Drei wichtige Schritte, die Sie bei der Messung des Sicherheitsrisikos in Ihrer Organisation möglicherweise übersehen
Warum ist Risiko ein so wichtiges Konzept in der Informationssicherheit? Risiko bietet eine gemeinsame Sprache, die es Informationssicherheitsteams ermöglicht, mit Partnern außerhalb der Informationssicherheit zu kommunizieren – z. B. mit Technik- und Geschäftsteams. Das Risikomanagement treibt Kosten-Nutzen-Entscheidungen zwischen Sicherheit, Technik und Geschäftsanforderungen voran. Ohne ein ausgereiftes Sicherheitsrisikomanagement kann ein Informationssicherheitsteam kaum erfolgreich sein, selbst wenn es über solide Fertigkeiten in anderen Bereichen verfügt.
Eine Voraussetzung für den Aufbau eines ausgereiften Sicherheitsrisikomanagements ist die Fähigkeit, Risiken zu messen. Leider ist die Risikomessung schwierig. Es gibt viele Ansichten darüber, wie sie zu bewerkstelligen ist, aber es gibt keine allgemein anerkannten Methoden und keine ganzheitliche Anleitung. NIST SP 800-55 Rev. 1, "Performance Measurement Guide for Information Security" (Leitfaden zur Leistungsmessung für die Informationssicherheit), ist ein Anfang, konzentriert sich aber mehr auf die Leistungs- als auf die Risikomessung.
Ich behaupte auch nicht, eine ganzheitliche Lösung oder einen ganzheitlichen Prozess zu haben, aber meine Erfahrung hat mir drei wichtige Schritte gezeigt, die einen hohen Return on Investment bieten können, um Ihre Fähigkeit zur Risikomessung zu verbessern.
Schritt 1: Anpassen der Schweregrade von Sicherheitsschwachstellen an Ihre Organisation
"Es ist kein kalkuliertes Risiko, wenn man es nicht kalkuliert hat." – Naved Abdali, INVESTING – Hopes, Hypes, & Heartbreaks
Sicherheitsteams konzentrieren sich unter Umständen ausschließlich auf die Verwendung statischer Schwachstellenbewertungen von Drittanbietern und verzichten darauf, die Auswirkungen der Schwachstelle in ihrer jeweiligen Umgebung zu berücksichtigen. Das ist verständlich, da Organisationen oft viele Schwachstellen haben und es einfacher ist, eine bestehenden Bewertung zu verwenden. Wenn Teams jedoch nur die Schweregrade für Schwachstellen von Drittanbietern verwenden, kann es passieren, dass sie die Prioritäten bei den Sicherheitsaktivitäten falsch setzen und ihre Organisation einem Risiko aussetzen.
Die meisten Sicherheitsteams verwenden beispielsweise CVE(Common Vulnerabilities and Exposures)-Einträge als Quelle für öffentlich bekannte Schwachstellen. Diese CVEs verfügen über Schweregradbewertungen, die vom Common Vulnerability Scoring System (CVSS) erstellt werden. CVSS-Scores für CVEs enthalten oft Schweregrade, die von Softwareanbietern oder Fachleuten auf der Grundlage der allgemeinen Art der Schwachstelle vergeben werden. Einige Sicherheitsteams verwenden nur diese Bewertungen, um ihre Schwachstellen zu priorisieren. Dieser Ansatz lässt jedoch die sich verändernde Natur des Schweregrads von Schwachstellen und die spezifischen Auswirkungen auf die Umgebung einer Organisation außer Acht.
Während einige CVSS-Benutzer für die Risikobewertung von Schwachstellen möglicherweise nur die Basiskennzahlen berücksichtigen, sind die Kennzahlen in allen drei Gruppen erforderlich, um eine umfassendere Risikobewertung für Ihre Organisation zu erhalten. Diese Herausforderungen und Risikobewertungskomponenten sind bei vielen anderen Methoden als CVSS analog.
Empfehlungen
Bei Salesforce setzt das Informationssicherheitsteam mehrere Techniken ein, um von der einfachen Anwendung eines Schweregrads zu einer gründlicheren Risikobewertung überzugehen, z. B.:
- Einbeziehung zeitlicher Kennzahlen in die Bewertung von Schwachstellenrisiken über Threat-Intelligence-Plattformen und Schwachstellenmanagement-Tools
- Bewertung der Umgebungsmerkmale von gefährdeten Assets, wie z. B. Verfügbarkeitsanforderungen, Grad der Vertraulichkeit von Daten und Kundenkontakt
- Einfacher Ansatz und dynamische Anpassung der Risikobewertung im Laufe der Zeit, wenn mehr Daten über Risikofaktoren zur Verfügung stehen
Schritt 2: Verwenden wichtiger Risikoindikatoren zur Überwachung Ihres Risikos
"Das Maß dessen, was wir sind, ist, was wir mit dem tun, was wir haben." – Vince Lombardi, The Lombardi Rules
Wichtige Risikoindikatoren (Key Risk Indicators, KRIs) können als Risikomaße mit von der Organisation festgelegten Zielen oder Schwellenwerten definiert werden. Die Organisationsleitung legt die Ziele und Schwellenwerte oft so fest, dass sie das Niveau darstellen, auf dem ein Risiko inakzeptabel wird. KRIs werden in der Regel von der obersten Führungsebene einer Organisation bis hin zu den für das Risikomanagement zuständigen Sicherheitsverantwortlichen verwendet, um Risiken proaktiv zu überwachen.
Klingt soweit gut, aber wie erstellt man einen KRI?
Erstens muss das Maß einen Bezug zum Risiko haben. Risikomaße zeigen auf, was passieren könnte, um die Wahrscheinlichkeit oder die Auswirkungen eines negativen Sicherheitsereignisses zu erhöhen. Die Risikowahrscheinlichkeit kann sich beispielsweise erhöhen, wenn Forscher eine neue risikoreiche Schwachstelle in der Software des Systems entdecken. Die Auswirkung des Risikos kann sich erhöhen, wenn ein System beginnt, mehr sensible Daten zu speichern.
Zweitens muss das Maß mit einem Schwellenwert verknüpft sein. Organisationen definieren in der Regel einen Schwellenwert für den Risikoindikator, der auf der Risikobereitschaft und -toleranz basiert. Laut Definition des FAIR-Instituts ist die Risikobereitschaft ein "Zielwert für das Verlustrisiko, das die Organisation in Anbetracht ihrer Geschäftsziele und Ressourcen als akzeptabel ansieht", und die Risikotoleranz ist "der Grad der Abweichung von der Risikobereitschaft der Organisation, den die Organisation zu tolerieren bereit ist". So kann eine Organisation beispielsweise festlegen, dass sie keine Schwachstellen mit "kritischem" Schweregrad in ihren risikoreichen Umgebungen tolerieren kann. Daher ist der Schwellenwert für den KRI "Anzahl der 'kritischen' Schwachstellen in Umgebungen mit hohem Risiko" 0.
Drittens: Was macht einen Indikator "wichtig"? Ein Team kann viele Risikoindikatoren erstellen, aber "wichtige" Risikoindikatoren sind eine Teilmenge von Risikoindikatoren, die aufgrund ihrer Bedeutung für die Führungskräfte in der gesamten Organisation ausgewählt werden. Einige KRIs können sich beispielsweise auf Technik und IT beziehen, andere auf das Produkt und das Unternehmen. Die KRIs werden in der Regel über das Informationssicherheitsteam hinaus verbreitet und überwacht.
Empfehlungen
Es gibt viele Ansätze zur Entwicklung von KRIs. Salesforce verwendet unter anderem folgende Methoden:
- Anpassung der Risikoindikatoren an die Rahmenbedingungen der Organisation – z. B. Sicherheitskontrollen, Sicherheitsreife, Hauptrisiken oder -bedrohungen, die bei Präsentationen vor der Organisationsleitung verwendet werden
- Erprobung einer kleinen Anzahl von KRIs und deren Ausweitung basierend auf dem Feedback und dem Nutzen für die Zielgruppe
- Einbeziehung mehrerer Beteiligter in die Entwicklung von KRIs, einschließlich Vertretern der Zielgruppe, technischen Fachleuten sowie technischen und geschäftlichen Beteiligten
Schritt 3: Berücksichtigen "bekannter Unbekannter"
"Der Sicherheitsvorfall, der dich am meisten schmerzt, ist der, den du nicht kommen siehst" – in Anlehnung an ein altes Boxersprichwort
Der dritte Schritt "Berücksichtigen 'bekannter Unbekannter'" ist der einfachste der drei Schritte und für einige Organisationen möglicherweise der wichtigste. Die meisten Organisationen haben bekannte Unbekannte in ihrer Umgebung. Dazu gehören alte Anwendungen, die seit Jahren keiner Sicherheitsüberprüfung mehr unterzogen wurden, Sicherheitsschulden, die aufgrund neuer Bedrohungen risikoreicher geworden sind, spezielle Projekte mit Assets außerhalb des normalen Sicherheitsbewertungsumfangs oder Code, für dessen Überprüfung das Sicherheitsteam nicht genug Zeit hat.
Diese bekannten Unbekannten können jahrelang unbemerkt bleiben und werden in einer Organisation stillschweigend akzeptiert. Leider können sie auch die größten Risiken bergen. Der beste Weg in die richtige Richtung ist, dafür zu sorgen, dass die Unbekannten zumindest bekannt sind, und aus dem Kreislauf der stillschweigenden Akzeptanz auszubrechen.
Empfehlungen
Salesforce verwendet mehrere verschiedene Ansätze, um bekannte Unbekannte zu verwalten. Einige davon könnten auch für andere Organisationen nützlich sein:
- Erwägen der Einrichtung eines speziellen Projekts oder spezieller Projekte zur Identifizierung bekannter Unbekannter und Sicherstellen, dass diese Teil der regelmäßigen Sicherheitsbewertung sind
- Integrieren bekannter Unbekannte in das Framework zur Risikomessung und Priorisieren der Abhilfemaßnahmen zusammen mit den "bekannten Unbekannten"
- Aktualisieren von Richtlinien, Standards und Leitlinien, um Quellen bekannter Unbekannter zu beseitigen und sie in Zukunft zu vermeiden
Die Messung von Risiken ist nicht immer einfach, aber Sicherheit ist ein Marathon, kein Sprint. Was ist also der nächste Schritt? Schauen Sie sich die Empfehlungen für jeden Schritt an (oder erstellen Sie Ihre eigenen) und überlegen Sie, was Sie heute tun können, um Risiken in Zukunft besser zu messen. Wenn Sie etwas finden, das funktioniert, sollten Sie es mit anderen teilen. Wir können alle Hilfe bei diesem Marathon gebrauchen!