Über den Autor Marco Rottigni ist EMEA Security Technical Manager für Qualys, die Cloud-Plattform für IT, Sicherheit und Compliance aller IT-Ressourcen eines Unternehmens. IT-Sicherheitsteams verfügen über mehr Informationen als je zuvor. Allerdings trägt die Datenmenge nicht zur Lösung der Probleme bei. Wie können Sie dieses Problem vermeiden und Ihre Teams auf die obersten Prioritäten konzentrieren? Die Antworten basieren auf einer besseren Datenkonsolidierung, Priorisierung und Prozessen.
Daten, Daten überall, aber aufhören zu denken?
Zunächst ist es wichtig, die verfügbaren Informationsquellen zu überprüfen, die Ihnen IT-Daten, Sicherheit und Compliance liefern. IT-Teams mit besser etablierten Prozessen verlassen sich auf ITAM-Systeme oder Configuration Management Databases (CMDBs), während weniger formale Ansätze eine Datenfragmentierung über mehrere Domänen hinweg ermöglichen. Tabellenkalkulationen und proprietäre Datenbanken. Compliance-Daten werden hauptsächlich in Tabellenkalkulationen oder Dokumenten gespeichert, manchmal von Wirtschaftsprüfungs- oder Beratungsunternehmen. Einige Unternehmen verwenden spezielle Software, um die Einhaltung von Vorschriften zu überwachen und Kontrollen durchzuführen. Doch wenn die Teams nicht miteinander kommunizieren, bleibt es oft still. Weitere zu berücksichtigende Probleme sind: Haben Sie zu viele überlappende Schriftarten? Können Sie diese Datensätze konsolidieren, um dies zu vereinfachen, indem Sie entweder die Anzahl der vorhandenen Tools reduzieren oder die Daten an einem Ort konsolidieren? Wenn Sie planen, mehrere Datenquellen miteinander zu synchronisieren, ist es wichtig sicherzustellen, dass dies zuverlässig und konsistent geschieht. Wenn dies schwierig ist oder Sie auf manuelle Arbeit angewiesen sind, um schnelle, konsistente Ergebnisse zu erzielen, ist es möglicherweise praktischer und präziser, Ihre Werkzeuge und Produkte dort zu konsolidieren, wo Sie können. Dies kann die Ergebnisse vereinfachen und Ihnen helfen, sich zu konzentrieren.
Bildquelle: Shutterstock (Bild: © Shutterstock) Sobald Sie diese Datenquellen durchgesehen haben, ist es an der Zeit, darüber nachzudenken, wie Sie die Nutzung dieser Daten verbessern können. Anstatt einfach weitere Daten hinzuzufügen, müssen Sie den Kontext und die Genauigkeit Ihrer Daten prüfen. In diesem Fall bedeutet Kontext die Bereitstellung der richtigen Daten, gefiltert, um ein bestimmtes Ziel oder eine bestimmte Anforderung zu erfüllen; Accuracy bedeutet, aktuellere Informationen bereitzustellen, die auf aktuellen Ereignissen basieren und nicht auf dem Stand von vor einem Tag oder einer Woche. Durch die Verbesserung von Präzision und Kontext können Sie diese verschiedenen Datensätze anreichern. Hierzu ist es wichtig, Ihre Prozesse zur täglichen Verarbeitung und Nutzung dieser Daten zu überprüfen. Wie sieht beispielsweise Ihr Prozess zur Priorisierung und Reparatur gefährdeter Oberflächen heute aus? Ist es ein effektiver und effizienter Ansatz oder bedarf es einer stärkeren Aufsicht, um gute Ergebnisse zu erzielen? Alle Organisationen müssen sich aus einem einfachen Grund um Genauigkeit bemühen: Der Mangel an genauen Daten führt zu zu vielen Informationen, die untersucht werden müssen, bevor sie als unnötig definiert und eliminiert werden können. . Laut einer von IDC durchgeführten Studie „The State of Security Operations“ dauert die durchschnittliche Sicherheitsuntersuchung zwischen einer und vier Stunden pro Vorfall und umfasst zwei Mitglieder des SecOps-Teams. Angesichts des Mangels an qualifiziertem Sicherheitspersonal ist die betriebliche Effizienz der Hauptvorteil genauer Daten. Genaue Daten reduzieren die Anzahl der zu untersuchenden Ereignisse, stellen sicher, dass Ihr Team nur wichtige Ereignisse untersucht, und entlasten Ihre Fachkräfte für andere Aufgaben. Für mehr Genauigkeit und betriebliche Effizienz gibt es verschiedene Datenquellen, die gemeinsam genutzt werden können, von Cyber-Bedrohungsinformationen, um Ihre Gefährdung und Funktionsfähigkeit in Echtzeit zu verstehen, bis hin zu Datenverwaltungsdaten. IT-Assets, die Ihnen nahezu in Echtzeit mitteilen können, was installiert ist und welchen Status diese Assets haben. In Kombination können diese beiden Quellen Ihnen helfen zu verstehen, welche neuen Sicherheitsprobleme für Ihr Unternehmen gelten und wie schnell diese Probleme behoben werden müssen oder wann ein Problem möglicherweise eine andere Form der Schadensbegrenzung erfordert.
Anders denken
Bisher sollten Ihnen diese Überlegungen dabei helfen, einen praktischen Ansatz für die regelmäßige Verwaltung netzgekoppelter Anlagen zu finden. Das heutige Computersystem umfasst jedoch viele andere Geräte und Dienste, die häufig nicht in das Netzwerk eingebunden sind oder von anderen gehostet und verwaltet werden. Es spielt keine Rolle, ob diese Dienste von lokalen Organisationen oder von einem der großen öffentlichen Cloud-Anbieter wie Amazon oder Microsoft gemeinsam gehostet werden, es handelt sich hierbei um Assets und Anwendungen, die verwaltet werden müssen. Für jede externe Plattform, die Ihr Unternehmen betreibt oder nutzt, sollten Sie über die gleiche Datengranularität verfügen wie intern. Ebenso sollten diese Informationen zusammen mit Ihren internen Daten zentralisiert werden, damit Sie alles im Kontext sehen können, unabhängig von der beteiligten Plattform. Dies ist entscheidend, um umfassende Einblicke in die IT-Umgebung Ihres Unternehmens zu erhalten. Da immer mehr IT-Abteilungen in die Cloud migrieren, wird das Datenvolumen dank fortlaufender Schwachstellenprüfung, Änderungen an IT-Ressourcen und der schnellen Bereitstellung neuer Assets im Laufe der Zeit weiter zunehmen. . Wenn es darum geht, potenzielle Probleme zu erkennen, ist es schwierig, mit all diesen Informationen umgehen zu können. Es ist jedoch wichtig zu bestimmen, welche Elemente für das Unternehmen am wichtigsten sind. Um diese Menge an Informationen zu verwalten, müssen Sie herausfinden, welche Anwendungen oder Elemente für das Unternehmen von entscheidender Bedeutung sind, und sicherstellen, dass sie bei Änderungen oder Aktualisierungen konzentriert bleiben. Möglicherweise liegen auch Sicherheitsprobleme vor, die so schwerwiegend sind, dass sofortige Maßnahmen erforderlich sind. Durch die Auswahl dieser Aktualisierungen kann Ihr Team seine Bemühungen priorisieren. Dieser Datensatz sollte auch Warnungen für Bedingungen bereitstellen, die Sicherheitsrisikokriterien erfüllen, und auf bestimmte Probleme abgefragt werden können, sodass nicht reparierte IT-Assets automatisch an das Team gemeldet werden können. Die Zentralisierung von Daten unterstützt die Ziele vieler Teams. Letztendlich benötigen IT- und Asset-Management-Teams, IT-Sicherheitsabteilungen und Compliance-Experten alle die gleichen Informationen über die IT-Umgebung ihres Unternehmens. Was anders ist, ist ihre Perspektive und ihr Handeln. Betrachten wir beispielsweise eine virtuelle Cloud-Server-Instanz in einem AWS-Konto. Um diesen neuen Best Practices zu folgen, würden wir einen Agenten auf dem Gold-Image installieren, der ab dem Zeitpunkt der Erstellung eines neuen Server-Images mit der Datenerfassung beginnen würde. Für IT-Mitarbeiter liefert der Agent wertvolle Informationen über die genutzten Ressourcen. wo es geolokalisiert ist; wann zuletzt gestartet; welche Software darauf installiert ist; jegliche proprietäre oder Open-Source-Software, die Sie verwenden, sowie alle Informationen zum Ende der Lebensdauer dieser Software. Das Sicherheitsteam möchte jedoch die Daten des Agenten auswerten, um auf neue Schwachstellen hinzuweisen, Anzeichen einer Kompromittierung zu erkennen und herauszufinden, ob für die entdeckten Schwachstellen Schwachstellen verfügbar sind.
Bildnachweis: Shutterstock (Bild: © Wright Studio / Shutterstock) Das Compliance-Team möchte überprüfen, ob der Server den in einem anwendbaren Prüfrahmen enthaltenen Kontrollsätzen entspricht. Beispiele hierfür sind PCI DSS für Kreditkartendaten oder Daten, die unter die DSGVO-Richtlinien fallen. Wie wir gezeigt haben, können Sie all diesen Teams dabei helfen, mehr Konsistenz für alle beteiligten Prozesse zu erreichen, indem Sie eine zentrale „Quelle der Wahrheit“ auf Basis von IT-Asset-Daten schaffen und gleichzeitig den Aufwand für die Verarbeitung minimieren. und Datenweitergabe. Ebenso sind diese Daten für die Verwaltung anderer Stakeholder innerhalb des Unternehmens im Hinblick auf die Sicherheit sehr nützlich. Wenn seriöse Veröffentlichungen über aktuelle Sicherheitsverletzungen oder Hacks berichten, steigt die Zahl der Menschen, die sich für Sicherheit interessieren. Wenn Sie ihnen proaktiv Informationen zu diesen Problemen bereitstellen können, unabhängig davon, ob es sich um Probleme oder spezifische Daten zu Behebungsplänen handelt, können sich alle über die Sicherheitspläne Ihrer Website sicher sein. das Unternehmen. Selbst wenn Sicherheitsprobleme nicht dringend sind, kann es eine große Hilfe sein, herauszufinden, was behoben werden muss.