Kenne das System (...und du vermeidest eine Jagd auf Schatten)
Security
Schon Benjamin Franklin sagte: "Wer sich nicht vorbereitet, bereitet sich auf das Scheitern vor" - und mit diesem Motto starten wir in den Security Blog Artikel dieses Monates.
Im Bereich der Cyber Security ist uns völlig bewusst, mit welch fähigen und entschlossenen Gegnern wir zu tun haben.
Um mitzuhalten und um wirksame Gegenmaßnahmen ergreifen zu können, müssen wir bestimmte Vorkehrungen treffen. Denn tun wir das nicht, werden wir von eben diesen Gegnern überwältigt und müssen uns auf eine «Jagd auf Schatten» begeben[1].
Das wollen Sie verhindern? Natürlich wollen Sie das! Aus diesem Grund lesen Sie bitte weiter.
In meinem allerersten Blogartikel habe ich über die «Cyber Security Philosophie» geschrieben. https://www.spie.ch/de/aktuell/blog/6-security/1846265489-8-cyber-security-philosophie/
Die Leitprinzipien:
- Schaffen Sie eine gute Grundlage (Überwachung, Protokollierung, Schwachstellenmanagement)
- Seien Sie transparent (Offenheit gegenüber internen und externen Beteiligten)
- Die fünf Säulen der Sicherheit:
- Das System kennen (Menschen, Prozesse, Technologie)
- Geringstmögliche Einschränkung (Mensch-zur-Maschine, Maschine-zur-Maschine)
- Abwehr in der Tiefe (Einsatz mehrerer Maßnahmen, FW, Zoning, IPS, ACLs, MFA usw.)
- Ermittlung (Protokollierung der Quellen, die eine Ursachenanalyse und schnelle Reaktion ermöglichen)
- Datengestützte Risikobewertung (Das "Bauchgefühls" mit echten Daten ergänzen)
In diesem Artikel möchte ich auf die erste Säule "Das System kennen" eingehen, und auf das Lebenselixier eines effektiven Sicherheitsprogramms: Transparenz.
Uns allen ist klar, dass wir für den Bau eines Hauses ein solides Fundament benötigen.
Dieser Grundsatz gilt auch im Bereich der Cyber Security.
Aber was macht ein gutes Fundament aus? Ein Blick auf die gängigen Standards zeigt, dass eine Bestandsaufnahme (NIST: Identify, ISO 27002: A8 Asset Management, CIS Control 1: Inventory and Control of Enterprise Assets) der Grundsatz ist.
Die Rechnung ist also simpel: Es muss ein klares Verständnis der Cyber Security Struktur vorhanden sein. Zum einen ist es schwierig, etwas zu schützen, von dem man nichts weiss, und zweitens muss man, wenn man etwas weiss, den Sicherheitskontext verstehen. Warum? Um sicherzustellen, dass die erforderlichen Schutzmaßnahmen getroffen werden.
Wenn Sie mit einem Boxer sprechen, wird er Ihnen bestätigen, dass der härteste Schlag der ist, den er nicht kommen sah.
Unsere erste Verteidigungslinie besteht also darin, sicherzustellen, dass wir wissen, was unsere kritischen Elemente sind. Und nicht nur das: Welche Abhängigkeiten bestehen? Wie interagieren Menschen und Prozesse mit diesen Anlagen, und was passiert mit unseren wertvollen Daten, wenn sie mit der Wucht eines Orkans durch unsere Firmensysteme jagen?
Gute Fragen brauchen gute Antworten, also lassen Sie uns eine wertvolle Wahrheit aufdecken:
Der Schlüssel zum Erfolg ist knallharte Entschlossenheit. Nicht mehr und nicht weniger. Es ist nicht einfach, Ihre Ressourcen zu sichern und Ihre Systemlandschaft zu planen. Aber es ist machbar, wenn Sie Ihr Ziel mit der nötigen Entschlossenheit verfolgen, um etwas wirklich Wertvolles zu erreichen. Maximale Sichtbarkeit. Kein Jagen nach Schatten, keine Schatten-IT.
[1] dictionary.cambridge.org – Schattenjagd:
«Der erfolglose Versuch, eine andere Person oder ein anderes Team, das viel schneller oder besser ist als man selbst, einzuholen oder mit ihnen zu konkurrieren»
