Bewährte Verfahren zur Bedrohungsanalyse für schlanke IT-Organisationen: Teil 2

Anmerkung des Herausgebers: Für Cybersicherheitsexperten bedeutet Threat Intelligence nicht nur, dass sie auf Kompromissindikatoren reagieren müssen, nachdem sie sich bereits auf ein Unternehmen ausgewirkt haben.

In einem kürzlichen Gespräch mit Terry Sweeney, Redakteur bei Black Hat, im Rahmen der Executive Interview Series, erläuterte Josh Douglas, VP of Threat Intelligence bei Mimecast, dass echte Bedrohungsdaten einen ganzheitlichen, integrierten Ansatz erfordern, der neben technologischen Verbesserungen auch kulturelle Veränderungen im Unternehmen umfasst.

Was folgt, ist eine bearbeitete Abschrift eines Teils der Diskussion. Hier ist Teil 1 der Diskussion . Sie können die gesamte Diskussion hier ansehen.

F: Sie haben die Kultur erwähnt. Wie jeder Sicherheitsexperte weiß, ist diese notorisch schwer zu ändern, aber dennoch ist sie ein wesentlicher Bestandteil der Verbesserung der gesamten IT- und Sicherheitslage eines Unternehmens. Welche Arten von kulturellen Veränderungen und Schulungen sind hier wichtig, um sie zu initiieren und zu fördern?

A: Ich denke, es gibt zwei Möglichkeiten, dies zu betrachten. Die eine ist die Strategie, die man verfolgt, je nachdem, was man damit erreichen will, und die andere ist der taktische Aspekt, den man angeht. Lassen Sie uns zuerst über den taktischen Aspekt sprechen. Oftmals versuchen wir, die Leute mit der Peitsche zur Unterwerfung zu zwingen, obwohl wir eigentlich das Zuckerbrot verwenden sollten. Damit meine ich, dass man die Menschen auf die richtige Art und Weise ansprechen muss, und das führt zu den strategischen Gesprächen.

Bei Mimecast denken wir, dass dieses Engagement der Kultur drei Dinge umfasst: Engagement, Wissen und Gefühle. Grundsätzlich ist Awareness-Schulung heute nicht mehr gefragt, weil die Leute sich nicht engagieren wollen. Wenn wir als Sicherheitsexperten den Knüppel schwingen, binden wir oft auch die Benutzer nicht mit ein. Wir müssen also einen guten Weg finden, sei es durch Humor oder einen anderen Aspekt, um die Mitarbeiter zu engagieren.

Sobald sie sich engagieren, wird das Wissen in der Regel zunehmen. Und wenn das Wissen zunimmt, wird auch die Stimmung besser, was letztendlich menschliche Fehler reduziert. Das ist etwas, das wir bei vielen unserer Kunden beobachtet haben, und es funktioniert absolut. Die Mitarbeiter engagieren sich dann mehr und werden zu einer Erweiterung des Sicherheitsteams. Es ist ein spannender Mechanismus, um die Dynamik der Kultur zu verändern.

F: Das scheint mit einem anderen Strategiewechsel zusammenzuhängen, den Sie befürwortet haben: Sicherheitsteams sollen versuchen, die Absichten von Eindringlingen zu erkennen. Wie funktioniert das genau und wie verändert das die Diskussion über die Sicherheitsstrategie?

A: Als Sicherheitsexperten sind wir oft sehr auf Sicherheit, Sicherheit, Sicherheit konzentriert. Wir denken nicht über die geschäftlichen Aspekte nach, die auf der Hand liegen. Wir versetzen uns nicht in die Lage der Leute, mit denen wir arbeiten, geschweige denn in die des Gegners, der es auf die Leute abgesehen hat, mit denen wir geschäftlich zusammenarbeiten.

Wir konzentrieren uns also oft mehr auf die Zuordnung, wenn wir über Bedrohungen nachdenken, aber für die meisten Unternehmen ist das nicht zielführend. Sie können diese Personen nicht anklagen. Sie werden nicht in der Lage sein, Maßnahmen gegen sie zu ergreifen, um sie zu stoppen. Was sie tun können, ist, die Wahrscheinlichkeit zu verringern, dass sie ins Visier genommen werden, indem sie verstehen, worauf sie aus sind.

Wenn ich ein Hersteller bin und irgendeine Art von Widget für ein Versorgungsunternehmen herstelle, bin ich höchstwahrscheinlich in diese Kette involviert , was bedeutet, dass es über mich hinausgeht. Das bedeutet, wenn man den Aspekt bedenkt, wer ist der nachgelagerte Empfänger dieses Angriffs? Es könnte das Energieversorgungsunternehmen sein. Wenn man anfängt, darüber nachzudenken, kann man eine Strategie entwickeln, die darauf basiert: "Was sind die wichtigsten Datenelemente in meinem Unternehmen? Wie bewahre ich sie auf? Wie kann ich business continuity für den Fall, dass etwas schief geht, so dass die grundlegende Leistung, die ich erbringe, nicht nur mich, sondern auch meine Kunden nicht beeinträchtigt?"

F: Es klingt, als wollten Sie, dass die Kunden besser verstehen, wie hoch ihr Risiko für Angriffe ist und was sie als Ziel attraktiv macht. Was tun sie dann, wenn sie diese Fragen besser im Griff haben?

A: Sie können diesen Fahrplan - den strategischen Plan - erstellen, um einige dieser Lücken zu schließen . Es wird sich nicht alles morgen ändern. Jeder Sicherheitsexperte, der am ersten Tag in das Unternehmen gekommen ist, kann Ihnen sagen, dass die Operationalisierung der Sicherheit nicht von heute auf morgen erfolgt. Zugegeben, wenn man einen Partner hat, der eine Art Plattform bereitstellen kann, wie es Mimecast heute tut, wird einiges davon verkürzt, [z. B.] die taktischen Dinge rund um Bedrohungsdaten , die Fähigkeit, Malware zu stoppen - sie geschehen viel schneller.

Auf diese Weise können Sie sich auf die wichtigsten Dinge innerhalb Ihres Unternehmens konzentrieren. "Soll ich die Mitarbeiter schulen, damit sie sich dieser Sicherheitsprobleme stärker bewusst werden? Sollte ich mich darum bemühen, Patches auf diese Systeme in meiner Umgebung aufzuspielen, weil sie für einen Angreifer ein wertvolles Ziel darstellen? Sollte ich ein bestimmtes Engagement-Modell haben oder sogar einem ISAC für die Energie- oder Versorgungsbranche beitreten - oder was auch immer es sein mag?"

Wenn ich weiter denke, habe ich jetzt einen Fahrplan, nach dem ich vorgehen und die Lücke schließen kann. Sie werden sehen - und ich habe es selbst erlebt -, wenn Sie die Lücke zum Gegner schließen, werden die Angriffe zurückgehen und er wird sich auf ein leichteres Ziel konzentrieren. Letztlich ist das das Ziel, das Sie verfolgen müssen, nämlich wie Sie es ihnen schwerer machen, Sie anzugreifen.