Rapid Security Assessments mittels NIST CSF

Rapid Security Assessments mittels NIST CSF

Rocco Gagliardi
von Rocco Gagliardi
am 24. November 2016
Lesezeit: 6 Minuten

Ein Information Technology Security Assessment ist eine Sammlung von Methoden, Prozeduren und Dokumenten, um Schwachstellen und Risiken innerhalb einer Organisation sowie der schon eingebrachten Controls ausfindig zu machen. Bedeutet dies, dass wir gemütlich durch das Unternehmen spazieren und zwischendurch den Fragenkatalog ausfüllen können?

Nicht wirklich. Die Analyse eines Objekts ist zwar grundsätzlich eine einfache Tätigkeit: Anhand einer Checkliste die Richtigkeit der Prüfpunkte identifizieren. Doch viele Objekte sind sehr komplex und in umso komplexere Umgebungen eingebettet. Normalerweise hat man aber nicht Monate zur Verfügung, um die entsprechende Analyse voranzutreiben.

Es existieren viele verschiedene Werkzeuge, die einen Auditor bei seiner Arbeit unterstützen können. Mein bevorzugtes Mittel, es bietet die optimale Balance zwischen Komplexität und Komplettheit, ist das NIST Cybersecurity Framework (NIST-CSF).

Das NIST Cyber Security Framework

CSF wurde ursprünglich entwickelt, um exponierten Unternehmen zur Verfügung zu stehen. Der Inhalt des Frameworks ist aber grundsätzlich für jede Organisation anwendbar, die sich um das Thema Cybersecurity bemüht.

Das CSF beinhaltet Implementation Tiers, das eine übersichtliche Messung der organisatorischen Cybersecurity erlaubt und damit die Sicht auf die Sicherheit messbar und nach Risiken sortiert ermöglicht.

Die fünf Framework Core Functions werden unten aufgezeigt. Diese Funktionen sind nicht streng linear anzuwenden. Sie führen ebenso nicht zu einem strengen statischen Resultat. Stattdessen können diese Funktionen parallel und zeitgleich durchgeführt werden, um mit hoher Dynamik dem Thema Cybersecurity zu begegnen.

Das NIST Cybersecurity Framework

Rapid Security Assessment (RSA)

Ein Security Assessment besteht aus dem Lesen verschiedener Dokument, dem Verstehen der Infrastruktur und der zugrunde liegenden Prozesse, der Identifikation der Abweichungen der vorgesehenen und etablierten Controls, der Prüfung der Etablierung der beschriebenen Prozesse und der Dokumentation sowie Rapportierung der Unterschiede. Selbst die allgemeine Prüfung eines einzelnen Servers kann mehrere Tage in Anspruch nehmen.

In vielen Fällen ist zur Identifikation von Schwachstellen kein umfangreiches Vorgehen erforderlich. Mit der entsprechenden Erfahrung können punktuelle Prüfungen durchgeführt und so sehr schnell erste Resultate herauskristallisiert werden. Doch wenn man zügig arbeitet, erhöht sich das Risiko für Fehler. Während eines Assessments zeigt man gut und gerne mit dem Finger auf die Fehler anderer Leute und die damit einhergehenden Konsequenzen können nicht immer nur schön sein.

Das Assessment muss zwar schnell vonstattengehen – Es muss aber auch komplett und konsistent ausfallen, während die Resultate messbar bleiben.

Wir messen deshalb den Umfang und die Qualität der geprüften Controls wie folgt:

Rapid Security Assessment

Nicht alle mögen den Regenbogen

Nachdem sämtliche Informationen gesammelt wurden, müssen diese analysiert und priorisiert werden. Dabei gilt es den G-Y-R Code zu jedem einzelnen Control zu bestimmen und das Resultat zu messen. In NIST-CSF finden sich verschiedene Controls, wobei nicht jedes Unternehmen alle diese im Einsatz hat.

Wir haben uns entschiedenen, ein absolutes Minimum der CIS Critical Security Controls einzusetzen. Die CIS-CSC stellen ein empfohlenes Set an Aktionen bereit, die konkret auf heutige Gefahren anwendbar sind.

Das Zuweisen von CIS-CSC zu NIST-CSF macht es möglich, die Performance eines jeden Controls innerhalb von NIST-CSF zu bestimmen:

Dank dieser Metrik und dem Verknüpfen der Resultate wird es möglich, Werte, Trends und Performances in den Daten zu erkennen. Dies unterstützt die Entscheidung mit konkreten Daten.

Hier einige Beispiele, wie sie extrapoliert werden können:

RSA Analyse

Zusammenfassung

Ein Security Assessment ist eine Verkettung verschiedener Aufgaben. Dabei ist die Prüfung eines Unternehmens eine sehr komplexe und schwierige Angelegenheit, die sowohl technisches Verständnis als auch zwischenmenschliches Feingefühl erfordert. Wir haben mit dem Rapid Security Assessment eine Methode entwickelt, um diese Arbeit schnell und zuverlässig erledigen zu können. Dadurch können Investitionen und Aufwände minimiert werden, um strategische und taktische Entwicklungen bezüglich der Sicherheit richtig in Position bringen zu können.

Über den Autor

Rocco Gagliardi

Rocco Gagliardi ist seit den 1980er Jahren im Bereich der Informationstechnologie tätig. In den 1990er Jahren hat er sich ganz der Informationssicherheit verschrieben. Die Schwerpunkte seiner Arbeit liegen im Bereich Routing, Firewalling und Log Management.

Links

Sie brauchen Unterstützung bei einem solchen Projekt?

Unsere Spezialisten kontaktieren Sie gern!

×
Schutz vor Phishing

Schutz vor Phishing

Rocco Gagliardi

Logging

Logging

Rocco Gagliardi

IT Security Policies

IT Security Policies

Rocco Gagliardi

Sie wollen mehr?

Weitere Artikel im Archiv

Sie brauchen Unterstützung bei einem solchen Projekt?

Unsere Spezialisten kontaktieren Sie gern!

Sie wollen mehr?

Weitere Artikel im Archiv