Wenn Sie im Cyberbereich arbeiten, sind Sie selbst das Problem, behauptet ein CISO
Warum die Sicherheit zu technikorientiert geworden ist
Der ehemalige Hacker, FBI-Agent und CISO Greg van der Gaast sagt, dass Sicherheitsexperten die Liebe zu Tools aufgeben und sich wieder auf ihr Hauptziel konzentrieren müssen: den Schutz des Unternehmens.
Als Teenager hackte sich Greg van der Gaast in eine Atomwaffenanlage. Danach machten ihm einige Männer in Anzügen ein Jobangebot, das er nicht ablehnen konnte, und er verbrachte drei Jahre damit, "von Bundesbeamten in Tiefgaragen bar bezahlt zu werden".
Was folgte, waren 25 Jahre Schutz von IT-Systemen. Eine Zeit, in der er erkannte, dass "die IT einen Scheiß darauf gibt, was ich will". Zusammen mit seinem unorthodoxen Start gab ihm diese Erkenntnis eine ganz andere Perspektive auf Cybersicherheit, als sie der durchschnittliche CISO hat.
Greg, der vergangene Woche auf dem Cybersecurity Festival von Computing sprach, stimmte der vorherrschenden Meinung zu, dass Menschen das schwache Glied im Cyberbereich sind – aber "es sind nicht die Leute, die üblicherweise damit gemeint sind; Tatsächlich sind es eher die Leute, die sagen, dass das Problem die Menschen sind." Das wahre Problem sind demnach also Sicherheitsexperten.
Beenden Sie Ihre Liebesaffäre mit der Technik
"Warum sind die meisten Menschen im Cyberbereich tätig?" Fragte Greg. "Liegt es daran, dass sie es lieben, Geschäftsprobleme zu lösen, oder weil sie Technologie lieben? Im Großen und Ganzen ist es Letzteres.”
"Wenn ich zu Kunden gehe und ihnen zeige, wie sie Kosten und Risiken senken und den Gewinn steigern können, ruft mich der CISO nie zurück - weil er nicht will, dass sein Budget gekürzt wird. Wir müssen diese Einstellung ändern; Wir müssen aufhören, Technologieleute zu sein, und anfangen, Sicherheitsleute zu sein, die sich um das Geschäft kümmern."
Um seinen Standpunkt zu veranschaulichen, bat Greg die Zuhörer, sich vorzustellen, sie hätten in ein Hotel voller Rattenfallen eingecheckt. Die Fallen sind überall, sogar in deinem Zimmer; Einige haben tote Ratten darin. Du sagst an der Rezeption, dass es das schlechteste Hotel ist, in dem du je übernachtet hast. Sie fragen: "Wie können wir das schlechteste Hotel sein, in dem du je warst, wenn die anderen Hotels nicht einmal Rattenfallen haben?"
"Ab wann ist all diese Sicherheit ein Symptom für ein zugrunde liegendes Problem?", fragte Greg. "Die anderen Hotels brauchen die Fallen nicht, weil sie eine bessere Hygiene haben" (nicht zu verwechseln mit Sicherheitshygiene).
"Wir müssen wirklich anfangen, zwischen den Symptomen und den Ergebnissen zu unterscheiden und uns mit den eigentlichen zugrunde liegenden Dingen befassen ... Als ich mit einer Versicherungsgesellschaft zusammenarbeitete, stellten wir fest, dass Unternehmen, die mehr in die Reife ihrer IT- und Geschäftsprozesse investierten, sechsmal seltener von Sicherheitsverletzungen betroffen waren – selbst wenn sie viel weniger für die Sicherheit ausgaben."
"Die Art und Weise, wie Risikomanagement betrieben wird, ist wirklich, wirklich seltsam"
Die Luftfahrtindustrie prüft nicht jedes Mal, wenn ein Flugzeug fliegt, ob ein Flügel herunterfällt, sie hat nur bessere Schrauben gebaut. Auf der anderen Seite ist die Sicherheitsbranche immer noch davon besessen, das Risikomanagement im Moment zu bewältigen.
"Selbst wenn Sie es schaffen, das Risiko, dass beim nächsten Flug etwas passiert, so zu halten, wie es ist, steigt die Wahrscheinlichkeit eines Vorfalls mit zunehmender Anzahl von Flügen – Ihrem Unternehmen – immer noch. Außerdem treiben Sie die Betriebskosten die ganze Zeit in die Höhe."
Die Zahl der Flugunfälle ist seit Jahrzehnten ein solider Abwärtstrend. Das Gleiche gilt für die Fertigung, die Schifffahrt, die Automobilindustrie, das Gesundheitswesen und jede andere ausgereifte Branche. Bei der Sicherheit ist es genau das Gegenteil.
Diese Sektoren "verwalten einige Dinge operativ, aber erst, nachdem sie die Ursache und die zu behebenden Kosten herausgefunden und festgestellt haben, ob sich die Investition lohnt. Sie haben zumindest nachgerechnet."
"Wir hingegen managen alles operativ und managen alles. Das macht keinen Sinn. Wir stoppen nicht die Einführung von Schwachstellen; Wir verstärken nur die Eindämmungsmaßnahmen."
Anders ausgedrückt: Man sorgt nicht dafür, dass ein Schiff über Wasser bleibt, indem man es mit Lenzpumpen belädt; Du sorgst dafür, dass es gut gebaut und wasserdicht ist. Das bedeutet, dass das Sicherheitsteam nicht allein für die Sicherheit eines Unternehmens verantwortlich ist, sondern dass es sich um eine unternehmensweite Anstrengung handeln muss.
"Hört auf, die Mäuse zu füttern"
Letztendlich hat die moderne Bedrohungslage erst das heute Ausmaß erreicht, weil jeder sie ständig füttert.
"Wenn ich einen Sack Getreide in meinen Garten kippe, wundert es mich nicht, einen Mäusebefall zu haben... Meine Lösung besteht nicht darin, 10.000 Mausefallen aufzustellen, sondern darin, das Getreide besser zu lagern."
Greg argumentierte, dass sich Sicherheitsteams "nicht genug auf unsere eigenen Organisationen konzentrieren, weil wir es gewohnt sind, ein Tech-Silo zu sein". Um die Dinge wirklich zu verändern, müssen die Teams "die Kontrolle über unsere eigenen Organisationen erlangen und aufhören, sich über die äußeren Kräfte Sorgen zu machen".
Er gab zu, dass es "klingt, als würde ich [Sicherheits-] Tools verleumden, aber Tools sind unglaublich nützlich. Sie sind der Ort, an dem wir den Faden finden, an dem wir ziehen können, um diese Probleme zu identifizieren."
Das Problem ist, dass viele Teams von der Technologie abgelenkt werden: Sie sehen "eine Einkaufsliste von Tools" als Strategie oder hören beim Schwachstellen-Scan auf und beheben nur die eklatantesten Schwachstellen, ohne sich zu fragen, woher sie kommen.
"Jedes Mal, wenn Sie eine Schwachstelle beheben, ohne herauszufinden, was sie verursacht hat, beseitigen Sie nicht das, was Ihnen diese Schwachstelle gebracht hat... und das Nächste, was es bringt, könnte WannaCry sein."
Dieser Artikel erschien ursprünglich auf unserer Schwester-Website Computing