Bewertung

Grundlegende Sicherheitsvorkehrungen

Woher wissen Sie, ob Sie bereit sind, ein Programm zur Offenlegung von Sicherheitslücken (Vulnerability Disclosure Program, VDP) zu starten? Es gibt wichtige Prüfungen, die du vor der Implementierung eines VDP durchführen solltest. Diese Bewertungen helfen Ihnen, Lücken in Ihrer Infrastruktur zu identifizieren und das Team auf den Stream eingehender Fehlerberichte vorzubereiten. Ein richtig implementiertes VDP sorgt für regelmäßige Berichte. Wenn Ihr Team nicht für die zusätzliche Arbeitslast bereit ist, könnte das neue Programm negative Auswirkungen haben, anstatt die Sicherheit zu verbessern. Wenn Sie Ihr Sicherheitsprogramm im Hinblick auf die Ermittlung und Behebung von Lücken bewerten, können Sie den Durchsatz eines VDP besser bewältigen. Wenn du umgehend auf gemeldete Sicherheitslücken reagierst, kannst du deine Beziehung zur Hacker-Community verbessern und so das Programm gesünder gestalten.

Grundlegende Sicherheitsvorkehrungen

Unabhängig vom Reifegrad Ihrer Organisation oder den verfügbaren Ressourcen ist die Bewertung Ihrer aktuellen Sicherheitshygiene der beste Weg, um Lücken zu erkennen. Im Folgenden wird die Identifizierung potenzieller Lücken in wichtigen Bereichen erörtert, die häufig übersehen werden. Dazu gehören die Suche nach Fehlern, die Behebung von Fehlern, die Ursachenanalyse, die Erkennung und Reaktion sowie die Sicherheitskultur.

Suchen nach Programmfehlern

Bei der Vorbereitung auf den Start eines VDP ist es wichtig, die Methoden zu bewerten, mit denen dein Team Sicherheitslücken in deiner Umgebung identifiziert. Im Rahmen der Bewertung und Vorbereitung auf die Inbetriebnahme eines VDP sollten erste Schritte unternommen werden, um Sicherheitslücken zu finden und zu beheben.

Andernfalls kann es beim Start des VDP zu einer starken Zunahme von Sicherheitslückenberichten kommen, was Ihr Team überfordern kann. Wenn Sie einen grundlegenden Scan- und Sicherheitsüberprüfungsprozess einrichten, kann Ihr Unternehmen solide Prozesse für die Behandlung von Sicherheitsproblemen einrichten. Wenn du dein VDP startest, bist du besser auf eingehende Meldungen zu Sicherheitslücken vorbereitet.

Fehlerbehebung

Neben der Identifizierung von Sicherheitslücken benötigen Sie klar definierte Prozesse und Ressourcen, um dafür zu sorgen, dass Sicherheitslücken zügig behoben werden . Es reicht nicht aus, Fehler einfach zu finden. Die Sicherheit wird nur verbessert, wenn Fehler behoben werden. Haben Sie Prozesse und Ressourcen für das Management von Sicherheitslücken? Wie ist die Sicherheitskultur in Ihrem Unternehmen? Wird das Sicherheitsteam als Negativisten, Hindernisse oder Hürden des Engineering-Teams betrachtet? Oder werden Sie als Kollaborationspartner betrachtet? Wie priorisieren Sie die Behebung von Sicherheitslücken? Haben Sie eine gemeinsame Nomenklatur und Kenntnisse über den Schweregrad und die Behebungsfristen? Wie einfach oder schwierig ist es, eine Person zur Behebung einer erkannten Schwachstelle zu finden? Verfolgen Sie Metriken zu erkannten Sicherheitslücken, einschließlich der Zeit zur Behebung? Verfügt Ihr Unternehmen über ein Asset-Inventar oder ist das ein weit entfernter Traum von der Zukunft? Auch hier gilt: Wenn Sie sich damit auskennen und dafür sorgen können, dass schwerwiegende Fehler schnell behoben werden, Sie eine solide Beziehung zu den Teams und Einzelpersonen haben, die für die Behebung von Sicherheitslücken zuständig sind, und Ressourcen vorhanden haben, um eingehende Ströme von Sicherheitslücken reibungslos zu verarbeiten, dann sind Sie auf dem besten Weg. Falls nicht, erhalten Sie im nächsten Kapitel eine Anleitung zur Implementierung eines erfolgreichen Programms zur Verwaltung von Sicherheitslücken. In beiden Fällen ist es wichtig, solide Praktiken zum Verwalten von Sicherheitslücken implementiert zu haben, damit Sie mit den neuen Fehlern Ihres VDP umgehen und zeitnah auf erkannte Sicherheitslücken reagieren und diese beheben können.

Ursachenanalyse

Führen Sie neben der operativen Arbeit, Fehler als einmaliges Problem zu finden und zu beheben, eine Ursachenanalyse (RCA) von Problemen durch und identifizieren Sie systemische Ursachen für die Einführung von Sicherheitslücken in Ihrer Umgebung? Es ist toll, Fehler schnell zu finden und zu beheben. Wenn es jedoch um ein erfolgreiches VDP geht, solltest du in der Lage sein, zu ermitteln, wie diese Fehler von vornherein auftreten. Dabei kann es sich um verschiedene Formate handeln, z. B.:

  • Ermitteln, wie eine Sicherheitslücke in Anwendungen entstanden ist
    • Verwenden Entwickler gängige Bibliotheken und Frameworks, die das Risiko von Sicherheitslücken verringern?
  • Daten analysieren und Trends erkennen
    • Stellen Sie fest, dass die von einem bestimmten Team verwaltete Infrastruktur nie mit Sicherheitsupdates gepatcht wird?
  • Sicherheitsvorfälle oder Datenpannen.
    • Führen Sie zusammen mit allen verbundenen Parteien eine Postmortem-Analyse durch, um zu analysieren, was passiert ist und warum, und daraus lernen, um in Zukunft nicht dieselben Fehler zu machen.

Ohne eine solche Korrektur kann viel Arbeit auf die Verarbeitung zahlreicher ähnlicher Fehlerberichte aus deinem VDP vergeudet werden. Wenn Sie in Zukunft ein Belohnungsprogramm für Sicherheitslücken starten, wirkt sich eine fehlende RCA auch finanziell auf Ihr Unternehmen aus. Im nächsten Kapitel erhalten Sie genauere Ratschläge zur Implementierung von RCA-Prozessen und eine Postmortem-Kultur.

Erkennung und Reaktion

Wenn Sie externe Forscher dazu einladen, Ihre Assets zu hacken, wirkt sich dies auf Ihre Erkennungs- und Reaktionsmechanismen aus. Wenn Sie Systeme zur Einbruchserkennung und -prävention eingerichtet haben, sollten Sie überlegen, welche Arten von Tests die Sicherheitsexperten durchführen sollen. Erstellen Sie Ausnahmen für sie, um Sicherheitslücken „hinter diesen automatisierten Abwehrsystemen zu finden?“ Wenn zehn Forscher alle an einem Samstag um 2:00 Uhr auf Sicherheitslücken scannen, Ihre extern zugänglichen Assets werden dann Alarme ausgelöst, die Ihr Sicherheitsteam wecken? Wie erkennen Sie legitimen Testtraffic von Sicherheitsexperten im Vergleich zu einem potenziellen echten Angriff auf Ihre Systeme? Wissen Sie, wie Sie Daten nutzen können, die von Sicherheitsforschern beim Testen Ihrer Systeme generiert werden? Könnte ein Sicherheitsforscher versuchen, Nutzernamen und Passwörter per Brute-Force-Angriffe zu erraten, könnten dann echte Nutzer ausgesperrt werden? Bevor du ein VDP startest, solltest du all diese Aspekte berücksichtigen. Sie müssen mit den Sicherheitsexperten klar definieren, welche Arten von Tests zulässig sind und welche nicht, und wie Sie Ihre vorhandenen Erkennungs- und Reaktionsmechanismen konfigurieren. Im nächsten Kapitel erfahren Sie, wie Sie vorgehen sollten.

Sicherheitskultur

Die Kultur innerhalb Ihrer Organisation hat großen Einfluss auf Ihre Fähigkeit, ein erfolgreiches VDP zu starten und aufrechtzuerhalten. Es ist gut, einen Schritt zurückzugehen und zu verstehen, wer die wichtigsten Stakeholder sind, die in diese Initiative übernehmen müssen, und in welcher Beziehung sie zum Informationssicherheitsteam stehen. Basierend auf den verschiedenen relevanten Stakeholdern und davon, wie Sie mit einem Vorschlag zur Einführung eines Programms zur Offenlegung von Sicherheitslücken umgehen, müssen Sie Methoden und Materialien identifizieren, um sie von diesem Konzept zu überzeugen. Ein wichtiger Stakeholder, der nicht an Bord ist, könnte den Start eines VDP unter Umständen verhindern.