Unternehmen mischen Cybersecurity-Frameworks und passen sie an
Sicherheitsexperten passen Sicherheits-Frameworks an ihre individuellen Bedürfnisse an, um Systeme zu sichern, Risiken zu bewerten, Werte zu kommunizieren und Angreifer zu vereiteln.
Wichtige Punkte
- Cybersecurity-Rahmenwerke definieren Richtlinien und Verfahren zur Verhinderung, Bewertung und Verwaltung von Cyberrisiken.
- Die meisten Rahmenwerke für Cybersicherheit lassen sich in eine von vier Kategorien einordnen und konzentrieren sich entweder auf Programme, Kontrollen, Risiken oder Gegner.
- Die Wahl des richtigen Cybersicherheits-Frameworks hängt von mehreren Faktoren ab, darunter Unternehmensgröße, Branche, gesetzliche Vorschriften und Geschäftsziele.
- Einige Rahmenwerke (oder Aspekte davon) sind für einige Stakeholder besser geeignet als für andere, so dass viele Organisationen eine Kombination verwenden werden.
Zu wissen, wie man die Mitarbeiter, die Kommunikation und die Daten eines Unternehmens am besten schützt, ist die entscheidende Herausforderung für den heutigen Beruf des Cybersicherheitsexperten. Hier kommen die Rahmenbedingungen für die Cybersicherheit ins Spiel.
Im Wesentlichen bringen diese Rahmenwerke eine Perspektive in die überwältigende Vielfalt, den Umfang und die Raffinesse der heutigen Cyberbedrohungen - wie im Bericht "State of Email Security 2022" von Mimecast festgehalten. Sie bieten klare Richtlinien und Methoden für Unternehmen, um Vorfälle zu verhindern, zu verwalten und zu beheben. In der Praxis können Cybersicherheitsrahmen bewährte Verfahren zur Sicherung von Systemen unterstützen, Kunden und Partnern die Bereitschaft zur Cybersicherheit bestätigen und sogar die Geschäftsleitung davon überzeugen, Sicherheitsanforderungen angemessen zu finanzieren.
Es gibt mehrere vertrauenswürdige und bewährte Frameworks, von denen die meisten kostenlos sind. Die Wahl der richtigen Lösung - oder der richtigen Lösungen - hängt von Faktoren wie Unternehmensgröße, Unternehmensreife, Branche, gesetzlichen Vorgaben und allgemeinen Geschäftszielen ab.
Darüber hinaus sind verschiedene Cybersicherheitsrahmen für unterschiedliche Funktionen oder Zwecke innerhalb des Unternehmens sinnvoll. Ein Sicherheitsteam kann sich beispielsweise für ein bestimmtes Framework entscheiden, weil es detaillierte Informationen darüber liefert, wie Angriffe verhindert werden können, während die Unternehmensleitung ein Framework zu schätzen weiß, das eine übergeordnete Sicht auf sicherheitsbezogene Geschäftsrisiken bietet. In zunehmendem Maße mischen Organisationen Rahmenwerke, um die richtigen Inputs und Outputs zu erhalten, die den Bedürfnissen aller Beteiligten entsprechen.
Die vier Arten von Rahmenwerken
Es gibt vier Hauptvarianten von Cybersicherheitsrahmen. Die Kenntnis der Vorteile der einzelnen Arten kann Führungskräften dabei helfen, die beste Wahl oder Kombination von Optionen für die Bedürfnisse ihres Unternehmens zu finden.
Programm-orientierte Rahmenwerke
Ein programmorientierter Rahmen soll Unternehmen dabei helfen, ein umfassendes Sicherheitsprogramm zu erstellen, das die Cybersicherheit auf einer detaillierten Ebene behandelt. Das NIST Cybersecurity Framework (CSF), das Cybersecurity-Risiken als Teil des gesamten Risikomanagementprozesses der Organisation betrachtet, ist ein Paradebeispiel für ein programmorientiertes Framework.[1] Das Framework deckt das gesamte Spektrum ab, ist aber im Kern darauf ausgerichtet, Sicherheitsteams bei der Identifizierung, dem Schutz, der Erkennung, der Reaktion und der Wiederherstellung von Cybersicherheitsproblemen zu unterstützen. Es bietet eine Reihe von Methoden zur Verbesserung von Programmen, zum Benchmarking nach Branche oder Unternehmen und zur Kommunikation über die Wirksamkeit von Programmen.
Programmorientierte Frameworks wie das von NIST sind in der Regel sehr umfangreich, so dass Unternehmen die Aspekte auswählen müssen, die sie einbeziehen wollen, wobei die geschäftlichen Anforderungen und Ziele die Prioritäten bestimmen. Das NIST selbst weist darauf hin, dass das CSF kein einheitliches Rahmenwerk ist und dass die Einhaltung des Rahmenwerks für verschiedene Personen unterschiedliche Bedeutungen haben kann. Relevante Interessengruppen aus Wirtschaft, Technik und Compliance können gemeinsam festlegen, welche Elemente des CSF ihren Bedürfnissen entsprechen.
Kontrollbasierte Rahmenwerke
Kontrollbasierte Rahmenwerke sind ebenfalls langwierig, aber sehr spezifisch. Diese Art von Rahmenwerk konzentriert sich auf die Schutzmaßnahmen, die Organisationen zur Verringerung der technischen Risiken ergreifen. Die NIST-Publikationsbibliothek zum CSF umfasst kontrollspezifische Rahmenwerke mit Basismaßnahmen für Organisationen, die ihre eigenen Anforderungen mit geringer, mittlerer und hoher Auswirkung anpassen können.[2] Das ISO/IEC 27001 Information Security Management Framework der International Standards Organization legt ebenfalls Kontrollmaßnahmen fest,[3] und die CIS Critical Security Controls des Center for Internet Security verfolgen einen Ansatz, der sich an bewährten Verfahren orientiert.[4]
Der Abgleich der Kontrollen eines Rahmenwerks mit dem, was die Technologie einer Organisation kann und was nicht, hilft bei der Entscheidung, ob Richtlinien, Verfahren und Systeme aktualisiert werden müssen und/oder welche neue Technologie hinzukommen soll.
Risikobasierte Rahmenwerke
Risikobasierte Rahmenwerke helfen Organisationen, Risiken zu quantifizieren, um sie besser zu verstehen, darüber zu kommunizieren und sie zu mindern. Der FAIR-Rahmen (Factor Analysis of Information Risk) ist ein gutes Beispiel dafür. FAIR geht über den typischen Rahmen für die Risikoanalyse hinaus (Betrachtung nur der Wahrscheinlichkeit und der Auswirkungen) und hilft Organisationen, Risiken besser zu verstehen, zu messen und zu analysieren.
Risikobasierte Rahmenwerke wie FAIR ermöglichen es den Sicherheitsteams, den Vorständen und der Geschäftsleitung die Risiken im Kontext des Unternehmens darzulegen: Wie hoch ist die Häufigkeit dieses Risikos? Wie oft kommt es zu derartigen Angriffen? Wie groß ist die Wahrscheinlichkeit, dass diese Angriffe erfolgreich sind? Wie können wir uns gegen diese Angriffe wehren? Sie stellen die Verbindung zwischen dem Informationssicherheitsrisiko und dem operationellen Risiko her. Durch die Betrachtung der Häufigkeit und der Auswirkungen tatsächlicher oder vorhergesagter Schadensereignisse ermöglichen risikobasierte Rahmenwerke den Führungskräften, differenziertere Entscheidungen zu treffen.
Dies ist wichtig, da Cyberangriffe enorme finanzielle Risiken mit sich bringen. Doch anstatt alles abzusperren, um diese Risiken zu vermeiden, müssen Sicherheitsverantwortliche herausfinden, wie sie weiterhin effektiv arbeiten können, während sie gerade genug Druck auf die Sicherheitsbremse ausüben. Risikobasierte Cybersicherheitsbewertungen können Unternehmen dabei helfen, dieses empfindliche Gleichgewicht zu finden.
Rahmenwerke auf der Basis von Gegenspielern
Auf Angreifern basierende Systeme können eine entscheidende Rolle bei der Bekämpfung von Cyberangreifern spielen. Diese Frameworks bieten einen Einblick in die aktuellen Angriffstaktiken und -techniken, die in der realen Welt eingesetzt werden, und helfen den Sicherheitsteams bei der Einschätzung, was passieren könnte, wenn Angreifer Zugang zu ihren Systemen erhalten. Auf Angreifern basierende Frameworks helfen Sicherheitsteams im Wesentlichen dabei, während des gesamten Lebenszyklus eines Angriffs wie die Bösewichte zu denken.
Ein häufig verwendetes, auf Gegnern basierendes Framework ist das MITRE ATT&CK Framework.[5]Verfügbar Für Behörden, Bildungseinrichtungen und Unternehmen bietet dieses Framework Informationen über Angriffsphasen und -sequenzen, damit Organisationen ihre Defense-in-Depth-Technologie möglichst effektiv ausrichten und das Verhalten von Angreifern so früh wie möglich in einer Angriffssequenz erkennen können.
Das MITRE ATT&CK und andere auf Angreifern basierende Frameworks, wie das Cyber Kill Chain Framework von Lockheed Martin, analysieren die Lebenszyklen von Cyberangriffen von der Aufklärung bis zum ersten Zugriff - bis hin zur Exfiltration und den Auswirkungen. Die Rahmenwerke enthalten die spezifischen Techniken, die Angreifer in jeder Phase einsetzen, sowie Empfehlungen, wie sie abgewehrt werden können. Mit diesen Erkenntnissen können Sicherheitsteams die von ihren Überwachungstools und anderen Sicherheitssystemen generierten Datenmengen effektiver nutzen, um Angreifer zu stoppen, bevor sie Schaden anrichten.
Die Quintessenz
Unternehmen nutzen verschiedene Cybersecurity-Frameworks, um sich einen Überblick über die wachsende und sich verändernde Palette von Cyberangriffen zu verschaffen und sich besser verteidigen zu können. Zunehmend mischen Unternehmen Aspekte der vier Hauptkategorien - programmorientiert, kontrollbasiert, risikofokussiert und gegnerbasiert - und passen sie an ihre individuellen Bedürfnisse an.
[1] "NIST Cybersecurity Framework," National Institute of Standards and Technology
[2] "NIST Risk Management Framework Publications," National Institute of Standards and Technology
[3] "ISO 27001 ISO/IEC 27001," Internationale Organisation für Normung
[4] "CIS Critical Security Controls," Center for Internet Security
[5] "MITRE ATTACK&CK," MITRE
Abonnieren Sie Cyber Resilience Insights für weitere Artikel wie diesen
Erhalten Sie die neuesten Nachrichten und Analysen aus der Cybersicherheitsbranche direkt in Ihren Posteingang
Anmeldung erfolgreich
Vielen Dank, dass Sie sich für den Erhalt von Updates aus unserem Blog angemeldet haben
Wir bleiben in Kontakt!