The Dept. of Know Live!: Sounil Yu erklärt, warum das DIE-Sicherheitsmodell schnellere Innovation bedeutet

Es ist kein Geheimnis, dass Sicherheit oft als Hindernis für geschäftliche Innovationen angesehen wird. Das Sicherheitsteam erhält Zugriff auf ein Entwicklerprojekt, identifiziert potenzielle Sicherheitsrisiken und macht dem Projekt den Garaus – zumindest lautet so das Stereotyp, das man Security allzu häufig zuschreibt.

Aber wie die ehemalige Twitter CISO Rinki Sethi in der ersten Folge von The Dept. of Know Live!​ erwähnte, sollte Security eigentlich als Partner für das Unternehmen verstanden werden. Mit Kelly Shortridge und Bea Hughes habe ich mich über das DIE-Modell unterhalten und diskutiert, wie dieses Sicherheits-Framework es Unternehmen ermöglicht, Risiken einzugehen und Innovationen zu beschleunigen 

Hier finden Sie eine Aufzeichnung des Gesprächs​. Die wichtigsten Erkenntnisse habe ich im Folgenden für Sie zusammengefasst.

1. Von Risikoreduzierung zu Verringerung der Auswirkungen

Traditionell betrachten wir Sicherheit als ein Tool zur Risikoreduzierung, wobei sich Sicherheitsteams auf die Überwachung von Risiken und die Abwehr von Bedrohungen konzentrieren. Sicherheitsteams erstellen Bedrohungsmodelle, erwägen potenzielle Störfaktoren für das Geschäft und bewerten alternative Szenarien. Dies unterstützt in gewissem Maße die Innovation, da Geschäftspartner gezwungen werden, anders über zukünftige Business-Initiativen nachzudenken. Diese Sichtweise auf Security lässt sich durch ​das bekannte CIA-Modell​ charakterisieren. Es handelt sich dabei um ein Sicherheitsmodell, das als Leitfaden für die Sicherheitsrichtlinien eines Unternehmens dient und auf drei Kernkomponenten basiert: Vertraulichkeit (Geheimhaltung von Daten), Integrität (Gewährleistung der Genauigkeit und Zuverlässigkeit von Daten) und Verfügbarkeit (bedarfsorientierte Bereitstellung von Daten für Nutzer). 

Man kann Sicherheit aber auch als eine Funktion zur Verringerung von Auswirkungen​ betrachten. In gewisser Weise ist es sinnlos, sich auf die Reduzierung von Schwachstellen und Bedrohungen zu konzentrieren. Man kann jede Schwachstelle beheben, und letztlich wird der Strom von Angreifern, die Schaden anrichten wollen, nie abreißen. Was wir hingegen sehr wohl steuern können, ist, wie stark sich diese Bedrohungen auswirken. Unter dieser Voraussetzung können wir geschäftliche Risiken eingehen, ohne uns darüber Sorgen machen zu müssen, ob wir uns gegen alle möglichen Bedrohungen abgesichert haben. 

Dieses Sicherheitsmodell lässt sich durch das DIE-Dreieck darstellen, eine Alternative zum CIA-Dreieck, das den Schwerpunkt auf die Entwicklung von Systemen mit den folgenden Parametern legt: 

  • Distributed (dezentral): vermeidet die Abhängigkeit von einem einzigen System

  • Immutable (unveränderbar): Assets können nicht geändert werden 

  • Ephemeral (kurzlebig): Entwicklung von Assets mit einer kurzen und vordefinierten Lebensdauer

Letztendlich entspricht die Entwicklung des DIE-Modells den Geschäftsinteressen und beschleunigt die Innovation, da wir die Vertraulichkeit, Integrität und Verfügbarkeit der Systeme weniger aktiv gewährleisten müssen.    

2. Die Einführung des DIE-Modells kann Überwindung kosten

Jedes Unternehmen besitzt Assets, die über das CIA-Modell, und solche, die über das DIE-Modell verwaltet werden. An dieser Stelle kommt die Analogie von „Haustieren“ und „Nutzvieh“ ins Spiel. „Haustiere“ sind unersetzliche Assets, die gesichert, überwacht und im Falle eines Schadens sorgfältig repariert werden müssen – also alle Assets, die Sie im Einklang mit dem CIA-Modell entwickeln. „Nutzvieh“ hingegen sind entbehrliche Güter, die im Schadensfall entsorgt werden können. Das Ziel ist es, den Wert dieser abkömmlichen Assets so gering wie möglich zu halten. Die Auswirkungen im Falle eines Angriffs sollten so niedrig sein, dass es sich von vornherein nicht lohnen würde, sie vollständig abzusichern. Dieses Umdenken wird sich für viele Sicherheitsexperten zunächst unangenehm anfühlen, aber ich verspreche Ihnen, es zahlt sich aus. Ihre Systeme sind widerstandsfähiger und können schneller wiederhergestellt werden.  

3. Die Tendenz, zusätzliche Sicherheitsvorkehrungen zu treffen, beschränkt die Innovation

In der Sicherheitsbranche lassen wir uns oft von dem Gedanken leiten, dass wir ständig neue Zusatzmodule zu den Sicherheitstools hinzufügen müssen. Dies kann hinderlich für Innovationen sein. Das DIE-Modell ist ein Framework, das uns von diesem Trend befreit. So können wir uns auf Innovation durch Subtrahieren, Dividieren und Multiplizieren konzentrieren. 

Serverless Computing ist ein Beispiel für kurzlebige Infrastruktur, bei der es letztlich darum geht, die Wartung eines Servers zu eliminieren. Im Gegenzug wird die Zahl der Point of Presence erhöht, um die Entwicklung von innovativen Anwendungen zu fördern. Sicherheitsexperten sollten diese Denkweise begrüßen und unterstützen, denn sie wirkt der Problematik entgegen, immer mehr „Haustiere“ absichern zu müssen. 

Zusammenfassung 

Um Sicherheit wirklich zu einem Motor für Innovation zu machen, müssen wir veraltete Denkweisen ablegen. Wenn wir uns auf das DIE-Modell stützen und Security als ein Tool zur Verringerung von Auswirkungen nutzen, können wir mehr Risiken eingehen, Security an die zentralen Geschäftsfaktoren angleichen und schnellere Innovationen ermöglichen. 

Sehen Sie sich unser komplettes Gespräch on demand an​​ und schalten Sie am 17. März 2022 um 12:00 Uhr PDT ein​, wenn Omar, Staff Security Engineer bei Betterment, bei The Dept. of Know Live! erörtert, warum modernere Anwendungen im Grunde sicherere Anwendungen bedeuten.

Sounil Yu
CISO and Head of Research, JupiterOne
Veröffentlicht am

Lesedauer: 3 Min.

Sie möchten sich mit einem Experten austauschen?
Sprechen Sie mit einem Experten
Diesen Beitrag teilen
Sounil Yu
CISO and Head of Research

Sounil has over 20 granted patents and is recognized as one of the most influential figures in security. Prior to JupiterOne, he was CISO-in-Residence at YL Ventures and Chief Security Scientist at Bank of America. He’s reshaped approaches to cybersecurity by creating the Cyber Defense Matrix and the DIE Triad. He's a board member of the FAIR Institute and SCVX; co-chairs Art into Science: A Conference on Defense; is a visiting fellow at GMU Scalia Law School's National Security Institute; teaches at Yeshiva University; and advises many startups.

Sie möchten loslegen?

Setzen Sie sich mit uns in Verbindung oder erstellen Sie einen Account.