Infosec Checklisten werden häufig, aber sie sind keine Magie

Vor dreieinhalb Jahren hat die Organisation, die so genannte Defense Signals Directorate (DSD), die Wissenschaft benutzt, um die Ursachen von Informationssicherheitsproblemen besser zu verstehen. Die daraus resultierenden Empfehlungen reflektierten, was Sicherheitsberufe längst geglaubt hatten – aber destillierte es in eine Botschaft, die so einfach war, dass sie eine Auszeichnung gewann.

Heute ist die Organisation der Australian Signals Directorate (ASD), aber die Botschaft ist die gleiche. Die ASD hat 35 Strategien zur Gefährdung zielgerichteter Cyber-Intrusionen identifiziert, basierend auf der Erforschung von Fragestellungen, die bei der Beurteilung von Schwachstellen und Durchdringungstests sowie bei tatsächlichen Sicherheitsvorfällen auftraten. Alle sind wichtig, aber Organisationen sollten sich erst auf die Top 4 konzentrieren, sagt die ASD, denn das wird den größten Unterschied machen.

Mindestens 85 Prozent der angestrebten Cyberintrusionen, auf die die ASD reagiert, könnten durch die Einhaltung der Top 4-Strategien verhindert werden. “Die Top-4-Strategien zur Verminderung gezielter Cyber-Intrusionen sind für australische Regierungsstellen ab April 2013 verpflichtend.

Diese Top-4-Strategien sind

Die Klarheit und Einfachheit dieser Liste gewann die damalige DSD den US National Cybersecurity Innovation Award im Jahr 2011.

“Die Kosten für die Umsetzung dieser vier Kontrollen ist ein winziger Bruchteil der Kosten für die Umsetzung der durchschnittlichen US-Bundesbehörden Agentur Cybersecurity-Programm.Da die Auswirkungen dieser Low-Cost-Ansatz ist viel bessere Sicherheit als das, was US-Agenturen erleben, ändert sich die australische Innovation Das Spiel “, schrieb das SANS-Institut in einer Medienmitteilung, die den Sieg verkündet.

Die ASD hat seitdem die beiden Patching-Elemente, um eine Dreipunkt-Liste und Dreipunkt-Slogan, “Catch, Patch, Match” zusammen mit einem Promotion-Video und Broschüre zusammengeführt.

Die Website sprach mit einer Reihe von Informationssicherheit Profis über die ASD Top 4 und ähnliche Listen. Während alle von ihnen der Meinung waren, dass solche Checklisten wertvoll sind, um den Fokus aufrechtzuerhalten, warnten sie auch, dass Organisationen die Listen im Rahmen ihrer eigenen Risikobewertung anwenden müssen und vermeiden, dass sie zu einer bloßen Box-Ticking-Übung werden.

Verwenden Sie die Whitelisting-Anwendung, um zu verhindern, dass schädliche Software und nicht genehmigte Programme ausgeführt werden, Patch-Anwendungen wie Java, PDF-Viewer, Flash, Webbrowser und Microsoft Office, Sicherheitsanfälligkeiten im Patch-Betriebssystem und Administratorberechtigungen für Betriebssysteme und Anwendungen.

Warum verlassen viele Boards IT-Sicherheit in erster Linie für Sicherheitstechniker, und warum können die Techniker ihre Boards davon überzeugen, kaum Geld für den Schutz von Stakeholder-Informationen auszugeben? Wir bieten Leitlinien für die Schließung der IT-Sicherheits-Governance-Lücke.

“Es ist fantastisch, dass die ASD hat tatsächlich führte die Ladung und half den Menschen, durch den Lärm in diesem Raum zu schneiden, und sagen:” Dies ist, wo Sie beginnen. Dies ist Ihre Blaupause … Dies ist, wie Sie essen diese besondere Elefanten “,” Sagte Brent Thurrell, Vice President Sales für die EMEA und APAC Regionen mit BeyondTrust, ein Unternehmen, das auf Benutzer-Privilegien und Access Management spezialisiert ist.

Sicherung sensibler Daten mit Windows-Verschlüsselung, Richtlinien für Google Glass am Arbeitsplatz, IT-Anti-Virus Policy

“Es war schon immer eine Herausforderung für jede Organisation – ganz zu schweigen von einer Regierungsorganisation -, um ihre Waffen umzusetzen, wie wir uns am besten für den Erfolg gegen all diese Bedrohungen einsetzen, die es gibt”, sagte er, zumal es leicht zu bekommen ist Abgelenkt durch exotische Bedrohungen mit einem hohen Medienprofil.

BeyondTrust bietet Tools zum Auffinden und Berichtieren der Berechtigungen und Schwachstellen, die in Netzwerken vorhanden sind, und priorisiert sie für Patching und Whitelisting. Vor diesem Hintergrund hat sich das Unternehmen oft gefragt, den ASD-Standard umzusetzen – und seine Fähigkeit, dies zu tun, ist ein wichtiger Bestandteil seiner Werbung.

“Die Top 4, es war eine Art Traumliste für uns als Organisation, muss ich sagen, weil wir uns sehr genau damit abfinden können”, sagte Thurrell der Website.

Die Top 4 decken 90 Prozent der Sicherheitsprobleme, die die meisten Kopfschmerzen verursachen werden. Es erlaubt es den Organisationen, ihre Ressourcen und Investitionen besser zu kanalisieren.

Sicherheit, das Pentagon kritisiert für Cyber-Notfall-Reaktion durch die Regierung Watchdog, Sicherheit, Chrome, um Etikettierung von HTTP-Verbindungen als nicht sicher, Sicherheit, das Hyperledger-Projekt wächst wie gangbusters

: Sicherheit

Aber während die Top-4-Maßnahmen wichtig sein können, reichen sie nicht aus, um eine vollständige Sicherheitsstrategie zu bilden.

Ich denke, wenn ich diese vier Dinge nicht hätte, wäre ich in einer Welt von Verletzungen, wenn etwas passieren würde, um zu erklären, warum sie nicht getan wurden Sicherheit Praktiken “, sagte Eric Stevens, Informationssicherheit und Strategie-Offizier in Websense-Büro des CSO.

Was sie nicht für uns tun, ist jedoch, reden über die Daten auf dem Weg nach draußen.

Stevens gab das Beispiel eines Angestellten von einer Personalabteilung des Unternehmens, die am Wochenende arbeiten muss, um einen Bericht am Montagmorgen abzuschließen. Das Unternehmen hat sie nicht mit einem Laptop, nur ihre Desktop-Maschine, und sie können nicht mit Outlook Web Access, weil das Security-Team dachte, dass war keine gute Idee. So sie am Ende der E-Mail an die Arbeit über einige externe E-Mail-Anbieter auf ihren Computer zu Hause – mit offensichtlichen Sicherheitsrisiken.

“Diese Person hat keine böswillige Absicht, sie versuchen nur, ihre Arbeit zu erledigen, und das Unternehmen hat viele verschiedene Barrieren zum Erfolg für sie geworfen”, sagte Stevens – einschließlich der schlechten Verwaltung einer übermäßig engen Frist, die erforderlich ist Das Wochenende Arbeit in den ersten Platz.

“Es gibt nicht eine einzige dieser Kontrollen, die dazu beitragen, dass diese Person nicht in Schwierigkeiten kommen, indem sie das tun – oder helfen Sie uns [befassen sich mit dem Sicherheitsvorfall] sollte diese E-Mail kompromittiert werden.Politiker und ihre Familien sind häufige Ziele, zum Beispiel E-Mail bekommen kompromittiert “, sagte Stevens.

Grundsätzlich sind sie alles, was ich für best practices halten würde. Wenn Sie nicht haben, dass, würde ich sagen, Sie müssen wirklich, um sie gestern zu bekommen. Aber sind das die Lösungen für euer Leid? Wahrscheinlich nicht.

Security Analyst James Turner, der Vorsitzende der Interessenvertretung der australischen Informationssicherheits-Vereinigung (AISA), ist damit einverstanden, dass die Top-4-Liste nicht das Bessere und Allendliche ist.

“Denken Sie daran, dass selbst die ASD sagen, dass diese Kontrollen auf eine risikobasierte Ansatz angewendet werden sollten.Viele beziehen sich auf die Top 4 als Edikt von oben, die durchgeführt werden müssen, um die Götter zu besänftigen, aber die Götter sind mehr daran interessiert Ihre Absicht und konsequente Handlungen als auf blinden Gehorsam “, sagte Turner der Website.

Application Whitelisting ist ein wichtiges Beispiel. “Whitelisting ist wie ein mythisches Land, dass einige Menschen Einblicke gewonnen haben, aber nur wenige Menschen glauben, dass selbst die reifsten Organisationen kleine Taschen und in der Regel nur auf Servern”, sagte Turner.

Whitelisting ist schwierig, sagte Brian Chappell, Technical Services Director für EMEAI und APAC bei BeyondTrust, aber es ist etwas, das in Etappen angegangen werden kann. Sie beginnen nicht, indem Sie alle Einzelteile von zB Microsoft Office einzeln prüfen und entscheiden, welche Komponenten Sie und Whitelist in Ihrer Umgebung nicht zulassen.

“Was die ASD drängt, ist eigentlich sagen” Vertrauen in den Verlag “. Also Whitelist Microsoft”, sagte Chappell der Website.

“Best Practice ist ein Ziel, es ist ein Ziel, und es gibt eine Reise, um dorthin zu gelangen … Sie könnten breiter beginnen und dann verfeinern, so dass Sie mehr Kontrolle bekommen – aber es wird Menschen in diesen Raum, ” er sagte.

Wenn Sie eine einfache Progression in sie zu beginnen, dann können sie sich mit ihm vertraut machen, bekommen sie bequem mit ihm, es wird ein Tag zu Tag Betrieb – und dann beginnen sie, um das Gehirn Raum tatsächlich zu können Wirklich fokussieren und machen, dass in die richtige Best Practice. Der Versuch, beste Praxis in jedem Bereich am ersten Tag gehen ist wirklich, wirklich schwer.

Der gleiche risikobasierte Ansatz gilt für das Patchen, sagte Stevens.

Wenn sie [die Systeme] nicht aus irgendeinem betriebsbedingten Grund, wie etwa einem Plugin, das wir gekauft haben oder etwas, nicht [gepatcht] werden können, habe ich die entsprechende Business-Case-Rechtfertigung? Und hat das schon kommuniziert, damit wir eine gute Entscheidung treffen können, risikobasiert, Patches oder Patches?

Turner beobachtete: “Patching wird geometrisch komplexer als Funktion der Umgebung.”

Dieser risikobasierte Ansatz gilt auch für die Verwaltung von Benutzerrechten, so Thurrell. Bei den Benutzerrechten handelte es sich um etwas, das von der Personalabteilung betreut wurde. Aber das führte zu relativ groben Zutrittskontrollen – wo jeder in HR hatte Zugriff auf alle Pay-Datensätze oder Gesundheitsakten, zum Beispiel.

Der Ansatz, den wir ergreifen, ist der Ansatz der geringsten Privilegien, wo es nicht wirklich wichtig, was die eigentliche Rolle ist “, sagte er.” Wir wissen nur, was ist annehmbar organisatorisch, um sicherzustellen, dass wir das Gesamtrisiko zu reduzieren Eine bestimmte Anwendung.

Thurrell sagte, dass Veränderung in Ansatz wird in der Struktur der IT-Organisationen gespiegelt.

Historisch gesehen, IT-OPS verwendet, um die Verwaltung von Privilegien und wer Zugriff auf mein System oder meine Anwendung hat, und die Security-Jungs kümmerte sich um die Schwachstellenverwaltung, das Scannen, das Patchen, und so weiter. Diese Teams – das sehen wir in großen Banken, in Regierungsorganisationen rund um den Globus – werden jetzt zusammengebracht, so dass Sicherheit und Handlungsabläufe Hand in Hand behandelt werden.

Laut BeyondTrusts regionaler Vertriebsdirektor für APAC Eddie Stefanescu, da die hochkarätigen Daten im Jahr 2013 verletzt wurden, wurde in der Region Asien-Pazifik ein besseres Verständnis der Korrelation zwischen Privileg und Vulnerabilität – wo ein Hacker hereinkommt, Bekommt ein privilegiertes Konto und bewegt sich seitwärts durch das Netzwerk.

“Privilege ist nur eine weitere Schwachstelle, also bringen wir die beiden zusammen, also kommt ein Hacker ins Spiel, sie sind ein Standardbenutzer, was werden sie tun?” “Wechseln Sie die Uhr, ich wünsche ihnen viel Glück”, sagte Stefanescu sagte.

Allerdings gibt es einen langen Weg zu gehen. “Wir sind noch zu Fuß in Organisationen, die ihre Passwort-Management-Strategie über Excel und Stücke Papier laufen”, sagte er.

Letztendlich geht es darum, Checklisten zu erstellen, die den individuellen Bedürfnissen der Organisation entsprechen, so Dr. Nataraj (Raj) Nagaratnam, Chief Technology Officer für IBM Security Solutions.

“Ich bin mir nicht sicher, ob ich verallgemeinern kann, dass [spezifische] Checklisten für jeden Kunden gelten”, sagte Nagaratnam auf der Website. Organisationen müssen den Kontext ihrer Branche und ihre individuelle Risikobereitschaft berücksichtigen.

“Es ist für dieses Unternehmen, um den Anruf zu machen, und dann herauszufinden, was zu tun ist”, sagte er.

Zunehmend sehen Nagaratnam Organisationen, die ihre eigenen Checklisten für spezifische Umstände produzieren, wie Auflistung der hochprioren, nicht verhandelbaren Sicherheitskontrollen für bewegende Anwendungen in die Wolke.

Aber nach Websense’s Eric Stevens, gibt es immer das Risiko, dass mehr Compliance-basierte Organisationen sehen die Listen als ein Ende in sich.

“Wenn wir jagen Compliance als primäre Treiber, ist es immer die einfachste, um das Geld für. Aber die clevere CISO wird immer herausfinden, wie zu nehmen, dass zu verbringen, und wenden Sie es auf ihre allgemeine Sicherheitsprogramm zuerst beim Treffen der Compliance-Ziele “, sagte er.

Stevens sagte, er sei in vielen Unternehmen, die sagten, dass sie mit mehreren Standards konform waren – aber es gibt noch ein Problem. “Ich sehe es an, und es gibt diesen großen riesigen Raum der Unsicherheit, dass ich einen LKW durchfahren könnte”, sagte er.

Dennoch ist es klar, dass ein prioritärer Ansatz wie die ASD Top 4 wird die Art und Weise die Dinge getan werden, nach Thurrell.

“Wir arbeiten mit DoD zusammen, arbeiten mit dem Verteidigungsministerium im Vereinigten Königreich und verschiedenen Verteidigungsministerien im Nahen Osten zusammen”, sagte Thurrell, sowie mit Agenturen in Kanada und Neuseeland zusammen.

Während sie es nicht in der gleichen Weise wie die ASD geschrieben haben, gibt es einen wirklichen Push in Richtung zu einem gemeinsamen Satz von Standards wie diesem.

White House ernennt ersten Bundesleiter für Informationssicherheit

Pentagon kritisiert für Cyber-Notfall-Reaktion durch die Regierung Watchdog

Chrome startet die Kennzeichnung von HTTP-Verbindungen als nicht sicher

Das Hyperledger-Projekt wächst wie gangbusters