Ein Information Technology Security Assessment ist eine Sammlung von Methoden, Prozeduren und Dokumenten, um Schwachstellen und Risiken innerhalb einer Organisation sowie der schon eingebrachten Controls ausfindig zu machen. Bedeutet dies, dass wir gemütlich durch das Unternehmen spazieren und zwischendurch den Fragenkatalog ausfüllen können?

Nicht wirklich. Die Analyse eines Objekts ist zwar grundsätzlich eine einfache Tätigkeit: Anhand einer Checkliste die Richtigkeit der Prüfpunkte identifizieren. Doch viele Objekte sind sehr komplex und in umso komplexere Umgebungen eingebettet. Normalerweise hat man aber nicht Monate zur Verfügung, um die entsprechende Analyse voranzutreiben.

Es existieren viele verschiedene Werkzeuge, die einen Auditor bei seiner Arbeit unterstützen können. Mein bevorzugtes Mittel, es bietet die optimale Balance zwischen Komplexität und Komplettheit, ist das NIST Cybersecurity Framework (NIST-CSF).

Das NIST Cyber Security Framework

CSF wurde ursprünglich entwickelt, um exponierten Unternehmen zur Verfügung zu stehen. Der Inhalt des Frameworks ist aber grundsätzlich für jede Organisation anwendbar, die sich um das Thema Cybersecurity bemüht.

Das CSF beinhaltet Implementation Tiers, das eine übersichtliche Messung der organisatorischen Cybersecurity erlaubt und damit die Sicht auf die Sicherheit messbar und nach Risiken sortiert ermöglicht.

Die fünf Framework Core Functions werden unten aufgezeigt. Diese Funktionen sind nicht streng linear anzuwenden. Sie führen ebenso nicht zu einem strengen statischen Resultat. Stattdessen können diese Funktionen parallel und zeitgleich durchgeführt werden, um mit hoher Dynamik dem Thema Cybersecurity zu begegnen.

Rapid Security Assessment (RSA)

Ein Security Assessment besteht aus dem Lesen verschiedener Dokument, dem Verstehen der Infrastruktur und der zugrunde liegenden Prozesse, der Identifikation der Abweichungen der vorgesehenen und etablierten Controls, der Prüfung der Etablierung der beschriebenen Prozesse und der Dokumentation sowie Rapportierung der Unterschiede. Selbst die allgemeine Prüfung eines einzelnen Servers kann mehrere Tage in Anspruch nehmen.

In vielen Fällen ist zur Identifikation von Schwachstellen kein umfangreiches Vorgehen erforderlich. Mit der entsprechenden Erfahrung können punktuelle Prüfungen durchgeführt und so sehr schnell erste Resultate herauskristallisiert werden. Doch wenn man zügig arbeitet, erhöht sich das Risiko für Fehler. Während eines Assessments zeigt man gut und gerne mit dem Finger auf die Fehler anderer Leute und die damit einhergehenden Konsequenzen können nicht immer nur schön sein.

Das Assessment muss zwar schnell vonstattengehen – Es muss aber auch komplett und konsistent ausfallen, während die Resultate messbar bleiben.

Wir messen deshalb den Umfang und die Qualität der geprüften Controls wie folgt:

• Sammlung: Identifikation der Exponiertheit, Vorbereitung des On-Site Assessments und Durchsicht der Dokumente. Gespräch mit dem Fachspezialisten, Heranziehen weiterer Dokumente und, falls erforderlich, Prüfung der einzelnen Systeme.
• Analyse: Nachdem die CAF-Matrix ausgefüllt wurde, können verschiedene Performance-Parameter berechnet werden. Diese helfen beim Beurteilen der Situation und dem Festmachen der idealen Stossrichtung. Genauso wie das CSF in Funktionen und Kategorien unterteil ist, wird auch dieser Schritt in dieser Weise strukturiert.
• Report: Die Durchführung einer Sicherheitsüberprüfung soll die Differenzen der Cybersecurity Controls aufzeigen.

Nicht alle mögen den Regenbogen

Nachdem sämtliche Informationen gesammelt wurden, müssen diese analysiert und priorisiert werden. Dabei gilt es den G-Y-R Code zu jedem einzelnen Control zu bestimmen und das Resultat zu messen. In NIST-CSF finden sich verschiedene Controls, wobei nicht jedes Unternehmen alle diese im Einsatz hat.

Wir haben uns entschiedenen, ein absolutes Minimum der CIS Critical Security Controls einzusetzen. Die CIS-CSC stellen ein empfohlenes Set an Aktionen bereit, die konkret auf heutige Gefahren anwendbar sind.

Das Zuweisen von CIS-CSC zu NIST-CSF macht es möglich, die Performance eines jeden Controls innerhalb von NIST-CSF zu bestimmen:

• Red Area: unter dem minimalen Wert von CIS-CSC
• Yellow Area: zwischen dem minimalen und maximalen Wert von CIS-CSC
• Green Area: über dem maximalen Wert von CIS-CSC

Dank dieser Metrik und dem Verknüpfen der Resultate wird es möglich, Werte, Trends und Performances in den Daten zu erkennen. Dies unterstützt die Entscheidung mit konkreten Daten.

Hier einige Beispiele, wie sie extrapoliert werden können:

Zusammenfassung

Ein Security Assessment ist eine Verkettung verschiedener Aufgaben. Dabei ist die Prüfung eines Unternehmens eine sehr komplexe und schwierige Angelegenheit, die sowohl technisches Verständnis als auch zwischenmenschliches Feingefühl erfordert. Wir haben mit dem Rapid Security Assessment eine Methode entwickelt, um diese Arbeit schnell und zuverlässig erledigen zu können. Dadurch können Investitionen und Aufwände minimiert werden, um strategische und taktische Entwicklungen bezüglich der Sicherheit richtig in Position bringen zu können.

Über den Autor

Rocco Gagliardi ist seit den 1980er Jahren im Bereich der Informationstechnologie tätig. In den 1990er Jahren hat er sich ganz der Informationssicherheit verschrieben. Die Schwerpunkte seiner Arbeit liegen im Bereich Security Frameworks, Routing, Firewalling und Log Management.

Links

• https://www.cisecurity.org/critical-controls.cfm
• https://www.nist.gov/cyberframework