Dino Dai Zovi weist das Black Hat-Publikum darauf hin, dass es eine Kultur pflegen muss, in der die Sicherheit die Aufgabe aller ist und die Risiken gemeinsam getragen werden. Automatisierung mit Feedbackschleifen ist außerdem der Schlüssel zur Lösung von Sicherheitsherausforderungen in größerem Umfang. [...]
In einer Black Hat Keynote, die von Rockkonzertbeleuchtung und Soundeffekten begleitet wurde, erklärte der Security Engineer von Square, Dino Dai Zovi, einer überfüllten Arena in Las Vegas, dass Kultur ein Schlüsselfaktor bei der Automatisierung von Sicherheit in einem Unternehmen sei. „Wenn Sie betonen, dass Sicherheit jedermanns Sache ist, bewegen Sie sich zu einer generativeren Kultur“, in der Risiken geteilt, Zusammenarbeit geschätzt und Boten nicht sofort erschossen werden.
„Kultur ist ein Hebel für die Menschen“, sagte Dai Zovi.
Kultur ist ein Hebel für die Menschen
In einer Zeit, in der die Welt einen enormen Mangel an Cybersicherheitskenntnissen hat, bedeutet das das Ende des Engpassinformationssicherheitsteams, dessen Kniff und abrasives „Nein“ wie Fingernägel auf einer Tafel durch das gesamte Unternehmen quietscht. „Wir sind keine Außenseiter mehr“, sagte er. „Wir sind jetzt in Gemeinschaften und Organisationen und müssen darüber nachdenken, wie wir diese Gelegenheit am besten nutzen können, um die Sicherheit zu verbessern.“
Statt mit „nein“ beginnen Sie mit „ja“.
Wege zu finden, Sicherheit in die Verantwortung aller zu legen und sicherzustellen, dass Misserfolge als Lernerfahrung und nicht als Schuldzuweisung behandelt werden, ist der beste Weg, um die Sicherheit in einem Unternehmen zu erhöhen.
„Wir müssen die Welt miteinbeziehen, beginnend mit „Ja““, fügte er hinzu. „Es hält das Gespräch am Laufen. Es ist kollaborativ und konstruktiv. Da steht: „Ich will deine Probleme lösen und sicher machen“, und das führt zu echten Veränderungen und echten Ergebnissen.“
„Anstelle von „Nein“ fangen Sie mit „Ja“ an.“
DevSecOps Schlüssel zum zukünftigen Erfolg
Ja zu sagen bedeutet, Ja zu DevSecOps zu sagen. Software ernährt die Welt und damit auch die Sicherheit. Die Integration von Sicherheit in DevOps sowohl auf kultureller als auch auf technischer Ebene sei unerlässlich, so Dai Zovi. Die Verteidiger sind zahlenmäßig unterlegen und müssen Software nutzen, um ihre Verteidigung zu verbessern. „Die Automatisierung von Software kann ein Kraftmultiplikator sein, wenn Gegner mehr Ressourcen und Leute haben als du.“
Bei Square mussten Sicherheitstechniker Code schreiben wie alle anderen, sagte er der Black Hat-Crowd. „Weil der Code vom Sicherheitsteam geschrieben wurde, wie auch vom Rest der Firma, gab es viel mehr Zusammenarbeit und Empathie.“
Eine oft übersehene Komponente einer erfolgreichen DevSecOps-Kultur sei es, nicht nur auf Zuverlässigkeit, sondern auch auf Beobachtungsfähigkeit zu bauen. Ohne eine enge Rückkopplungsschleife, um den Erfolg der Automatisierung zu messen, kann die Sache schnell aus dem Ruder laufen. Sich ausschließlich auf Zuverlässigkeit zu konzentrieren, ist wie „einen Banktresor zu bauen und ihn dann auf einem Parkplatz stehen zu lassen“, argumentierte er.
Informationssicherheitsteams können nicht das schützen, was sie nicht sehen können. Ja zu sagen stellt sicher, dass frustrierte DevOps-Ingenieure sich nicht entscheiden, sich auf eine zufällige Cloud-Instanz mit Unternehmensdaten zu stürzen, und es stellt sicher, dass die Sicherheit in jeden Schritt des DevOps-Prozesses integriert und nicht danach verschraubt wird.
Unternehmenssicherheit ist wie Fallschirmspringen
Fallschirmspringer beim Fallschirmspringen, und Sicherheitsprofis in Unternehmen haben in den letzten 50 Jahren viel von der schrittweisen Verbesserung der Sicherheit an Fallschirmen gelernt, so Dai Zovi, der selbst ein Fallschirmspringer ist. Er nannte das Beispiel des legendären Fallschirmspringer-Pioniers Bill Booth, dem „verrückten Wissenschaftler“ des Fallschirmspringens, der viele der Sicherheitsfunktionen erfunden hat, die heute de rigeur auf der ganzen Welt verwendet werden.
Niemand habe diese Änderungen reguliert, betonte er. Als Booth fragte: „Wie kann ich noch sicherer sein, wenn ich aus einem Flugzeug springe?“ gab es keinen griesgrämigen Sicherheitsexperten, der sagte: „Nun, haben Sie nicht daran gedacht?“
Die Metapher ist natürlich alles andere als perfekt; Sicherheit und Schutz sind nicht dasselbe. In der Regel versuchen gegnerische Fallschirmspringer nicht, den Fallschirm in der Luft zu zerfetzen. Dennoch ist die Metapher einen Gedanken wert. Wie können Unternehmen Aktivitäten ermöglichen, die auf den ersten Blick unsicher erscheinen mögen – aus einem Flugzeug springen -, aber bei weiterer Überlegung vielleicht doch nicht so gefährlich sind, wie sie scheinen? Menschen neigen dazu, Risiken wie Terrorismus oder Null-Tage zu überschätzen und Garten-Vielfalt Risiken wie Herzkrankheiten oder Credential Stuffing Angriffe zu unterschätzen.
Das Sicherheitsteam existiert, um das Geschäft zu ermöglichen, nicht umgekehrt. Sorgfältiges Nachdenken über die wahre Natur der damit verbundenen Risiken und wie man sie mildern kann, sollte die wichtigste Aufgabe sein.
Empathie und Programmierkenntnisse sind Mangelware
Wenn Dai Zovi Recht hat, wie von uns vermutet, bedeutet das, dass die Cybersicherheitsprofis von morgen bessere Programmierkenntnisse und – vor allem – mehr Soft Skills benötigen. Empathie, Kommunikation und Verständnis sind in den Sicherheitsschützengraben seit langem Mangelware, und es ist klar, dass diese Legacy-Kultur jetzt kontraproduktiv für die Mission der Sicherung aller Dinge ist.
Die Automatisierung von Sicherheitsfunktionen mit Hilfe von Software ist einfach. Einen seismischen kulturellen Wandel schaffen, bei dem die Sicherheit in der Verantwortung bei allen liegt und die Sicherheitsteams freundlicher, sanfter und empathischer sind als in der Vergangenheit? Etwas kniffliger.
*J. M. Porup schreibt unter anderem für CSO.org.
Be the first to comment