Die Prüfung wurde beendet. Ihre Angriffsfläche hat das nicht getan
Die meisten Unternehmen sind nicht deshalb unsicher, weil ihnen Instruments fehlen. Sie sind unsicher, weil sie aufgehört haben, nachzuschauen. Die Prüfung wird abgeschlossen. Der Bericht landet im Aktenschrank. Alle atmen aus. Und sobald das Ereignis endet, bewegt sich Ihre Angriffsfläche weiter, ohne dass jemand zuschaut.
In Ihrem Sicherheitsprogramm ist in Ihrem Unternehmen ein zentraler Fehler verborgen. Die Groups überlegen, welchen Scanner sie kaufen und wie oft sie ihn verwenden sollen. Echte Fragen, beides. Aber ihnen liegt etwas Tieferes zugrunde: Sie betrachten die äußere Sicherheit als eine Reihe diskreter Ereignisse und nicht als einen kontinuierlichen Rhythmus. Auf diese Weise sorgt Ihr Unternehmen für Betriebszeit. Ihr Unternehmen sorgt auf diese Weise für Latenz. Ihr Unternehmen erwirtschaftet auf diese Weise Einnahmen. Aber Sicherheit? Sicherheit steht neben Vorstandssitzungen und Steuerfristen im Kalender.
Der Kalender ist der beste Freund des Gegners
Angreifer agieren nicht nach Ihrem Zeitplan. Sie warten nicht auf Ihr jährliches Pentestfenster. Sie scannen das Web ständig, opportunistisch und wahllos. Die Lücke zwischen Ihrem letzten und Ihrem nächsten Test ist für sie keine Ausfallzeit. Es ist offene Saison.
Überlegen Sie, was zwischen den Ereignissen passiert. Ein Ingenieur startet eine Staging-Umgebung, um ein Produktionsproblem zu beheben, vergisst aber, sie abzureißen. Ein Marketingteam richtet eine Microsite auf einer Subdomain ein, von der noch niemand etwas gehört hat. Eine Abhängigkeit, die Ihr Unternehmen drei Jahre lang verwendet hat, liefert ein bösartiges Replace. Ein Cloud-Speicher-Bucket wird während einer Migration neu konfiguriert und wird veröffentlicht.
Nichts davon taucht in einem vor zwei Monaten verfassten Bericht auf. Sie alle sind heute ausnutzbar.
Das ereignisbasierte Modell geht davon aus, dass Ihre Angriffsfläche zwischen den Überprüfungen stabil bleibt. Das passiert nie. Jeder Einsatz verändert, was die Außenwelt sehen kann. Jeder neue Anbieter verändert es. Jede Akquisition verändert es. Eine vierteljährliche Überprüfung ist so, als würden Sie einmal professional Saison die Aufnahmen von Überwachungskameras überprüfen und Ihr Gebäude als sicher bezeichnen.
Wie Ihnen Compliance beigebracht hat, so zu denken
Die Occasion-Mentalität struggle kein Zufall. Ihre Branche wurde darauf trainiert, in Momentaufnahmen zu denken.
Compliance-Frameworks leben von Daten. Sie werden in einem Rhythmus auditiert. Sie legen Beweise für ein Fenster vor. Sie bezeugen einen Zustand von einem Second an. Angemessen für einen Prüfer, der einen vertretbaren Schnappschuss benötigt. Katastrophal, wenn Unternehmen die Momentaufnahme mit dem eigentlichen Ziel verwechseln.
Sicherheitsteams optimieren für den Snapshot. Sie streiten sich vor der Prüfung. Befunde bereinigen. Artefakte generieren. Passieren. Das Zertifikat erscheint auf der Web site. Dann entspannt sich die Organisation, weil die Veranstaltung vorbei ist und die nächste elf Monate entfernt ist.
Das Framework struggle nie als Ihre Sicherheitsstrategie gedacht. Es ist ein Boden, einmal gemessen. Ihre Organisation hat daraus eine Obergrenze gemacht, die jährlich eingehalten wird.
Ergebnis: Unternehmen, die nachweislich konform und zugleich wirklich unsicher sind. Keine Widersprüche. Vorhersehbare Ergebnisse, wenn der Prüfungskalender die Arbeit definiert.
Häufigkeit ohne Integration ist immer noch ein Ereignis
Sobald die Lücken offensichtlich werden, besteht die instinktive Lösung darin, häufiger zu scannen. Aber ein täglicher Scan, bei dem eine PDF-Datei auf einem freigegebenen Laufwerk abgelegt wird, das niemand liest, ist keine kontinuierliche Sicherheit. Es ist derselbe Fehler, der sich 365 Mal im Jahr wiederholt und Lärm statt Aktion erzeugt.
Die eigentliche Frage struggle nie: „Wie oft scannen wir?“ Es geht darum, ob Sicherheitsergebnisse in dieselben Betriebsmechanismen einfließen, die den Relaxation Ihres Unternehmens steuern.
Wenn die CPU-Leistung eines Servers ansteigt, wird eine Warnung ausgelöst. Jemand wird angerufen. Das Drawback wird einer Triage unterzogen. Eigentümer. Schwellenwerte. Eskalation. Comply with-up. Ein Rhythmus.
Die meisten externen Sicherheitsbefunde enthalten nichts davon. Eine Frequenz und ein Friedhof.
Wie kontinuierliche Überwachung tatsächlich aussieht
Betriebssicherheit bedeutet, dass sich Sicherheit wie alles andere verhält, was Sie kontinuierlich ausführen.
Die Erkennungsgeschwindigkeit ist wichtig. Eine Subdomain, die heute Morgen on-line gegangen ist, sollte heute Morgen bekannt sein. Das Zeitfenster zwischen „das wurde erreichbar“ und „wir wissen davon“ ist die Messgröße, auf die es ankommt. Quick niemand misst es.
Erkenntnisse haben Besitzer und Pfade. Ein Ticket in derselben Warteschlange, in der sich bereits Ingenieure befinden. Schweregrad. Bevollmächtigter. Eine Uhr. Sicherheitsarbeiten, die in einem separaten System ausgeführt werden und in einem separaten Rhythmus von einem separaten Staff überprüft werden, bleiben immer hinter dem Unternehmen zurück, das sie schützen sollen.
Sie beobachten den Development, nicht den Second. Die nützliche Frage lautet nicht: „Sind wir heute sauber?“ Es geht darum: „Wächst oder schrumpft unser Engagement und warum?“ Nur ein kontinuierliches Sign kann darauf antworten. Sie beginnen, Muster zu erkennen. Ein bestimmtes Staff versendet ständig Fehlkonfigurationen. Die Gefährdung steigt jedes Mal, wenn Sie einen Anbieter einbinden. Sie fixieren den Prozess und nicht den einzelnen Befund.
Der kulturelle Wandel ist schwieriger als der technische
Nichts davon erfordert exotische Technologie. Der schwierige Teil ist nicht die Instrumentierung. Die Unternehmenskultur sehnt sich nach Ziellinien.
Veranstaltungen fühlen sich intestine an. Klarer Anfang. Klares Ende. Lieferbar können Sie eine Tafel vorzeigen. „Wir haben das Audit bestanden“ ist ein zufriedenstellender Satz. „Wir sorgen kontinuierlich für eine geringe externe Belastung und unsere durchschnittliche Zeit zur Erkennung neuer Vermögenswerte beträgt weniger als einen Tag“ passt nicht auf eine Folie.
Kein Konfetti für einen Rhythmus. Nur die ständige Arbeit, auf dem Laufenden zu bleiben.
Die Führung muss aufhören zu fragen „Haben wir bestanden“ und stattdessen anfangen zu fragen „Was ist unser Bekanntheitstrend und wem gehört er?“ Sicherheitsteams müssen aufhören, anhand erstellter Berichte zu messen, und stattdessen mit der Messung der Verzögerung zwischen Änderung und Erkennung beginnen.
Ihre gesamte Organisation muss einen Grundsatz verinnerlichen: Sicherheit ist eine Eigenschaft Ihrer täglichen Arbeit und kein Zustand, den Sie regelmäßig erreichen und dann aufgeben.
Der Realitätscheck
Unternehmen, die Opfer eines Angriffs werden, sind selten diejenigen, die über die schlechtesten Instruments verfügen. Sie sind diejenigen, die glaubten, sie seien erledigt. Das Audit bestanden. Habe den Pentest eingereicht. Habe den Scan durchgeführt. Behandelte alles als Reiseziel und nicht als Herzschlag.
Fragen Sie nicht mehr, wann Sie das letzte Mal nachgesehen haben. Die Vorwärtsdynamik ist wichtiger.
Die richtige Frage ist, ob Sie überprüfen, wie schnell sich Ihre Angriffsfläche ändert. Was ständig der Fall ist.
Sicherheit ist kein Datum, auf das man verweisen kann. Sicherheit ist ein Tempo, das man entweder einhält oder zurückfällt.
Was das in der Praxis bedeutet
Kontinuierliches externes Angriffsflächenmanagement bedeutet eine Erkennung, die in dem Tempo erfolgt, in dem sich Ihre Umgebung verändert, und nicht in dem Tempo, das Ihr Budgetzyklus zulässt. Das bedeutet, dass eine neue Domäne oder ein offengelegter Dienst innerhalb weniger Stunden, nachdem sie erreichbar sind, erkannt wird, und nicht erst Wochen später in einem Batch-Bericht.
Die Ergebnisse werden bestimmten Groups zugeordnet. Priorisiert nach Ausnutzbarkeit. Aufgetaucht, wo bereits Ingenieure arbeiten.
Die Zeitspanne zwischen „das hat sich geändert“ und „wir wissen davon“ schrumpft von Monaten auf Stunden. Die Lücke verringert sich von einer Vermutung zu einer Tatsache. Unterschied zwischen dem Beobachten eines Developments und dem Betrachten eines Schnappschusses.
Es geht nicht um Raffinesse. Es ist Konsistenz. Sicherheit, die mit der Geschwindigkeit läuft, mit der sich Ihre Angriffsfläche bewegt, sodass die Ruhephasen das bedeuten, was sie sollten: Sicherheit, nicht Blindheit.