Hier ist eine provokative Frage: Ist es angesichts der Vielzahl von Sicherheitsbedrohungen heute möglich, zu viele Sicherheitstools zu haben?
Die Antwort ist: Sie wetten, dass es möglich ist, wenn die Werkzeuge nicht so eingesetzt werden, wie sie sein könnten und sollten. Und allzu oft sind sie es nicht.
Neue Tools eröffnen neue Möglichkeiten. Herkömmliches Denken über Sicherheit in einem bestimmten Kontext ist möglicherweise nicht mehr anwendbar, gerade weil die Technologie neu ist. Und selbst wenn konventionelles Denken anwendbar ist, kann es einige Änderungen erfordern, um die Tools optimal zu nutzen.
Das ist ein echtes Problem für Sicherheitsverantwortliche. Und je leistungsfähiger, ausgefeilter und bahnbrechender Sicherheitstools sein können, desto höher ist die Wahrscheinlichkeit, dass dieses Problem auftritt.
Dies ist bei Zero Trust häufig der Fall, da es sich so sehr von traditioneller Sicherheit unterscheidet. Neueinsteiger erwarten manchmal eine stärkere Firewall, und das ist im Grunde nicht das, was sie bekommen. Sie haben sich entschieden, in Fähigkeiten der nächsten Generation zu investieren, beginnen jedoch mit einer Perspektive, die oft dem Charakter der letzten Generation entspricht, und das schmälert ihren ROI wirklich.
Es ist die Antwort, nicht die Anfrage, das ist riskant
Die traditionelle Sichtweise auf den Webzugriff von Unternehmen besagt beispielsweise, dass in einem geschäftlichen Kontext einige Sites gut und einige Sites schlecht sind. Beispiele für gute Websites sind Tech-Medien, Industriepartner und Wettbewerber sowie Nachrichtendienste. Beispiele für schlechte Seiten sind Glücksspiel, Pornografie und P2P-Streaming.
Die traditionelle Antwort ist, die guten Seiten auf die Whitelist zu setzen, die schlechten Seiten auf die Blacklist zu setzen und Schluss zu machen. Abgesehen von der Tatsache, dass diese Denkweise dazu führen kann, dass Sicherheitsteams Hunderte von Regeln darüber aufstellen, welche Websites blockiert und welche Websites zugelassen werden sollen, möchte ich vorschlagen, dass sie den Punkt verfehlt.
Heute wissen wir, dass es bei optimierter Cybersicherheit nicht so sehr um das Wahrgenommene geht Charakter or Betreff einer Website. Es geht vielmehr darum, welche Art von Bedrohungen möglicherweise von der Website auf die Organisation zukommen und welche Art von Daten die Organisation für die Website verlassen. Das bedeutet, dass Sie neue Ansätze zum Stellen und Beantworten von Fragen in beiden Kategorien benötigen, und das wiederum bedeutet neue Tools und ein neues Verständnis.
Diese Situation tritt im Zusammenhang mit Content Delivery Networks (CDNs) auf. Sie machen einen großen Teil des gesamten Internetverkehrs aus, und zum größten Teil ist es wahr, dass die von ihnen gelieferten Inhalte als Sicherheitsbedrohung harmlos sind. Aus diesem Grund haben viele Sicherheitsadministratoren Regeln eingerichtet, die es dem gesamten Datenverkehr aus solchen Quellen erlauben, auf Anfrage an Unternehmensbenutzer weitergeleitet zu werden.
Aber ist es wirklich ratsam, einfach ein ganzes CDN auf die Whitelist zu setzen? Woher wissen Sie, dass einige der bereitgestellten Websites nicht kompromittiert wurden und de facto kein Angriffsvektor sind?
Darüber hinaus – und hier wird es interessant – was wäre, wenn Sie tatsächlich ein Tool hätten, das so leistungsfähig und so schnell ist, dass es CDN-Inhalte in oder nahezu in Echtzeit auf ihr Potenzial als Sicherheitsbedrohung überprüfen kann, bevor sie die Benutzer erreichen? Wärst du nicht weise - dieses Tool, wenn es richtig konfiguriert ist, im Gegensatz zu nicht benutze es?
In diesem Szenario ist die alte Annahme, dass kein Tool so leistungsfähig und schnell sein könnte, die früher richtig war, jetzt falsch. Es ist nicht gültiger als die alte Annahme, dass vom CDN stammende Inhalte von Natur aus sicher sein müssen.
Um diese neue und ausgefeiltere Perspektive auf den Webzugriff zu implementieren, ist also ziemlich klar, dass mehr erforderlich ist als nur die Implementierung neuer Technologien (Einführung neuer Tools). Die Mitarbeiter müssen in den Funktionen und Fähigkeiten der Technologie geschult werden, und die Prozesse müssen angepasst werden, um diese neuen Informationen zu berücksichtigen. Geschieht dies nicht, werden Sicherheitsadministratoren, denen einfach neue Technologien zur Verfügung gestellt werden, diese nicht optimal nutzen. Sie werden, wenn Sie den Begriff verzeihen, ein Narr mit einem Werkzeug sein.
Behalten Sie den Überblick über Funktionen und Konfigurationen
Die Rationalisierung Ihres Anbieter-Sicherheitsstacks ist immer vorzuziehen, anstatt neue Tools mit Nischenfunktionalität einzusetzen. Andernfalls könnten es die Chief Information Security Officers (CISOs) versuchen einen Vorratsschrank sichern, ohne zu wissen, welche Sperren tatsächlich wirksam sind. Trotzdem ist dies keine einmalige Verantwortung.
Angenommen, es wählt beispielsweise einen Partner für die Netzwerksicherheit, einen anderen für die Endgerätesicherheit und einen dritten speziell für das Identitätsmanagement aus. Angenommen, alle drei Partner sind wirklich Top-Tier.
Wenn die Mitarbeiter und Prozesse der Organisation die Fähigkeiten der Partner nicht verstehen und voll ausschöpfen, werden diese Fähigkeiten keinen Gesamtwert liefern und die Organisation wird nicht so geschützt sein, wie sie sein könnte. Die Anzahl der Sicherheitstools wurde im Wesentlichen auf drei großartige Tools reduziert, aber die Sicherheitsarchitektur erfordert weiterhin kontinuierliche Aufmerksamkeit.
Im Zeitalter der Cloud werden Updates und Funktionen ständig gepusht. Das bedeutet, dass es nicht ausreicht, ein neues Sicherheitstool einmal zu konfigurieren und sich dann zurückzuziehen. Da neue Funktionen den Betrieb eines Unternehmens auf für einen Anbieter unvorhersehbare Weise stören können, werden sie häufig standardmäßig deaktiviert, wenn sie zum ersten Mal veröffentlicht werden. Um am effektivsten zu sein, müssen Sicherheitstools regelmäßig neu konfiguriert werden.
Ich schließe mit einem allgemeinen Beispiel, das ich häufig sehe. Da Botnets ein großes anhaltendes Problem darstellen, ist es wichtig, über einige Funktionen zur Bot-Erkennung/Bot-Blockierung zu verfügen. Dies kann in Form von Überwachungsprotokollen für Dinge wie kompromittierte Endpunkte erfolgen, die Command-and-Control-Server möglicherweise zu kontaktieren versuchen, um Anweisungen zu übermitteln.
Dies ist genau die Art von Informationssicherheitsmanagern, die begeistert sein sollten.
Da viele Abteilungen jedoch nicht die Zeit oder Lust haben, ihre Protokolle zu analysieren, profitieren sie nicht von den darin enthaltenen Informationen. Infolgedessen werden kompromittierte Endpunkte nicht bereinigt und es werden keine Forensiken durchgeführt, um herauszufinden, wie sie überhaupt kompromittiert wurden.
Das bringt mich zu meinem Fazit: Halten Sie die Augen offen, verstehen Sie, was neue Technologien und neue Partner leisten können, und nutzen Sie sie optimal. Sowohl Ihre Organisation als auch Ihre Karriere werden davon profitieren.
Lesen Sie weiter Partnerperspektiven mit Zscaler.
- SEO-gestützte Content- und PR-Distribution. Holen Sie sich noch heute Verstärkung.
- Platoblockkette. Web3-Metaverse-Intelligenz. Wissen verstärkt. Hier zugreifen.
- Quelle: https://www.darkreading.com/zscaler/a-fool-with-a-tool-is-still-a-fool-a-cyber-take
