Kosten der Komplexität in der Sicherheit

Definition:

• Der Zustand oder die Eigenschaft, kompliziert oder kompliziert zu sein 
• Ein Faktor, der an einem komplizierten Prozess oder einer Situation beteiligt ist 

Wenn diese Definition wie ein Tag in Ihrem Leben klingt, an dem Sie im Sicherheitsbereich arbeiten, lesen Sie weiter. Als Sicherheitsexperten verstehen wir diese Definition von Komplexität bereits, denn wir sind mit ihrer Bedeutung bestens vertraut. Von Schwachstellen und Bedrohungen bis hin zu Richtlinien, Warnmeldungen, Sicherheits-Ökosystemen und den Produkten selbst - jede Facette der Sicherheitsbranche ist heute kompliziert. 

Einige würden argumentieren, dass Komplexität für Insider-Bedrohungsprogramme notwendig ist und dass es die Komplexität der miteinander verbundenen Elemente, die Nuancen und die damit verbundenen menschlichen Prozesse sind, die sie effektiv machen. Es stimmt zwar, dass die ausgereiftesten Programme für Insider-Bedrohungen tatsächlich Sicherheit und Risiko auf höchstem Niveau kombinieren, was sie unglaublich komplex macht, aber die Mehrheit der Unternehmen verfügt heute nicht über eine Lösung für die Erkennung, Untersuchung und Reaktion auf von Insidern verursachte Datenrisiken. Mimecast Incydr kann die Grundlage liefern, die es tatsächlich einfach macht, dieses Risiko zu reduzieren.

Wo die Komplexität beginnt

Die technische Komplexität ist die größte Herausforderung für die Sicherheitsteams. Gerade die Tools, die dazu beitragen sollen, Insider-Bedrohungsprogramme effektiver zu machen, führen zu Problemen, die das Insider-Bedrohungsteam schwächen und seine Effektivität beeinträchtigen. Es gibt zwar Sicherheitsteams, die erfolgreich durch komplexe, komplizierte Systeme navigieren können, aber oft versagen komplexe Systeme einfach. Hier kann eine einfache, auf den Anwendungsfall ausgerichtete Lösung wie Incydr das Risiko verringern.

Die Erfolgsgeschichte 

Unter bestimmten Umständen kann Komplexität zum Erfolg eines Sicherheitsteams und insbesondere eines Programms gegen Insider-Bedrohungenführen. In diesen Fällen liegt der Erfolg in der Konzentration auf Metriken, ROI und der Fähigkeit, die Effektivität eines Sicherheitsprogramms sowohl in Bezug auf die Risikominderung als auch auf die Betriebskosten zu messen. Es muss ein durchdachter und zielgerichteter Ansatz verfolgt werden, bei dem klar definierte, objektive Metriken verwendet werden, um die Effektivität der ausgegebenen Gelder zu berechnen und so sicherzustellen, dass die Kosten der Programmkomplexität niemals den Nutzen übersteigen. Dies ist eine wichtige Überlegung sowohl in Bezug auf die technischen Kosten als auch auf die Personal- und Prozesskosten.

Unternehmen sollten sicherstellen, dass sie über eine objektive Methode zur Erfolgsmessung verfügen, auf die sich die Führungsebene und die relevanten Interessengruppen geeinigt haben. Dies beseitigt jede zukünftige Unklarheit über den "Wert" Ihres Programms für Insider-Bedrohungen. Zu den wichtigsten Kennzahlen, auf die sich erfolgreiche Sicherheitsteams in der Regel verlassen, um die Risikominderung von Programmen gegen Insider-Bedrohungen zu messen, gehören:

• Wie viele Benachrichtigungen erhalten wir? 
• Wie viele Warnungen rechtfertigen tatsächlich eine Untersuchung?
• Wie viele Untersuchungen führten zu einer Verringerung des tatsächlichen Risikos? 
• Wie viele Warnungen und Untersuchungen waren falsch positiv? 
• Haben wir uns im Laufe der Zeit verbessert? 

Um genau messen zu können, ist es wichtig, dass Unternehmen zunächst ihre aktuellen Datenrisiken kennen. Ohne zu wissen, welche Schwachstellen Sie haben und welche Bedrohungen am weitesten verbreitet sind, können Sie nicht wissen, ob neue Tools oder Prozesse Ihnen helfen werden, die Situation zu verbessern. Ein Produkt wie Incydr kann Ihnen bei der Risikobewertunghelfen und die Untersuchung von Insider-Bedrohungen beschleunigen und vereinfachen. Die von Incydr aufgedeckten Datenrisiken geben den Sicherheitsteams den nötigen Einblick, um angemessen zu reagieren. Wenn es um die Reaktion auf Insider-Bedrohungen geht, ist dies oft eher eine menschliche Reaktion als eine technische Kontrolle. Kombinieren Sie die Reaktion mit der Analyse der verfügbaren Erkenntnisse über das Datenrisiko, und Sie haben die entscheidenden Komponenten für den Erfolg eines Insider-Bedrohungsprogramms.

Unternehmen, die mit der Verwaltung komplexer Sicherheitsstapel erfolgreich sind, neigen dazu, bestimmte Gruppen mit der Verwaltung von DLP, CASB und ihrem Programm für Insider-Bedrohungen zu betrauen. Dieser Ansatz kann effektiv sein, weil er es den einzelnen Personen ermöglicht, sich zu spezialisieren. So muss nicht dieselbe Person, die die Regeln in DLP schreibt, auch CASB und UEBA verwalten oder Untersuchungen durchführen. Diese diversifizierte Struktur verringert die Komplexität der Aufgaben der einzelnen Mitarbeiter. Die Herausforderung besteht für Unternehmen, die nicht über ein großes Budget oder ein Sicherheitsteam verfügen - die Liste der Rollen und Verantwortlichkeiten liest sich wie ein Kassenbon. Wenn Sie nicht den Luxus haben, die Komplexität von Rollen und Verantwortlichkeiten zu beseitigen, dann suchen Sie nach Tools, die das für Sie erledigen. Mit den mehr als 250 Risikoindikatoren von Incydr können Sie das Rauschen ausblenden, das unbeabsichtigt durch die Zusammenarbeit von Mitarbeitern verursacht wird, um ihre Arbeit zu erledigen, und sich stattdessen auf wirklich risikoreiche Situationen konzentrieren, wie z.B. ausscheidende Mitarbeiter und Mitarbeiter mit hohem Risiko.

Das abschreckende Märchen

Die meisten Unternehmen, die über robuste Sicherheitstools verfügen oder deren Einführung in Erwägung ziehen, verfügen nicht über ein ausreichend großes Sicherheitsteam für individuelle und spezialisierte Aufgaben in allen Sicherheitsbereichen. Vielmehr tragen die meisten Sicherheitsexperten mehrere Hüte, haben eine nicht enden wollende Aufgabenliste und realistischerweise zu viele Verantwortlichkeiten, als dass eine Person sie bewältigen könnte. 

Allzu oft konzentrieren sich Führungskräfte auf Tools, Lösungen mit Akronymen als Namen und bestimmte Technologiekategorien, nur um ein Kästchen anzukreuzen oder auf eine schlecht definierte Vorschrift zu reagieren. Die Cybersicherheitsbranche hat trotz all ihrer Vorteile ein Marketingproblem. Allzu oft sehen wir Tools, die als Allheilmittel für den Datenschutz vermarktet werden: "Setzen Sie dieses Tool auf jedem Endpunkt ein und verhindern Sie, dass alle Ihre Daten Ihr Unternehmen verlassen!" Jeder, der schon einmal versucht hat, umfassende Datenschutzmaßnahmen zu implementieren, weiß, wie schmerzhaft diese Argumentation ist. Einsatz ist nicht gleich Schutz. Diese Vorstellung von Schutz ist der Grund für das Scheitern von DLP-Initiativen. Die ohnehin schon knapp bemessenen Sicherheitsteams müssen sich durch unnötige Schichten von Komplexität wühlen, während sie versuchen, das Beste aus den Investitionen ihres Unternehmens herauszuholen.

Um dies zu vermeiden, sollten Sie eine Datenschutzlösung implementieren, die Ihnen einen Überblick über alle Ihre Datenrisiken verschafft (oder testen Sie sie vor dem Kauf mit dem 4-wöchigen Proof of Value von Incydr). So erhalten Sie einen grundlegenden Überblick über die Schwachstellen Ihres Unternehmens und die Bedrohungen durch Insider. Sobald Sie diese Grundlage haben, um Ihre Risikolage zu bewerten, sind Sie in einer vorteilhaften Position, um Ihre Daten auf einfache Weise vor Insider-Bedrohungen zu schützen.

Die Kosten der Komplexität

Das Gegenteil des Paradoxons des leichten Weges ist der schwere Weg. Der harte Weg ist aufgrund von zwei Faktoren mit hohen Kosten und Komplexität verbunden: 

1. Zeit

• Die meisten Tools, die traditionell zur Abwehr von Insider-Bedrohungen eingesetzt werden, sind aus Sicht der Wartung sehr zeitaufwändig. Wartung der Infrastruktur, Aktualisierung der Agenten, Sicherstellung, dass die Agenten keine Konflikte auf den Endpunkten verursachen. Das alles erfordert Zeit und Mühe. Je mehr Tools ein Unternehmen hat, desto mehr Zeit muss das Sicherheitsteam aufwenden, um sie funktionsfähig zu halten. Wir alle kennen die Geschichten von Teams, die ständig ihre Ressourcen vergeuden, nur um Tools zu bekommen, die keinen Schaden anrichten, was Sie daran hindert, die Tools für den vorgesehenen Zweck zu nutzen. 
• TIPP: Vermeiden Sie dies, indem Sie zuerst an die Cloud denken. Dadurch verringert sich der Zeitaufwand für die Verwaltung der Infrastruktur, und Sie verfügen über die neuesten Sicherheitsupdates und Produktfunktionen ohne Wartungsaufwand. Eine Cloud-first-Lösung wie Incydr kann innerhalb von Tagen statt Monaten implementiert werden. Dadurch wird sichergestellt, dass Ihr Team mit der Erkennung, Untersuchung und Reaktion auf Insider-Bedrohungen beginnen kann, sobald die Endpunkt-Agenten bereitgestellt werden. 

2. Fachwissen

• Dieselben Tools erfordern auch ausgefeilte Regelwerke oder Programmierungen, die eine Menge Rauschen erzeugen. Das Konzept der Alarmmüdigkeit ist ein großes Problem und in der Sicherheitsbranche gut dokumentiert. Was nicht bekannt ist, ist, wie man das Problem beheben kann. Es ist sicherlich möglich, die Alarme manuell abzustimmen, bis sie eine hohe Wiedergabetreue aufweisen, aber das erfordert Geschick und Monate (oder sogar ein Jahr), um sie zu perfektionieren. 
• TIPP: Wählen Sie ein Werkzeug, das zu Beginn nicht zu laut ist. Incydr geht anders an die Datensicherheit heran als klassifizierungs- und richtlinienbasierte Produkte. Durch die Überwachung aller Dateiaktivitäten und deren Korrelation mit aussagekräftigen Risikoindikatoren (z. B. Exfiltrationsaktivitäten mit Dateien, bei denen die Erweiterung und der Inhalt nicht übereinstimmen) kann Incydr Risiken für Daten genauer erkennen und priorisieren.

Jedes Produkt hat Gesamtbetriebskosten, die sich aus drei Faktoren zusammensetzen: den Kosten für das Produkt selbst, der zu seiner Unterstützung erforderlichen Infrastruktur und den Kosten für die Mitarbeiter und ihre Prozesse, die zur Verwaltung des Produkts erforderlich sind. Die Kosten der Komplexität kommen ins Spiel, wenn es um die Personalkosten geht. Sicherheitsexpertise ist kostspielig, und der Aufbau eines großen Teams von talentierten, erfahrenen Sicherheitsexperten ist mit hohen Kosten verbunden. Schließlich ist die Sicherheit eine Kostenstelle. Wenn Ihr Sicherheitsteam kleiner ist, sparen Sie vielleicht bei den Gehaltskosten, aber Sie haben am Ende ein kleines, aber mächtiges Team von überarbeiteten und überforderten Sicherheitskriegern. Wenn Sicherheitsteams nicht über die Bandbreite oder das Fachwissen verfügen, um die Sicherheitstools in ihrem Arsenal effektiv zu verwalten, werden ihre Produkte mit großer Wahrscheinlichkeit zu Ladenhütern.

Letzten Endes geht es bei diesen Entscheidungen um Opportunitätskosten. Wenn Sie in hochpreisige Sicherheitsgehälter investieren (ganz zu schweigen von den Kosten für Sicherheitsprodukte und die unterstützende Infrastruktur), müssen Sie sorgfältig abwägen, ob Sie den gleichen Nutzen aus dem Produkt ziehen. Wenn Ihr teures, hochqualifiziertes Sicherheitsteam den ganzen Tag damit verbringt, Ermittlungen durchzuführen und Insider-Bedrohungen zu entschärfen, dann sind Sie wahrscheinlich auf dem richtigen Weg. Wenn dieses hochqualifizierte Team jedoch seine Zeit damit verbringt, einen defekten Endpunkt-Agenten zu reparieren, sich durch ein Labyrinth von Konfigurationsproblemen zu kämpfen oder sich mit schlechten Benutzeroberflächen und Berichten herumzuschlagen, dann überwiegen die Kosten für die Wartung des Produkts die Vorteile. Es ist an der Zeit, die Komplexität loszulassen, die nicht zum Erfolg führt, und einen einfacheren Ansatz zu wählen.