messen, ob sie in der Lage sind, einen Einbruch zu erkennen, indem sie aussagekräftige Metriken wie die mittlere Zeit bis zum Einbruch bei Sicherheitstests oder die mittlere Zeit bis zur Entdeckung von Bedrohungen verwenden. Dann können die CISOs daran arbeiten, diese Zahlen auf ein vereinbartes Niveau zu senken.
Um diese Daten zu erhalten, sind umfassende Red-Team-Übungen unerlässlich. Rote Teams testen Technologie, Menschen und Prozesse - sie suchen nach blinden Flecken und finden unorthodoxe Wege, um in Ihr Unternehmen einzudringen. Genau so würde ein fähiger Angreifer vorgehen! Dies liefert unschätzbare Daten darüber, was durch die Maschen gefallen ist, so dass CISOs entsprechende Prioritäten setzen und die durchschnittliche Zeit bis zur Entdeckung eines Verstoßes reduzieren können. Derzeit führen jedoch nur wenige Unternehmen Red-Team-Übungen durch, weil sie angeblich nicht ausgereift genug sind. Das ist Musik in den Ohren der Angreifer, und sie werden Ihnen nicht die nötige Zeit geben, um zu reifen, bevor sie zuschlagen. Red-Team-Übungen sollten durchgeführt werden, wenn der Reifegrad keine bessere Priorisierung bei der Eindämmung realer Bedrohungen zulässt.
Es gibt keine andere Branche, die so viel investiert, ohne das Ergebnis objektiv zu messen. Sie würden kein Auto fahren, das nicht auf seine Crash-Tauglichkeit geprüft wurde. Warum also eine Sicherheitsstrategie einsetzen, ohne zu prüfen, ob sie umgangen werden kann? Sogar die Aufsichtsbehörden sind sich dieser Tatsache bewusst - mit Programmen wie TIBER-EU, die von den Banken die Durchführung von Red-Team-Tests verlangen, um sicherzustellen, dass sie über eine einfache Compliance-Basislinie hinausgehen.
Sensibilisierung in der nächsten Vorstandssitzung
In Ihrer nächsten Vorstandssitzung sollten Sie die Zahlen zur Einhaltung der Vorschriften als Fußnote behandeln. Ermuntern Sie die Beteiligten stattdessen, über die geschäftlichen Auswirkungen einer Sicherheitsverletzung und die Wahrscheinlichkeit, dass Angreifer Ihr Unternehmen ins Visier nehmen, nachzudenken. Erörtern Sie außerdem die Wahrscheinlichkeit eines erfolgreichen Angriffs. Den CEO wird es interessieren, ob er auf der Titelseite der Times erscheint, wenn Ihr Unternehmen von Ransomware betroffen ist. Das Gleiche gilt für den CFO, wenn er nicht in der Lage ist, Geschäfte zu tätigen, während die Systeme ausgefallen sind.
Anstatt zu zeigen, dass Sie die Vorschriften einhalten und dass die Projekte planmäßig durchgeführt werden, sollten Sie die Sitzungen nutzen, um Ihre Schwächen zu erörtern und dem Vorstand Optionen zu deren Abmilderung zu unterbreiten - und auf das erforderliche Budget drängen. In der heutigen dynamischen Bedrohungslage kann es vorkommen, dass Pläne zur Jahresmitte geändert werden müssen. Daher ist es wichtig, dass der Vorstand die Risiken versteht, die er eingeht, wenn er sich entscheidet, nicht zu investieren.
Dieser Blog erschien ursprünglich in The Register.