Der blinde Fleck in Ihrer Strategie zur Überwachung der Cybersicherheit

Steven Freidkin, CEO von Ntiva, erläutert Bidens neues Gesetz zur Cybersicherheit und erklärt, was dies für Unternehmen bedeutet. Er berät, wie ein Unternehmen die Risikobewertungen Ihrer Anbieter überprüfen, auf potenzielle Sicherheitslücken in Ihrer Lieferkette prüfen und die Überwachung und Compliance Ihrer Anbieter überprüfen und gleichzeitig sicherstellen kann, dass Vertragsbedingungen vorhanden sind, um den Austausch von Bedrohungsinformationen zu erleichtern.

Tools zur Überwachung der Cybersicherheit haben die Vorfälle sicherlich reduziert, aber es gibt immer noch blinde Flecken. Matt Holland, CTO & Mitbegründer bei seedata.io, untersucht, wie Unternehmen diese blinden Flecken erkennen und überwachen können effektiv




Unternehmen geben allein in diesem Jahr zusammen 120 Milliarden US-Dollar für Cybersicherheit aus, eine Zahl, die im Jahresvergleich um 10 % zunimmt. Ständig kommen neue Lösungen auf den Markt, und ein ständiger Strom neuer Anbieter tritt in den Kampf ein, um die Cybersicherheitsprobleme zu „lösen“, mit denen Unternehmen auf der ganzen Welt konfrontiert sind. So gut hatten wir es noch nie!

Und doch sehen wir immer noch, dass die Häufigkeit und das Ausmaß von Angriffen zunehmen und die finanziellen und betrieblichen Auswirkungen dieser Vorfälle zunehmen. Wir wissen, dass es ein Zermürbungskampf ist und die Dinge viel schlimmer wären, wenn wir uns nicht so anstrengen würden, aber wir wären fahrlässig, wenn wir uns nicht gelegentlich fragen würden: „Machen wir das richtig?“.

Wir erstellen Inventare unserer Vermögenswerte. Wir bewerten Risiken, identifizieren Bedrohungen und beheben Schwachstellen. Wir entwickeln Anwendungen, die vom Design her sicher sind, und wir begrüßen Bug-Bounty-Berichte. Jedes Jahr prüfen wir, ob die Tools, Prozesse und Menschen, die wir zur Umsetzung unserer Strategie einsetzen, optimal sind, und ob wir hier und da möglicherweise einen Apfel für eine Orange haben. Einstein sagte: „Die Definition von Wahnsinn ist, immer wieder dasselbe zu tun und andere Ergebnisse zu erwarten.“ Und so frage ich: „Machen wir das richtig?“

Ich kann Ihnen keine allgemeine Offenbarung bieten, die die gesamte Cybersicherheitsbranche hinter sich lassen wird (sorry), aber es gibt einen Bereich, auf den ich meine Figur richten und darauf hinweisen möchte, dass wir philosophisch gesehen einen Trick verpassen; die der Überwachung.


Überwachen wir richtig? 

Ich bemängele die Tools oder Prozesse, die heute vorhanden sind, nicht, hauptsächlich machen sie gute Arbeit in dem, worum wir sie gebeten haben. Ich bin nicht hier, um Anbieter gegen Anbieter auszuspielen, sondern um ein grundlegendes Prinzip in Frage zu stellen, für das unsere Branche Milliarden von Dollar ausgegeben hat. Sie sehen, die Überwachung der Cybersicherheit, wie wir sie jetzt durchführen, ist fehlerhaft, und wir haben eine falsche Abhängigkeit geschaffen, der sie niemals gerecht werden kann.

Wir sammeln Ereignisse aus unserem gesamten Umfeld und unseren verschiedenen Lieferantenplattformen. Wir korrelieren sie mit Signaturen und Mustern und führen sie durch KI-Algorithmen, um nach Indikatoren für Kompromittierungen oder andere Hinweise auf verdächtige Aktivitäten zu suchen. Jeder Tag, an dem unsere SOC-Bildschirme einen gesunden Grünton haben, wird als Sieg betrachtet, und wir erklären uns für sicher

Aber wir sind es nicht! Das ist die Lüge der Überwachung. Die einzige Tatsache, die diese schönen Dashboards wirklich vermitteln können, ist, dass sie nichts gefunden haben. 



Lesen Sie mehr: Cybersicherheit auf Top Business Tech



Bleiben Sie hier bei mir … Die Sicherheitsüberwachung ist effektiv eine Form des modellbasierten Testens; Es zielt darauf ab, den Betrieb eines Systems aus Verhaltenssicht zu validieren, dh sicherzustellen, dass es den erwarteten funktionalen Ergebnissen entspricht. Es erfordert, dass das zu beobachtende System gemäß vorgegebenem und erwartetem Verhalten unter bestimmten Umständen überprüft wird. 

Sicherheitsüberwachung ist also eine Form des Testens. Wie Ihnen jeder Software-Ingenieur, der etwas auf sich hält, sagen wird, kann Testen das Vorhandensein von Fehlern erkennen, aber nicht das Fehlen von Fehlern. Wir verirren uns in philosophische Fragen von Beweis gegen Beweis, aber was ich versuche zu sagen, ist, dass nur weil Ihr SOC keine Vorfälle gefunden hat, das nicht bedeutet, dass Sie keine hatten.


Es ist nicht wenn, aber wann

Als nächstes werde ich einen weiteren True-ism überlagern; In der Cybersicherheit geht es nicht um das Ob, sondern um das Wann. Wir akzeptieren und handeln auf der Grundlage, dass uns ein Vorfall passieren wird, und wir müssen vorbereitet sein. Wir verbringen Stunden damit, Disaster-Recovery-Verfahren und Krisenproben zu üben. Und das aus gutem Grund, wenn man sich die Statistiken in verschiedenen jährlichen Berichten über Sicherheitsverletzungen ansieht

Und damit zur Pointe. Wenn wir akzeptieren, dass ein Vorfall in der Zukunft passieren wird, und wir akzeptieren, dass die Überwachung nur gut darin ist, Ihnen mitzuteilen, was sie gefunden hat, dann müssen wir ebenso akzeptieren, dass es genauso wahrscheinlich ist, dass Sie in der Vergangenheit einen Vorfall hatten und du weißt es noch nicht. Möglicherweise mehrere Vorfälle.


"seedata.io kann sagen, ob ein Angriff hat bereits ist passiert … auch wenn Ihr SOC es nicht bemerkt hat.“


Wir können uns alle versuchen und trösten, indem wir sagen, dass unsere verschiedenen Überwachungstools die Spielräume, in denen sich ein Vorfall verstecken könnte, auf ein fast winziges Risiko reduziert haben, aber auch hier gilt, dass diese Logik nur gültig ist, wenn Sie glauben, die volle potenzielle Breite davon zu kennen Rand. Wenn wir alles wüssten, was wir nicht überwachen könnten, würden wir sicherlich anfangen, es zu überwachen. Es ist Donald Rumsfeld, der auf ein Johari-Fenster mit „unbekannten Unbekannten“ starrt.

Um Ihnen keine schlaflosen Nächte zu bereiten, werde ich die Anfänge einer Lösung beschreiben und Ihnen mitteilen, wie mein Unternehmen seedata.io darauf abzielt, diesen blinden Fleck zu beheben. Wir glauben, dass die Platzierung und Überwachung verfolgbarer Daten eine reichhaltigere und vollständigere Überwachungsstrategie bieten wird, indem sie Telemetrie nach Angriffen einbezieht. Ihr SOC kann Ihnen mitteilen, wenn ein Angriff im Gange ist, und Ihnen helfen, ihn zu verhindern, und seedata.io kann feststellen, ob ein Angriff bereits stattgefunden hat und die Daten Ihre Kontrolle verlassen haben, selbst wenn Ihr SOC ihn nicht bemerkt hat.

Wenn das interessant klingt, sprechen Sie uns an [email protected] 


Ein Bild von Cybersicherheit, Cybersicherheit, der blinde Fleck in Ihrer Cybersicherheitsüberwachungsstrategie

Matthias Holland

Matt Holland ist ein Cybersicherheitsexperte mit umfassender Erfahrung in der Entwicklung, Implementierung und Verwaltung von Cybersicherheitslösungen in komplexen Geschäftsumgebungen. Matt ist CTO und Mitbegründer von seedata.io, einer SaaS-Plattform, die die Zeit verkürzt, die zum Aufdecken von Cybersicherheitsverletzungen benötigt wird, indem sie Daten mit nachverfolgbaren Aufzeichnungen füttert.