Weitere Lektionen von Steph Curry zum Thema Unternehmenssicherheit: Wenn etwas schief geht
Dieser Artikel wurde ursprünglich veröffentlicht am Forbes.com. Lesen Sie den ersten Teil der Serie hier.
In Teil eins In dieser zweiteiligen Serie habe ich über die Ähnlichkeiten zwischen dem Schutz hochwertiger Vermögenswerte im öffentlichen Raum in der realen Welt und im Unternehmen gesprochen. Dazu gehört auch die Notwendigkeit, den Wert der Ressourcen zu verstehen, die verfügbaren Pfade zu den Anlagen zu reduzieren, um die potenzielle Angriffsfläche zu minimieren, und die Sicherheitskontrollen an den Zugangspunkten einzusetzen.
Ich habe eine Analogie verwendet, die sich um Steph Curry dreht, dessen Tore auf lange Sicht die gegnerischen Teams gezwungen haben, ihre Taktik in der Verteidigung zu ändern. Curry ist einer der besten Schützen aller Zeiten. Curry ist für die Golden State Warriors von unübertroffenem Wert. Unbewachbar auf dem Platz, wie schützt man ihn außerhalb des Spielfelds?
Ich habe ein Szenario gemalt, in dem Steph in einem öffentlichen Auditorium eine Rede hält, wo ein Sicherheitsplan für ihn entwickelt wird, der die Seitentüren und eine Hintertür des Veranstaltungsortes verriegelt und die andere Hintertür für ihn und sein Personal, das Ausweise trägt, beschränkt. Fünf Metalldetektoren schützen die Eingangstüren, um die Sicherheit des Veranstaltungsortes zu gewährleisten. Im Unternehmen würden Sie Mikrosegmentierung verwenden und Prinzip der geringsten Privilegien um das Äquivalent in einem Rechenzentrum oder einer Cloud-Umgebung zu erreichen.
Genau wie in der realen Welt tauchen im Unternehmen ständig Sicherheitsprobleme in letzter Minute auf. Nehmen wir an, bei einem der Metalldetektoren werden kurz vor Beginn der Veranstaltung Probleme festgestellt. Aus irgendeinem Grund funktioniert es nicht richtig und es fehlen bestimmte Metallobjekte, was bedeutet, dass es nicht zuverlässig ist. Sie können sie nicht reparieren oder ersetzen, weil Sie keine Zeit haben. Wenn Sie sie vollständig ausschalten, entsteht eine große Überlastung der verbleibenden geöffneten Metalldetektoren. Die Leute werden in langen, sich langsam bewegenden Schlangen feststecken, und viele werden immer noch in der Schlange stehen, wenn die Veranstaltung beginnt. Wenn Sie die Türen des Metalldetektors offen lassen und das Sicherheitspersonal physisch klopfen lassen, riskieren Sie, versteckte Waffen zu verpassen und Curry in Gefahr zu bringen. Es liegt auf der Hand, dass der Schutz von Curry die Unannehmlichkeiten überwiegt, die den Teilnehmern entstehen.
Dies entspricht der Entdeckung einer Anwendung oder Sicherheitskontrolle mit einer ungepatchten Sicherheitslücke in einem Unternehmen. Das Abschalten kritischer Anwendungen und Zugriffspunkte in einem Unternehmen aus Sicherheitsgründen kann schwerwiegende Auswirkungen auf den Netzwerkverkehr, die Arbeitsabläufe und den Geschäftsbetrieb haben und sich langfristig auf die Produktivität, den Kundenservice und das Geschäftsergebnis auswirken. Wenn Sie das Problem nicht schnell beheben können (z. B. die Software patchen), setzen Sie Ihre Kunden und Ihr Unternehmen einem Risiko aus.
Es gibt andere Optionen, die solche Ausfälle der Sicherheitskontrollen ausgleichen. Für das Curry-Event könnten Sie mehr Wachen an die Melder stellen, um die Patdowns durchzuführen, aber das kann zwar helfen, die Linien etwas schneller zu bewegen, aber es ist genauso wahrscheinlich, dass sie versteckte Waffen übersehen.
Eine andere Idee ist, die Wachen an den defekten Metalldetektoren dazu zu bringen, Metallgegenstände mit Handstäben zu erkennen. Das mag zwar den finanziellen Aufwand erhöhen, aber es dient als solide Sicherheitslösung und trägt dazu bei, dass die Teilnehmer zufrieden sind. In Unternehmen können die Sicherheitsteams vielleicht nicht warten, bis ein Patch fertig ist, aber sie können Mikrosegmentierung verwenden, um eine ausgleichende Kontrolle zu schaffen, die die Möglichkeit ausschließt, dass die Sicherheitslücke ausgenutzt wird.
Diese Szenarien behandeln Sicherheitslücken in einem Steuerungssystem für ein Asset, aber was ist, wenn die Sicherheitslücke mit dem Asset selbst zusammenhängt? Nehmen wir an, eines der VIP-Badges, das direkten Zugang zu Curry gewährt, geht verloren. Sie benötigen eine Möglichkeit, das Problem schnell zu identifizieren und zu beheben. In diesem Fall könnten Sicherheitspersonal mit Zauberstäben zum VIP-Eingang hinzugefügt werden.
Der Schlüssel liegt darin, die Risiken zu verstehen und in der Lage zu sein, schnell zu handeln, um die Sicherheitslücke zu beheben, ohne Systeme herunterzufahren oder Ihre Infrastruktur zusätzlich zu belasten. Die einzige wichtige Erkenntnis ist, dass Sie in der Lage sein müssen, zu erkennen, welche Pfade existieren (Ihre „Gefährdung“), zu erkennen, dass Sie eine Sicherheitslücke haben, und zu entscheiden, welche Maßnahmen zu ergreifen sind, um diese zu kompensieren. Sie benötigen nicht überall Sicherheitskontrollen. Sie können Ressourcen effizient einsetzen und sie nur dort einsetzen, wo Sie sie am dringendsten benötigen — an den Zugangspunkten zu den wichtigsten Ressourcen.
Sicherheitsteams müssen solche Entscheidungen ständig im Handumdrehen treffen, und je mehr Daten sie über die Situation haben, desto bessere Entscheidungen können sie treffen. Es stehen immer mehr Tools zur Verfügung, die Sicherheitsteams dabei helfen, die Last und Komplexität dieser Entscheidungen in Echtzeit abzunehmen und es ihnen zu ermöglichen, sich stattdessen auf übergeordnete Geschäftslogik zu konzentrieren, die sie durchsetzen möchten.
In Zukunft könnte es eine Möglichkeit geben, das Problem mit defekten Metalldetektoren zu lösen, ohne dass Maschinen manuell ausgetauscht oder repariert werden müssen. Was wäre, wenn die Hardwareplattform intelligenter und Metalldetektoren programmierbar wären? Einstellungen und Funktionen könnten in Echtzeit angepasst werden, einschließlich Softwaresicherheitsupdates. Die Mikrosegmentierung bewirkt dasselbe für Richtlinien und Sicherheitskontrollen im Unternehmen — was für Sicherheitsexperten ein Knaller ist.