Über den Autor Marco Rottigni ist der EMEA Technical Security Manager für Qualys, die Cloud-Plattform für IT, Sicherheit und Compliance für alle IT-Ressourcen eines Unternehmens.
IT-Sicherheitsteams verfügen über mehr Informationen als je zuvor. Die Datenmenge hilft jedoch nicht, die Probleme zu lösen.
Wie können Sie dieses Problem vermeiden und Ihre Teams auf die obersten Prioritäten konzentrieren? Die Antworten basieren auf einer besseren Datenkonsolidierung, Priorisierung und Prozessen.
Daten, Daten überall, aber aufhören zu denken?
Zunächst ist es wichtig, die verfügbaren Informationsquellen zu überprüfen, die Ihnen Computerdaten, Sicherheit und Compliance bieten.
IT-Teams mit besser etablierten Prozessen verlassen sich auf ITAM-Systeme oder Configuration Management Databases (CMDBs), während weniger formale Ansätze eine Datenfragmentierung über mehrere Domänen hinweg ermöglichen. Tabellenkalkulationen und proprietäre Datenbanken.
Compliance-Daten werden hauptsächlich in Tabellenkalkulationen oder Dokumenten gespeichert, manchmal von Wirtschaftsprüfungs- oder Beratungsunternehmen. Einige Unternehmen verwenden spezielle Software, um die Einhaltung von Vorschriften zu verfolgen und Kontrollen auszuführen. Diese wird jedoch häufig zum Schweigen gebracht, wenn Teams nicht miteinander kommunizieren.
Weitere zu berücksichtigende Punkte sind: Haben Sie zu viele überlappende Schriftarten? Können Sie diese Datensätze konsolidieren, um dies zu vereinfachen, indem Sie entweder die Anzahl der vorhandenen Tools verringern oder die Daten an einem Ort konsolidieren?
Wenn Sie mehrere Datenquellen miteinander synchronisieren möchten, müssen Sie sicherstellen, dass dies zuverlässig und konsistent geschieht. Wenn dies schwierig ist oder von manueller Arbeit abhängt, um schnelle und konsistente Ergebnisse zu erzielen, ist es möglicherweise praktischer und genauer, Ihre Werkzeuge und Produkte zu konsolidieren, wo Sie können. Dies kann die Ergebnisse vereinfachen und Ihnen helfen, sich zu konzentrieren.
Bildnachweis: Shutterstock
(Bild: © Shutterstock)
Sobald Sie diese Datenquellen durchgesehen haben, ist es an der Zeit zu überlegen, wie Sie die Verwendung dieser Daten verbessern können. Anstatt nur mehr Daten zum Join hinzuzufügen, müssen Sie den Kontext und die Genauigkeit Ihrer Daten untersuchen. In diesem Fall bedeutet Kontext, dass die richtigen Daten bereitgestellt werden, die gefiltert werden, um ein bestimmtes Ziel oder eine bestimmte Anforderung zu erfüllen. Die Genauigkeit bietet aktuellere Informationen, basierend auf dem, was gerade passiert, als vor einem Tag oder einer Woche. Durch die Verbesserung von Präzision und Kontext können Sie diese verschiedenen Datensätze anreichern.
Dazu ist es wichtig, Ihre Prozesse auf die Verarbeitung und den täglichen Gebrauch dieser Daten zu überprüfen. Wie sieht beispielsweise Ihr Prozess der Priorisierung und Reparatur gefährdeter Oberflächen heute aus? Ist es ein effektiver und effizienter Ansatz oder gibt es mehr Aufsicht, um gute Ergebnisse zu erzielen?
Alle Organisationen müssen sich aus einem einfachen Grund um Genauigkeit bemühen: Der Mangel an genauen Daten führt zu zu vielen Informationen, die untersucht werden müssen, bevor sie als unnötig definiert und beseitigt werden können. .
Laut einer Studie von IDC, The State of Security Operations, dauert die durchschnittliche Sicherheitsuntersuchung zwischen einem und vier Stunden pro Vorfall und umfasst zwei Mitglieder des SecOps-Teams. Angesichts des Mangels an sicherheitsqualifizierten Arbeitskräften ist die betriebliche Effizienz der Hauptvorteil genauer Daten. Genaue Daten reduzieren die Anzahl der zu untersuchenden Ereignisse, stellen sicher, dass Ihr Team nur wichtige Ereignisse untersucht, und geben Ihr qualifiziertes Personal für andere Aufgaben frei.
Für eine höhere Genauigkeit und Effizienz des Betriebs gibt es mehrere Datenquellen, die zusammen verwendet werden können, von Informationen über Cyber-Bedrohungen, um deren Gefährdung und Funktionsfähigkeit in Echtzeit zu verstehen, bis hin zu Datenverwaltungsdaten. IT-Assets, die Ihnen nahezu in Echtzeit mitteilen können, was installiert ist und welchen Status diese Assets haben. In Kombination können diese beiden Quellen Ihnen helfen, zu verstehen, welche neuen Sicherheitsprobleme für Ihr Unternehmen gelten und wie schnell diese Probleme behoben werden müssen oder wann ein Problem möglicherweise eine andere Form der Schadensbegrenzung erfordert.
Denken Sie über den Tellerrand hinaus
Bisher sollten diese Überlegungen Ihnen helfen, einen praktischen Ansatz für die regelmäßige Verwaltung von mit dem Netzwerk verbundenen Assets zu finden. Das heutige Computersystem umfasst jedoch viele andere Geräte und Dienste, die häufig nicht vernetzt oder von anderen gehostet und verwaltet werden. Es spielt keine Rolle, ob diese Dienste von lokalen Organisationen oder von einem der großen öffentlichen Cloud-Anbieter wie Amazon oder Microsoft gemeinsam gehostet werden. Hierbei handelt es sich um zu verwaltende Assets und Anwendungen.
Für jede externe Plattform, die Ihr Unternehmen betreibt oder verwendet, sollte es dieselbe Datengranularität aufweisen wie intern. Ebenso sollten diese Informationen zusammen mit Ihren internen Daten zentralisiert werden, damit Sie unabhängig von der jeweiligen Plattform alles im Kontext sehen können. Dies ist entscheidend, um ein umfassendes Maß an Vision in der IT-Umgebung Ihres Unternehmens zu erreichen.
Da immer mehr IT-Abteilungen in die Cloud migrieren, wird das Datenvolumen dank laufender Schwachstellenanalysen, Änderungen an IT-Ressourcen und der schnellen Bereitstellung neuer Ressourcen im Laufe der Zeit weiter zunehmen. . Die Fähigkeit, mit all diesen Informationen umzugehen, bereitet Kopfschmerzen, wenn es darum geht, potenzielle Probleme zu erkennen. Es ist jedoch wichtig zu bestimmen, welche Elemente für das Unternehmen am wichtigsten sind.
Um diese Informationsmenge zu verwalten, müssen Sie herausfinden, welche Anwendungen oder Elemente geschäftskritisch sind, und sicherstellen, dass sie Ihre Aufmerksamkeit auf sich ziehen, wenn Sie Änderungen oder Aktualisierungen vornehmen. Es kann auch Sicherheitsprobleme geben, die so schwerwiegend sind, dass sie sofortige Aufmerksamkeit erfordern. Durch die Rangfolge dieser Updates kann Ihr Team seine Bemühungen priorisieren. Dieser Datensatz sollte auch Warnungen für Bedingungen enthalten, die die Sicherheitsrisikokriterien erfüllen, und kann für bestimmte Probleme abgefragt werden, damit nicht korrigierte IT-Ressourcen automatisch an das Team gemeldet werden können.
Die Datenzentralisierung unterstützt die Ziele vieler Teams. Letztendlich benötigen IT- und Asset-Management-Teams, IT-Sicherheitsabteilungen und Compliance-Experten dieselben Informationen über die IT-Umgebung Ihres Unternehmens. Was anders ist, ist Ihre Perspektive und Ihr Handeln.
Wenn wir beispielsweise eine virtuelle Cloud-Serverinstanz in einem AWS-Konto betrachten. Um diesen neuen Best Practices zu folgen, installieren wir einen Agenten auf dem Gold-Image, der ab dem Zeitpunkt der Generierung eines neuen Server-Images mit der Datenerfassung beginnt.
Für IT-Mitarbeiter stellt der Agent wertvolle Informationen zu den verwendeten Ressourcen bereit. wo es geolokalisiert ist; als es das letzte Mal gestartet wurde; Welche Software ist darauf installiert? Jede proprietäre oder Open Source-Software, die Sie verwenden, sowie alle Informationen zum Lebensende dieser Software. Das Sicherheitsteam möchte jedoch die Agentendaten auswerten, um neue Schwachstellen anzuzeigen, Anzeichen von Kompromissen zu erkennen und festzustellen, ob Schwachstellen für erkannte Schwachstellen verfügbar sind. Schließlich sollte dies das Team informieren, wenn ein Patch zur Implementierung ausgerollt werden muss.
Bildnachweis: Shutterstock
(Bild: © Wright Studio / Shutterstock)
Das Compliance-Team möchte überprüfen, ob der Server den in einem anwendbaren Audit-Framework enthaltenen Steuerelementen entspricht. Beispiele hierfür sind PCI DSS für Kreditkartendaten oder Daten, die unter die GDPR-Richtlinien fallen.
Wie wir gezeigt haben, können Sie all diesen Teams dabei helfen, eine größere Konsistenz für alle beteiligten Prozesse zu erreichen, indem Sie eine zentrale "Quelle der Wahrheit" auf der Grundlage von IT-Asset-Daten erstellen und gleichzeitig den für die Verarbeitung erforderlichen Aufwand minimieren. und Datenverbreitung.
Ebenso sind diese Daten sehr nützlich, um andere Stakeholder innerhalb des Unternehmens in Bezug auf die Sicherheit zu verwalten. Wenn renommierte Veröffentlichungen Geschichten über Sicherheitsverletzungen oder Pirouetten in jüngster Zeit erzählen, steigt die Anzahl der Personen, die sich für Sicherheit interessieren. Wenn Sie ihnen proaktiv Informationen zu diesen Problemen zur Verfügung stellen können, unabhängig davon, ob es sich um bestimmte Probleme oder Daten zu Sanierungsplänen handelt, können sich alle sicher über die Sicherheitspläne des Standorts fühlen. die Firma. Selbst wenn Sicherheitsprobleme nicht dringend sind, kann dies eine große Hilfe sein, um herauszufinden, was behoben werden muss.
Zusammenfassung der IT-Asset-Daten
Das Sicherheitsmanagement basiert zunehmend auf Daten. Ohne diese Informationen wird es immer schwieriger, Probleme zu priorisieren und die Sicherheit aller IT-Ressourcen zu gewährleisten. Die Verwaltung der in der IT erstellten Datenmenge ist jedoch ein eigenes Problem, wenn Sie nicht über die richtigen Tools verfügen.
Möglicherweise sind im Unternehmen Datensätze vorhanden, die von Teams erstellt wurden, die ihre eigenen Ziele erreichen möchten, aber eine einzige, genaue Quelle der Wahrheit schaffen, die all diese Fälle unterstützen kann. Die Verwendung ist effizienter. Um zu unserem vorherigen Beispiel einer Serverinstanz in der Cloud zurückzukehren, können wir übermäßige Doppelarbeit vermeiden, wenn die IT-Abteilung beschließt, einen Server zu deaktivieren, da dieser nicht mehr benötigt wird. Anstatt eine Sammlung von Tabellenkalkulationen und Datenbanken in verschiedenen Abteilungen von einem Unternehmenssektor zum anderen aktualisieren zu müssen, wurde eine zentralisierte Plattform implementiert. Effekt des sofortigen Wechsels der relevanten Abteilungen. Der Server verschwindet aus der IT-Abteilung. Das wahrgenommene Risiko, dass der Server aus dem Sicherheits-Dashboard entfernt wird, und die Compliance verbessern sich automatisch.
Daher ist es wichtig, alle diese Daten zu zentralisieren und eine einheitliche Sicht auf alle IT-Ressourcen zu erhalten, unabhängig von ihrem Standort. Die Konsolidierung dieser Daten sollte auch die Verwaltung, Analyse und Suche nach Informationen zu Assets, Software und installierten Updates erleichtern. Anstelle einer Menge Daten erhalten Sie ein detaillierteres Bild aller wichtigen Sicherheitsänderungen und Prioritäten, die auf Ihrer tatsächlichen Umgebung basieren.
Marco Rottigni, Leiter EMEA Technical Security bei Qualys
