Manchmal ist die unzureichende Nutzung von Sicherheitssoftware und -diensten eine bewusste, strategische Entscheidung; häufiger ist sie ein Grund zur Sorge. [...]
Sicherheitstools können auf interessante Weise ihren Weg in das Arsenal eines Unternehmens finden: ein CIO, der darauf besteht, eine bestimmte Technologie zu kaufen, nachdem er eine Anzeige gesehen hat, Führungskräfte, die eine bestimmte Option kaufen, die erforderlich ist, um die Standards eines Geschäftspartners zu erfüllen, Teams, die bei einer Fusion alle vorhandenen Produktlizenzen übernehmen, anstatt überflüssige Software zu entsorgen.
Alan Brill, der als Senior Managing Director für Cyber-Risiken beim Beratungsunternehmen Kroll tätig ist, hat alle diese Szenarien gesehen. „Es werden oft Tools gekauft, die manchmal gar nicht oder mit weniger als dem vollen Funktionsumfang genutzt werden“, sagt er.
Die Forschung unterstützt Brills Einschätzung.
Laut der CSO-Studie 2020 Security Priorities geben 50 % der Sicherheitsverantwortlichen an, dass sie nicht alle Funktionen ihrer Sicherheitstechnologien/-dienste nutzen. Gleichzeitig geben 26 % an, dass ihre gekauften Sicherheitstechnologien und/oder -dienste in Bezug auf Mitarbeiter, Support-Services oder Bereitstellung nicht ausreichend mit Ressourcen ausgestattet sind. Darüber hinaus geben die Befragten an, dass sie nur 72 % der gekauften oder vertraglich vereinbarten Sicherheitsprodukte oder -dienste nutzen.
Die Sicherheit hat eindeutig ein Shelfware-Problem, sagen Experten, und die Situation hat Konsequenzen. Der übermäßige Kauf und die unzureichende Nutzung von Sicherheitstools und -technologien ist nicht nur teuer und verschwenderisch, sondern führt auch zu unnötiger Komplexität, belastet das ohnehin schon ausgelastete Personal weiter und behindert produktivere Sicherheitsabläufe.
„Es mag verschiedene Gründe dafür geben“, sagt Brill, „aber es läuft auf die Kosten der entgangenen Möglichkeiten hinaus: Was hätte man mit diesen Mitteln stattdessen tun können, um die Sicherheit wirklich zu verbessern?“
Bessere Ausschöpfung des vollen Nutzens
Diese Zahlen überraschen Neil Daswani nicht, ein erfahrener Cybersecurity-Führer und Co-Autor von Big Breaches: Cybersecurity Lessons for Everyone, der sagt, dass auch er erlebt hat, dass Sicherheitsteams Lösungen gekauft und dann nicht vollständig eingesetzt haben.
„Ich denke, dass es einige legitime Gründe für die vermeintlich unzureichende Nutzung gibt, aber es gibt auch einige berechtigte Bedenken“, sagt er.
In der Tat wählen Sicherheitsteams in manchen Fällen Lösungen mit Bedacht aus, weil sie nur einige der spezifischen Fähigkeiten der Tools nutzen wollen und nur die Funktionen aktivieren wollen, die mit den strategischen Anforderungen des Unternehmens übereinstimmen. Das ist vollkommen akzeptabel, sagt Daswani. Andere weisen darauf hin, dass Sicherheitsteams unter Umständen Redundanz kaufen, um sicherzustellen, dass sie bei Bedarf über die benötigten Funktionen verfügen. So kann ein CISO zum Beispiel zwei oder mehr Dienstleister beauftragen, um im Falle eines Sicherheitsverstoßes zu helfen, damit er auch im Falle eines groß angelegten Angriffs, der viele Unternehmen betrifft, genügend Hilfe bekommt.
Sicherheitsexperten sagen jedoch, dass es viel mehr Fälle gibt, in denen der unzureichende Einsatz von Sicherheitstools nicht strategisch, sondern reaktionär ist. Das Sicherheitsteam hat vielleicht durch Fusionen und Übernahmen eine Sammlung von redundanten Tools geerbt. Oder sie haben die gleichen Funktionen von mehreren Lösungen angesammelt, da Mitarbeiter und Führungskräfte ihre eigenen bevorzugten Optionen einsetzen. Wieder andere haben vielleicht Technologien ausgewählt, ohne über die Ressourcen zu verfügen, um die vorhandenen Mitarbeiter zu schulen oder neue Mitarbeiter einzustellen, damit sie die gesamte Palette der gekauften Funktionen verstehen, einsetzen oder richtig nutzen können.
John Kronick, Regional Director of Risk Management and Governance bei der Sicherheitsberatungsfirma NCC Group und ehemaliger CISO, berichtet, dass er mit einem Unternehmen zusammengearbeitet hat, das eine Software zur Verhinderung von Datenverlusten (DLP) und ein Sicherheitsinformations- und Ereignismanagement (SIEM) einsetzte, aber nicht über die Ressourcen verfügte, um diese auf die speziellen Anforderungen des Unternehmens abzustimmen, was bedeutete, dass keines der beiden Tools seinen maximalen Wert erreichte.
Gleichzeitig haben CISOs weniger Spielraum für Fehler, sowohl bei ihren Sicherheitsstrategien als auch bei den Abläufen in ihrem Team. Die Anzahl und Komplexität der Bedrohungen nimmt weiter zu, die Kosten für Fehlschläge steigen, und die Mittel für Programme bleiben knapp. Infolgedessen steigt der Druck auf CISOs, den Wert ihrer Investitionen zu maximieren.
„CISOs sollten sicherstellen, dass sie ihre Mittel voll ausschöpfen, bevor sie nach mehr Mitteln fragen. Wenn sie das können, ist das der erste Schritt zu einem produktiven Dialog über die nächsten Bedrohungen, gegen die es sich zu verteidigen gilt, und die dafür benötigten Mittel“, sagt Daswani.
Prüfen, bewerten und anpassen
Um dies zu erreichen, sollten CISOs mit einem klaren Verständnis der vorhandenen Sicherheitslösungen beginnen, damit sie beurteilen können, ob diese mit der Sicherheitsstrategie des Unternehmens übereinstimmen, indem sie die Risiken adressieren, mit denen es konfrontiert ist, sagt Don Heckman, Direktor für Cybersicherheit bei Guidehouse, einem Beratungs-, Consulting- und Outsourcing-Unternehmen.
„Sie sollten immer Ihre Umgebung betrachten und Ihr Cybersicherheitsprogramm und Ihre Technologien mindestens alle 12 bis 24 Monate überprüfen. Es beginnt mit einem robusten Programm zur Verwaltung von Unternehmensrisiken, das die Risiken und die richtigen Maßnahmen zur Risikominderung festlegt“, sagt er. „Und werfen Sie einen strategischen Blick darauf, was Sie haben, was Sie haben sollten und was Sie loswerden können. Sie können eine Rationalisierung der Tools vornehmen, um wirklich festzustellen, ob Sie die richtigen Tools für das haben, worüber Sie sich Sorgen machen, und um Redundanzen und Komplexität loszuwerden und Lücken zu beseitigen.“
Diese Arbeit ermöglicht es CISOs auch, die Schulungsprogramme für Mitarbeiter auf die verbleibenden Technologien zu fokussieren und so die Chancen zu verbessern, jede einzelne Technologie optimal zu nutzen.
Heckman zufolge zahlt solche Arbeit aus.
„Jeder beschwert sich, dass er nicht genug Geld hat, dass er mehr Geld für seine Cybersicherheit braucht, aber am Ende des Tages, wenn sie einen Schritt zurücktreten und eine vollständige Bewertung ihrer Cybersicherheitstools und -fähigkeiten vornehmen, könnten sie feststellen, dass sie die Hälfte des Geldes, das sie für nicht genutzte Fähigkeiten ausgegeben haben, zurückgewinnen können, um andere [strategischere] Ressourcen abzudecken“, sagt er.
Strategischere Auswahl für die Zukunft
Um dies zu erreichen, sollten CISOs jede neue Anschaffung an ihren strategischen Zielen ausrichten, sagt Tom Kellermann, Leiter der Cybersicherheitsstrategie bei VMware und Global Fellow for Cybersecurity Policy des Wilson Center sowie Mitglied des U.S. Secret Service Cybercrime Investigations Advisory Board.
Er schlägt vor, die Fähigkeiten an Frameworks wie dem MITRE ATT&CK-Modell auszurichten.
Kellermann rät CISOs außerdem, keine Sicherheitsprodukte in einem unbefristeten Modus zu kaufen und sich stattdessen für Software-as-a-Service zu entscheiden, um mehr Flexibilität zu gewinnen sowie besser mit zukünftigen Innovationen Schritt halten zu können.
CISOs sollten auch darauf achten, dass ihre Neuanschaffungen nicht singulär sind, sondern über APIs in ihre Umgebung integriert werden können und letztlich mit den anderen Sicherheitstechnologien zusammenarbeiten, um die Erkenntnisse zu liefern, die nötig sind, um die Bedrohungen zu erkennen, die die größten Risiken für das Unternehmen darstellen.
„Sie müssen sich auf fünf oder sechs Sicherheitskontrollen beschränken, mit denen Sie diese Transparenz erreichen können“, fügt Kellermann hinzu.
Investieren Sie in Automatisierung
Die hohe Anzahl an Warnungen, die die Tools generieren, trägt ebenfalls zu ihrer unzureichenden Nutzung bei, sagen Experten und stellen fest, dass Sicherheitsteams von der Anzahl der Warnungen so überwältigt sind, dass sie einige Erkennungs- und Warnfunktionen abschalten, nur um damit fertig zu werden.
Das ist ein weit verbreitetes Problem. Siebzig Prozent der Befragten einer kürzlich von Dimensional Research im Auftrag von Sumo Logic durchgeführten Umfrage gaben an, dass sich die Anzahl der Sicherheitswarnungen, die sie täglich erhalten, in den letzten fünf Jahren mindestens verdoppelt hat. Darüber hinaus geben 93 % an, dass ihre Sicherheitsteams nicht alle Sicherheitswarnungen am selben Tag bearbeiten können, und 83 % sagen, dass ihre Sicherheitsteams unter Alarmmüdigkeit leiden.
Um dieser Ermüdung entgegenzuwirken, rät Kronick CISOs, so viele Prozesse wie möglich zu automatisieren, damit die Mitarbeiter nur die wirklich problematischen Alarme untersuchen können.
Kronick merkt weiter an, dass die Implementierung von Automatisierung nicht nur CISOs dabei hilft, den Wert der bereits eingesetzten Technologien zu maximieren, sondern auch den wichtigeren Vorteil hat, ihre allgemeine Sicherheitslage zu verbessern.
Partnerschaften aufbauen
Maarten Van Horenbeeck, der CISO des Softwareunternehmens Zendesk, nennt zwei Fälle, in denen eine unzureichende Nutzung auf ein Problem hindeutet.
Einer ist, wenn das Sicherheitsteam ein Tool kauft und es in seinem eigenen Kontrollbereich implementiert, obwohl es besser wäre, eine Partnerschaft mit dem gesamten Unternehmen einzugehen und andere Teams dazu zu bringen, es zu übernehmen. „Das betrifft oft Tools zur Sicherheitsbewertung“, sagt er. „Um effektiv zu sein, müssen Sicherheitsteams die Sicherheitskompetenz drastisch auslagern und das Wissen im gesamten Unternehmen fördern, einschließlich der gemeinsamen Nutzung der Fähigkeiten vieler der von ihnen verwendeten Tools“, fügt er hinzu.
Ein anderer Fall ist, wenn das Sicherheitsteam die Fähigkeiten eines Tools nicht vollständig versteht und es daher nicht mit voller Effektivität nutzt – ein Szenario, das durch eine bessere Zusammenarbeit mit dem Anbieter verbessert werden kann.
„Dies kann passieren, wenn das Sicherheitsteam den Anbieter nicht als eine Möglichkeit sieht, tiefergehendes, externes Fachwissen einzubringen, um eine bessere Sicherheitslage zu schaffen. Jedes Mal, wenn wir einen Sicherheitsanbieter hinzuziehen, suchen wir nicht nur nach einem Tool, sondern wir wollen die Effektivität unseres Sicherheitsprogramms in einem Bereich vertiefen, in dem der Anbieter der Experte ist, nicht wir. Das setzt voraus, dass wir ein hohes Maß an Vertrauen zu dem Anbieter und seinem Team aufbauen“, ergänzt er.
Effektivität steht an erster Stelle
Obwohl Sicherheitsteams sicherstellen sollten, dass sie das Beste aus ihren vorhandenen Technologien herausholen, um unbeabsichtigte Redundanzen und unnötige Ausgaben zu vermeiden, warnt Daswani davor, die maximale Nutzung von Tools als Maßstab für den Erfolg zu nehmen.
Ja, sagt er, CISOs sollten „einen Haufen halbgarer Implementierungen von Sicherheitsmaßnahmen“ vermeiden. Aber die primäre Metrik sollte die Effektivität der Gegenmaßnahmen sein, die Sie haben. Wenn Sie Gegenmaßnahmen eingesetzt haben und eine 99,9-prozentige Effektivität gegen die [identifizierten Bedrohungen für Ihr Unternehmen] aufweisen, spielt es vielleicht keine Rolle, wenn Sie nicht jede einzelne Funktion eingesetzt haben. Ich denke, dass mehr Funktionen bei den Gegenmaßnahmen helfen werden, aber die eigentliche Metrik ist immer noch die Effektivität. Die sekundäre Metrik ist die Nutzung.“
*Mary K. Pratt ist eine freiberufliche Autorin in Massachusetts.
Be the first to comment