Der Gartner Security & Risk Management Summit ist eine wichtige Veranstaltung für CISOs, CIOs und andere Sicherheitsexperten. Der Gipfel bietet drei fokussierte Lern- und Testtage, in denen Sicherheitspläne und -strategien gestärkt sowie der Markt und die verfügbaren Lösungen besprochen werden.
Unser gesamteuropäisches F-Secure Countercept-Team und ich haben an dem Gipfel teilgenommen, um uns mit unseren Kollegen und Kunden aus der gesamten Branche zu treffen und unsere neuesten Erkenntnisse des Marktes auszutauschen. Ich hielt auch einen Vortrag über “Rethinking Response” – das ist unser Grundsatzprogramm zum Aufspüren, Reagieren und Eingrenzen von Angriffen auf kollaborative und effektive Weise, bevor sie Auswirkungen auf das Geschäft haben. Der Vortrag löste dabei eine lebhafte Debatte aus und erhielt überaus positives Feedback.
Es war auch fantastisch, einige großartige Diskussionen mit Unternehmen über ihre Herausforderungen zu führen und dabei unsere und ihre Gedanken zum Thema auszuloten.
Mein Team und ich identifizierten einige aufkommende Themen. Sie befassen sich mit den internen Herausforderungen von Sicherheitsexperten. Auch die anhaltende Fähigkeit der Bedrohungslandschaft die Nutzer zu schockieren und zu betäuben ist ein Thema. Ebenfalls interessant ist, wie CISOs die Unterstützung von Sicherheitspartnern gewinnen können, um die Sicherheitslage ihres Unternehmens zu verbessern und somit auch ihre Karriere zu fördern. Zusammenfassend sind hier unsere sechs wichtigsten Erkenntnisse des Gartner UK-Gipfels.
1. Sicherheitsexperten sind – zu Recht – von ihren Serviceoptionen überwältigt
Der Unterschied zwischen einem MSSP, einem MDR und einem verwalteten EDR ist für die Käufer nach wie vor sehr verwirrend; was angesichts des überfüllten Marktes keine Überraschung ist. Am F-Secure-Stand hatten wir einige großartige Gespräche zum Thema, wie die richtigen Kaufkriterien festgelegt werden können. Abhängig von den geschäftlichen Anforderungen haben Unternehmen die Möglichkeit, einen Service zu implementieren und zu betreiben oder einen Managed Service zu kaufen, der auf die spezifischen Bedrohungen ihres Unternehmens zugeschnitten ist.
Aber selbst das Festlegen von Kaufkriterien ist ein komplizierter Prozess. Unternehmen sollten sich nicht scheuen ihre potenziellen Partner in diesen Prozess einzubeziehen. Denn jeder Partner, der Sie nicht dabei unterstützt Ihre allgemeine Sicherheitsstrategie zu erweitern und zu stärken, ist nicht der richtige Partner.
2. Ein guter CISO zeigt seine Stärke durch Zahlen
Wenn es darum geht die umfassenderen und differenzierteren Aspekte einer Cyber-Sicherheitsstrategie in Angriff zu nehmen, versuchen viele CISOs immer noch ihre Botschaft auf eine Weise zu übermitteln, die am besten bei ihren Kollegen auf der C-Ebene ankommt. In einem Vortrag zum Thema “The Rise of the CISO” wurde untersucht, wie ein CISO ein Vorstandsmitglied werden kann. Diese Untersuchung hat gezeigt, dass es eine Lücke zu schließen gilt, wenn es darum geht den Business Case zu berücksichtigen. CIOs müssen die Cyber-Sicherheitsagenda besser für die Vorstandsebene aufbauen und dem CISO eine klarere Richtung für die geschäftsorientierte Ausrichtung der Cyber-Strategie bieten. Dabei müssen aber die Vorstandsvertreter einen breiteren Hintergrund haben, damit sie die Cyber-Bedrohung vollständig verstehen und bewerten können.
Hier sollten Sicherheitspartner die Sprache und den Kontext bereitstellen, um diesen Prozess voranzutreiben und zu unterstützen.
3. Menschen an erster Stelle, Technologie an zweiter
Jeder – ich eingeschlossen – möchte oft die neuesten und besten Technologien nutzen. Trotz meiner Berufsbezeichnung gilt dies jedoch nicht immer für die Cyber-Sicherheit. Auf dem Gipfel habe ich mit vielen CISOs gesprochen, die Technologie ganz oben auf ihrer Agenda haben. Als unmittelbares Ziel möchten sie zum Beispiel KI, Daten- und Protokollauswertung sowie Orchestrierung einführen, um ihre Entscheidungen zu untermauern, voranzutreiben und zu unterstützen.
Ich habe diesen Ansatz immer wieder erlebt und er schlägt meistens fehl. Denn die Technologie ist nur so gut wie die Menschen, die sie nutzen. Es ist nicht unbedingt sinnvoll, Technologie zu implementieren und davon auszugehen, dass bestehende Sicherheitsteams diese einfach zu ihrem Arbeitsumfang hinzufügen können. Investitionen in die Technologie müssen stärker in den breiteren operativen Kontext einbezogen werden, wobei die Menschen, die sie betreiben und nutzen, der erste Faktor sind, der berücksichtigt werden muss, wie z.B.:
- Wie wird es dem Sicherheitsteam helfen, eine bessere Verteidigung zu gewährleisten?
- Verbessert neue Technologie die Fähigkeit unserer Mitarbeiter, Angriffe rund um die Uhr zu erkennen und darauf zu reagieren?
- Werden bestehende Rollen und Verantwortlichkeiten ergänzt oder gar behindert?
- Passt alles kurz- und langfristig zu den übergeordneten Unternehmenszielen?
4. Lassen Sie Angreifer gewähren – überdenken Sie Reaktionsstrategien
In meinem Vortrag zum Thema „Rethinking Response“ skizzierte ich die Entwicklung der Bedrohungssuche sowie unsere herstellerunabhängige Methode zur Erkennung und Reaktion. Im Anschluss führten das Team und ich zahlreiche Gespräche zu einem bestimmten Aspekt der Methode:
Ermöglichen Sie einem Angreifer das Verweilen in einem kompromittierten Netzwerk, bis das Ausmaß des Verstoßes bekannt ist.
Mehrere CISOs haben mich direkt nach meinem Vortrag angesprochen. Sie haben in der Praxis festgestellt, dass es eine große Herausforderung ist ihre Kollegen davon zu überzeugen, das Risiko einer sofortigen Eliminierung mit einer überlegten Reaktionsweise in Einklang zu bringen. Eine solche Vorgehensweise kann letztendlich zu einem besseren Verständnis in Sachen Ziele der Angreifer führen. So lässt sich sicherstellen, dass etwa lohnende Ziele in Zukunft besser geschützt sind. Durch die Beobachtung des Angreifers sind auch meist die Techniken, mit denen in das Netzwerk eingedrungen wurde, in Zukunft nicht mehr erfolgreich.
5. Entwicklung effektiver Erkennungs- und Reaktionsfähigkeiten
Das häufigste Hindernis für den Aufbau und die Wartung von Erkennungs- und Reaktionsfähigkeiten im Unternehmen ist nach wie vor der Mangel an verfügbarer Fachkenntnis im Bereich Cyber-Sicherheit. Wir veranstalteten ein Mittagessen für Sicherheitsexperten, um unsere eigenen Erfahrungen und Ratschläge zur Behebung des Fachkräftemangels auszutauschen. Einige wichtige Erkenntnisse aus dieser Sitzung:
- Setzen Sie Ihre begrenzten internen Ressourcen mit Bedacht ein, indem Sie sich auf wichtige Projekte und Funktionen konzentrieren und den Rest auslagern.
- Beteiligen Sie alle an der Cyber-Abwehr, indem Sie das allgemeine Cyber-Bewusstsein erhöhen und eine starke Sicherheitskultur entwickeln.
- Berücksichtigen Sie Vielfalt: Überlegen Sie, wie Sie nicht-traditionelle Bewerber anziehen können.
6. Wir können alle von der Reederei Maersk lernen
Der NotPetya-Angriff ist nach wie vor einer der verheerendsten Cyber-Angriffe, den die Branche je gesehen hat, und das Logistikunternehmen Maersk befand sich mitten im Geschehen. Sie hielten auf dem Gipfel einen wirklich inspirierenden Vortrag über den Vorfall und ihre kühne Herangehensweise an die Rettung der Lage. Ihre Offenheit darüber, wie sie Lieferanten und Kunden für den Wiederaufbau des Geschäfts über Tage und Wochen mobilisiert haben, ist eine großartige Fallstudie für uns alle. Ich bin mir sicher, dass der gesamte Vorfall eines Tages mal als Film verfügbar sein wird. Wenn das der Fall ist, sitze ich in der ersten Reihe.
Alle die genannten Erkenntnisse wurden von uns während des Gartner-Events 2019 gesammelt. Haben Sie vielleicht etwas anderes mitgenommen als wir? Wenn Sie Fragen oder Anregungen zu diesen Erkenntnissen haben, wenden Sie sich an mich oder an Ihren Ansprechpartner beim Vertrieb.
Wenn Sie meinen Gartner-Vortrag zu „Rethinking Response“ verpasst haben, gibt es noch eine zweite Möglichkeit ihn zu erleben. Denn ich werde meine Erkenntnisse in meinem kommenden Rethinking-Response-Webinar am 25. September 2019 noch einmal mit Ihnen teilen. Melden Sie sich jetzt an!
Kategorien