Zwei wichtige Trends für 2022/2023 und die Zukunft Ihres Sicherheitsteams
Mit der Pandemie im Jahr 2020 hat sich die Welt verändert. Unternehmen wussten nicht, wie sich dies auf die Zukunft auswirken würde. Sicherheitsexperten fragten sich, ob ihre langjährigen Geschäftsansätze, Prozesse und Tools den durch die Pandemie ausgelösten Veränderungen standhalten würden. Die Antwort darauf lautet: Jein. Einerseits haben sie Organisationen geholfen, sich im Wandel zu behaupten. Andererseits entwickelt sich die Welt immer weiter und wir müssen mit ihr Schritt halten.
Laut dem DBIR Report 2022 von Verizon waren kompromittierte Webanwendungen im Jahr 2021 der wichtigste Angriffsvektor und für rund 70 % der Sicherheitsstörungen verantwortlich. Dies ist ein enormer Sprung von 39 % im Jahr 2020. Angriffe auf Webanwendungen können auf den Missbrauch von Anmeldedaten, die Verwendung von Exploit-, Brute-Force-, Backdoor- oder C2-Angriffsmethoden, das Auskundschaften von Daten und vieles mehr zurückgeführt werden – allerdings macht die Verwendung gestohlener Anmeldedaten über 80 % dieser Angriffe aus. Wie Rapid7 Autor Jesse Mack in seinem Artikel zusammenfasst, unterstreicht dieser hohe Prozentsatz „die Bedeutung von Nutzerbewusstsein und starken Authentifizierungsprotokollen auf der Endpoint-Ebene.“
Als Sicherheitsexperten ist uns klar, dass die Zunahme der Angriffe auf Webanwendungen zweifellos in direktem Zusammenhang mit den Herausforderungen unserer Branche steht. Wir sind uns zwar alle einig, dass diese Zunahme zu Unsicherheit und Anpassungsbedarf geführt hat. Doch hat sie auch unerwartete Chancen für Sicherheitsexperten geschaffen. Der Moment war gekommen innezuhalten und darüber nachzudenken, in welcher Form unsere jeweiligen Unternehmen betroffen waren und welche Veränderungen erforderlich sind, um in Zukunft erfolgreich zu sein.
Nach etlichen Gesprächen mit anderen Branchenexperten und unserem eigenen Sicherheitsteam hier bei Fastly habe ich zwei wichtige Trends identifizieren können, die wir alle im Auge behalten müssen: den Übergang zu einem risikobasierten Sicherheitsansatz und die Konzentration auf allgemeine Skalierbarkeit. In diesem Artikel untersuche ich, wie diese beiden Trends meiner Meinung nach die Zukunft von Sicherheit schon im kommenden Jahr prägen werden.
Cybersicherheit – ein steiniger Weg
Eine häufige Frage unter Kollegen in privaten CISO Communities ist, wie wir die Performance unserer Sicherheitsprogramme messen und darüber berichterstatten. Viele von uns antworten darauf, dass sie das NIST Cybersecurity Framework (CSF) verwenden, jede Funktion untersuchen und einen Reifegrad zuweisen (anhand einer einfachen Skala von 0 bis 5, die vom Capability Maturity Model (CMM) abgeleitet ist). Im Vergleich zur bislang vorherrschenden Planlosigkeit bzw. Nichtmessung jeglicher Metriken ist die Verwendung des CSF durchaus als positiver Schritt in der Weiterentwicklung von Cybersicherheitsprogrammen zu verstehen.
In dieser ersten Phase wurde die Sicherheit einfach gar nicht berücksichtigt. Es fehlte an Bewusstsein und Fähigkeiten innerhalb der Organisation. Von da an gingen die meisten Unternehmen zu dem über, was vor dem risikobasierten Ansatz kam: dem erwähnten erfahrungsbasierten Ansatz. Der gute, alte erfahrungsbasierte Ansatz konzentriert sich auf das Erreichen eines bestimmten Reifegrads durch die schrittweise Entwicklung von Fähigkeiten. Es ist so, dass der erfahrungsbasierte Ansatz immer noch angewandt wird und für einige Organisationen die Norm darstellt. Mit Blick auf die Zukunft wird dies jedoch nicht ausreichen – der ausschließliche Fokus auf das Erreichen des angestrebten Reifegrads bedeutet, dass Sicherheitsexperten das tatsächliche Ausmaß von Bedrohungen aus den Augen verlieren.
Diesem Bericht von McKinsey & Company zufolge „gehen die fortschrittlichsten Organisationen beim Management von Cyberrisiken von einem erfahrungsbasierten zu einem risikobasierten Ansatz über“. Während der erfahrungsbasierte Ansatz für Organisationen, die alles von Grund auf entwickeln müssen, funktionieren kann, stößt er anderswo auf einige zentrale Probleme:
Unkontrollierbares Wachstum des Bedarfs an Kontrolle und Überwachung: Organisationen, die organisch wachsen, werden feststellen, dass das Volumen der Anwendungen gegenüber ihrer Zahl an Analysten zu hoch ist, was zu einer unzureichenden Überwachung führt.
Ineffiziente Ausgaben: Unternehmen, die jede Metrik verfolgen, können in der Datenflut nicht die nötigen Informationen lokalisieren, um Ausgaben rational zu planen.
Überlastung bei der Implementierung: Wenn Teammitglieder überlastet sind, ist ihre Aufmerksamkeit auf zu viele unterschiedliche Aufgaben verteilt. Dies führt dazu, dass Projekte nie vollständig umgesetzt werden.
Unserer Ansicht nach stellt ein risikobasierter Ansatz deshalb den nächsten, logischen Schritt im Entwicklungsprozess dar. Dieser ist strategischer und für ein effektives und effizientes Risikomanagement unerlässlich. Mit solch einem Ansatz sind wir in der Lage, die Netzwerkstabilität auf natürliche Weise in unsere Entscheidungsfindung in Sachen Sicherheit einzubeziehen. Das geht allerdings nur, wenn wir bei unseren Überlegungen schon jetzt auf das Thema Risiko achten.
Trend Nr. 1: Risiken suchen
In der Sicherheitsbranche geht es ständig um den Aufhänger Risiko. Doch erst jetzt beginnen Sicherheitsteams, Risiken für ihre Entscheidungsfindung zu nutzen.
Was genau ist ein Risiko? Der Duden definiert Risiko als „möglicher negativer Ausgang bei einer Unternehmung, mit dem Nachteile, Verlust, Schäden verbunden sind“. Als Sicherheitsexperten zwingt mich diese Definition dazu, alle Formen zu überdenken, die das Risiko in unserer Branche annehmen kann. Es kommen mir sogleich die Sicherheitsrisiken der Top-10-Liste des Open Web Application Security Projects in den Sinn, da diese Liste die kritischsten Risiken von Webanwendungen enthält. In der Ausgabe von 2021 wird alles, was mit Broken Access Control zu tun hat, ganz oben angeführt, und Server-Side Request Forgery wird zum ersten Mal aufgenommen. Risiken ändern sich zwar ständig, aber wir können uns darauf vorbereiten, sie besser zu managen.
Was steckt jedoch hinter dem plötzlichen Interesse am Risiko? Teilweise liegt die Antwort im Reifungsprozess des Sicherheitsberufs selbst. Sicherheitsexperten sind bereits von der Blockadehaltung der alten Schule zu einem „Ja, aber“-Ansatz übergegangen. Wir als Sicherheitsteams müssen darüber hinaus regelmäßig unser Budget rechtfertigen und begründen, warum bestimmte Kontrollen erforderlich sind. Dies hat uns dazu veranlasst, den risikobasierten Ansatz in puncto Sicherheit noch stärker zu bevorzugen.
Ein risikobasierter Ansatz hilft bei der Lösung von zwei Problemen, mit denen Sicherheitsteams konfrontiert sind: Prioritätensetzung und Kommunikation. Bei einer risikobasierten Betrachtung werden die Prioritäten schnell klar, und die Teams können sich entscheiden, welche Arbeiten am wichtigsten sind. Unsere Teams müssen anderen Teams auch klarmachen können, warum ein bestimmter Ansatz die Wahrscheinlichkeit erhöht, dass etwas Schlimmes passiert. Die OWASP Top-10 geben präzise Beispiele dafür, wo Gefahr besteht. Diese Beispiele in Diskussionen mit anderen Teams zu verwenden, hilft bei der Neuorientierung. Über Server-Side Request Forgery haben sich vor ein paar Jahren beispielsweise noch nicht viele Leute Gedanken gemacht. Doch nun geben Teams für Produktsicherheit den Entwicklern Hinweise auf Schwachstellen.
Inzwischen ist die Verwendung von Risiken zur Priorisierung für unsere Effizienz und unseren Erfolg absolut zentral. Wenn wir mehr als 30 verschiedene Sicherheitsprobleme lösen müssen, können wir anhand von Risiken Prioritäten setzen und verstehen, welches Problem wir zuerst lösen müssen. Dies gilt nicht nur für Sicherheitsteams, sondern auch für die verschiedenen anderen Teams, mit denen wir zusammenarbeiten, wie z. B. die Entwickler. Wir alle sollten Sicherheitsrisiken zur Begründung von Maßnahmen nutzen. Der risikobasierte Cybersicherheitsansatz kann zwar komplex sein, aber es gibt immer mehr Best Practices, um ihn erfolgreich umsetzen zu können.
Trend Nr. 2: die Vorteile von Skalierbarkeit nutzen
Der zweite Trend, der sich meiner Meinung nach abzeichnet und die Zukunft der Sicherheit beeinflusst, betrifft die allgemeine Skalierbarkeit. Wenn ich in diesem Zusammenhang von Skalierbarkeit spreche, meine ich damit, wie die Kapazität eines Teams erweitert werden muss, damit es mit den Anforderungen eines wachsenden Unternehmens Schritt halten kann. Gegenwärtig besteht die Herausforderung in der Skalierbarkeit. Es stellt sich die Frage, wie Sicherheitsexperten die Sicherheit und andere Aspekte betreffende Funktionen und Kapazitäten in Unternehmen skalieren können. Denn Sicherheitsteams sehen sich hier unter anderem folgenden Problemen gegenüber:
Talente finden und binden
Personal für manuelle Prozesse einstellen
Mit der Nachfrage Schritt halten
Eine allgemeine Skalierbarkeit innerhalb einer Sicherheitsorganisation hilft uns, zwei Ziele zu erreichen: 1. die Handlungsgeschwindigkeit des Unternehmens nach außen hin zu unterstützen und 2. die Funktionen des Sicherheitsteams nach innen hin zu skalieren. Gehen wir näher auf jedes dieser Ziele ein.
Nach außen schauen
Unternehmen müssen schnell agieren und Risiken angemessen bewerten können. Dazu muss die Bandbreite der Sicherheitsteams skaliert werden. Teams aus Fachleuten werden zur Beibehaltung der Handlungsgeschwindigkeit benötigt. Wenn das jedoch nur geschieht, damit dann noch mehr Leute lauter manuelle Arbeiten ausführen, ist das Team nicht tragfähig.
Ein Trick für die Skalierbarkeit besteht darin, dass sich Ihr Team auf die Schaffung wiederholbarer Anleitungen konzentriert, die andere Teams leicht befolgen können. Mit solchen Anleitungen können andere Teams von Anfang an sicher entwickeln, sodass weiterhin zeitnah gehandelt und gleichzeitig die Wahrscheinlichkeit von Sicherheitsproblemen oder -verletzungen verringert werden kann. Auf diese Weise bleiben Teams reaktionsschnell, und Unternehmen können ihren Sicherheitsansatz weiterverfolgen, was ihre Handlungsgeschwindigkeit wiederum beschleunigt.
Nach innen schauen
Wir haben besprochen, wie das Erreichen einer allgemeinen Skalierbarkeit aussieht, wenn man das Unternehmen von außen betrachtet. Aber wie sieht es aus, wenn man nach innen schaut? Das bringt uns dazu, uns auf uns selbst zu konzentrieren und herauszufinden, wie man unsere Sicherheitsteams am produktivsten gestaltet. Dazu müssen wir als Sicherheitsexperten sinnvolle Aufgaben schaffen und nutzlose Plackerei reduzieren – was unsere Bemühungen im weiteren Wachstum auch festigen wird. Wenn wir die Skalierbarkeit in den Vordergrund stellen, können wir Burn-outs verhindern. Wir müssen dafür sorgen, dass unsere Teams:
Realistisch mit der Arbeitslast Schritt halten können
Keine extremen Überstunden machen
Wissen, wie ihre Arbeit zum Erfolg des Unternehmens beiträgt
Handlungsgeschwindigkeit vs. Risiko
Im Hinblick auf die Zukunft von Sicherheit ist es wichtig zu wissen, dass Teams sowohl schneller als auch sicherer arbeiten können. Wie? Indem sie verstehen, auf welche Weise Handlungsgeschwindigkeit und Risiko zusammenhängen.
Bei Fastly ermöglichen wir unserem Unternehmen und all seinen internen Funktionen eine hohe Handlungsgeschwindigkeit bei geringem Risiko. Mit diesem Ziel befähigen wir die Teams, denn wir geben ihnen klare Leitlinien vor, innerhalb derer sie arbeiten können (durch die bereits erwähnten klaren Anweisungen und wiederverwendbaren, die Arbeit erleichternden Muster), und wir stellen sicher, dass jeder seine Verantwortlichkeit in Bezug auf die Risiken versteht.
Bei unserer Data Governance und der Aufteilung der Risikoverantwortlichkeiten helfen uns die folgenden Punkte, und wir möchten Sie ermutigen, sich bei der Bewertung Ihrer eigenen Praktiken innerhalb Ihres Unternehmens und Ihrer Sicherheitsteams ebenfalls darauf zu beziehen:
Data Governance: Ein Data-Governance-Programm ist der Schlüssel zur Risikobewertung, da es fundierte Entscheidungen zur Risikotoleranz ermöglicht
Risikoverantwortung: Klare Verantwortlichkeit für Sicherheitsrisiken zusammen mit festgelegten Toleranzwerten ermöglichen, dass fundierte Entscheidungen dezentralisiert getroffen werden können
So werden Sie zukunftssicher
Die Vorbereitung auf die Zukunft kann manchmal Gefühle der Unsicherheit und des Zweifels hervorrufen. Wenn Sie jedoch die Spannungsfelder zwischen Risiko und Handlungsgeschwindigkeit verstehen, können Sie sicher sein, dass Sie Ihre Teams auf kommende Veränderungen bestens vorbereiten.
Ich hoffe, dass ich als Branchengefährte und CISO von Fastly Ressourcen mit Ihnen teilen konnte, die Sie und Ihre Sicherheitsteams auf Ihrem Weg in die Cybersicherheit unterstützen.
Teams, die einen risikobasierten Sicherheitsansatz wählen und sich auf allgemeine Skalierbarkeit konzentrieren, werden im Jahr 2022/2023 und darüber hinaus eine führende Rolle übernehmen und die Sicherheitslandschaft prägen. In Kombination mit den heute vorhandenen Lösungen werden Ihre Sicherheitsteams mit allem ausgestattet sein, was sie brauchen, um Sicherheit zu gewährleisten und Angriffe zu verhindern.