Überwachung der Dateiintegrität – Warum Change Management die beste Sicherheitsmaßnahme ist, die Sie implementieren können

Einführung

Mit dem wachsenden Bewusstsein, dass Cybersicherheit für jedes Unternehmen eine dringende Priorität hat, gibt es einen Markt für automatisierte, intelligente Sicherheitsmaßnahmen. Die Wunderwaffe gegen Malware und Datendiebstahl wird noch entwickelt (versprochen!), aber inzwischen gibt es Horden von Anbietern, die Ihnen das Nächstbeste verkaufen.

Das Problem ist, an wen wenden Sie sich? Laut dem Firewall-Experten von Palo Alto ist seine Appliance das Wichtigste, was Sie brauchen, um das geistige Eigentum Ihres Unternehmens am besten zu schützen seine Boxen, um Ihr Unternehmen vor Malware zu schützen. Selbst dann wird Ihnen der McAfee-Mitarbeiter sagen, dass Endpoint Protection genau das Richtige ist – sein Global Threat Intelligence-Ansatz sollte Sie für alle Bedrohungen abdecken.

In einer Hinsicht sind sie alle gleichzeitig in Ordnung – Sie brauchen einen mehrschichtigen Ansatz für die Sicherheitsabwehr, und Sie können fast nie „zu viel“ Sicherheit haben. Ist die Antwort also so einfach wie „Kaufen und implementieren Sie so viele Sicherheitsprodukte wie möglich“?

Cyber-Sicherheitsabwehr – Kann man zu viel des Guten haben?

Bevor Sie Ihre Einkaufsliste erstellen, sollten Sie sich bewusst sein, dass all diese Dinge wirklich teuer sind und der Gedanke, eine intelligentere Firewall zu kaufen, um Ihre aktuelle zu ersetzen, oder eine Sandbox-Appliance zu kaufen, um das zu erweitern, was Ihr MIMEsweeper bereits weitgehend bietet, erfordert eine Pause zum Nachdenken. Was ist der beste Return on Investment unter Berücksichtigung aller angebotenen Sicherheitsprodukte?

Das Sicherheitsprodukt mit dem besten Preis-Leistungs-Verhältnis ist wohl überhaupt kein Produkt. Es hat keine blinkenden Lichter oder sogar ein sexy aussehendes Gehäuse, das in Ihrem Kommunikationsschrank gut aussieht, und die Datenblattfunktionen enthalten keine beeindruckenden Durchsatzraten für Pakete pro Sekunde. Ein guter Change Management-Prozess bietet Ihnen jedoch vollständige Transparenz und Klarheit über jede Malware-Infektion, jede potenzielle Schwächung der Abwehrmechanismen sowie die Kontrolle über die Leistung der Servicebereitstellung.

Tatsächlich können viele der besten Sicherheitsmaßnahmen, die Sie ergreifen können, als etwas langweilig erscheinen (im Vergleich zu einem neuen Kit für das Netzwerk, was scheint nicht langweilig?), aber um eine wirklich sichere IT-Umgebung bereitzustellen , sind Best Practices für die Sicherheit unerlässlich.

Change Management – Das Gute, das Schlechte und das Hässliche (und das geradezu Gefährliche)

Es gibt vier Haupttypen von Änderungen in jeder IT-Infrastruktur

  • Gut geplante Änderungen (erwartet und beabsichtigt, die die Leistung der Servicebereitstellung verbessern und/oder die Sicherheit erhöhen)

  • Schlecht geplante Änderungen (absichtlich, erwartet, aber schlecht oder falsch implementiert, die die Leistung der Servicebereitstellung beeinträchtigen und/oder die Sicherheit verringern)

  • Gute ungeplante Änderungen (unerwartete und undokumentierte, normalerweise Notfalländerungen, die Probleme beheben und/oder die Sicherheit erhöhen)

  • Schlechte ungeplante Änderungen (unerwartet, nicht dokumentiert und die unbeabsichtigt neue Probleme verursachen und/oder die Sicherheit verringern)

Eine Malware-Infektion, absichtlich durch einen Inside Man oder externen Hacker, fällt ebenfalls in die letzte Kategorie der Bad Unplanned Changes. In ähnlicher Weise implantiert ein betrügerischer Entwickler eine Hintertür in eine Unternehmensanwendung. Die Angst vor einer Malware-Infektion, sei es ein Virus, ein Trojaner oder das neue Schlagwort in Malware, ein APT, ist normalerweise das Hauptanliegen des CISO und hilft beim Verkauf von Sicherheitsprodukten, aber sollte es so sein?

Eine schwerwiegende ungeplante Änderung, die das Unternehmen unbeabsichtigt anfälliger für Angriffe macht, ist weitaus wahrscheinlicher als eine Malware-Infektion, da jede Änderung innerhalb der Infrastruktur das Potenzial hat, den Schutz zu verringern. Die Entwicklung und Implementierung eines gehärteten Build-Standards erfordert Zeit und Mühe, aber das Rückgängigmachen mühsamer Konfigurationsarbeit erfordert nur einen ungeschickten Ingenieur, der eine Abkürzung nimmt oder einen Tippfehler eingibt. Jedes Mal, wenn eine schwerwiegende ungeplante Änderung unentdeckt bleibt, wird die einst sichere Infrastruktur anfälliger für Angriffe, sodass Ihr Unternehmen bei einem Cyberangriff viel, viel schlimmer wird.

Sollten wir daher Change Management nicht viel ernster nehmen und unsere präventiven Sicherheitsmaßnahmen verstärken, anstatt auf ein anderes Gadget zu vertrauen, das in Bezug auf Zero Day Threats, Spear Phishing und schlichte Sicherheitsinkompetenz immer noch fehlbar ist?

Der Change-Management-Prozess im Jahr 2013 – Closed Loop und totale Change Visibility

Der erste Schritt besteht darin, einen Änderungsmanagementprozess zu erstellen – für ein kleines Unternehmen bietet nur eine Tabelle oder ein Verfahren, um alle Beteiligten per E-Mail zu informieren, dass eine Änderung vorgenommen wird, zumindest eine gewisse Transparenz und Rückverfolgbarkeit, wenn später Probleme auftreten. Ursache und Wirkung gelten im Allgemeinen, wenn Änderungen vorgenommen werden – was auch immer zuletzt geändert wurde, ist normalerweise die Ursache für das zuletzt aufgetretene Problem.

Aus diesem Grund sollte nach der Implementierung von Änderungen überprüft werden, ob alles richtig implementiert wurde und die gewünschten Verbesserungen erreicht wurden (was den Unterschied zwischen einer gut geplanten Änderung und einer schlecht geplanten Änderung ausmacht).

Bei einfachen Änderungen, beispielsweise der Bereitstellung einer neuen DLL in einem System, ist dies leicht zu beschreiben und einfach zu überprüfen und zu überprüfen. Bei komplizierteren Änderungen ist der Verifizierungsprozess ebenfalls viel komplexer. Ungeplante Veränderungen, gute und schlechte, stellen eine weitaus schwierigere Herausforderung dar. Was Sie nicht sehen, können Sie nicht messen, und per Definition werden ungeplante Änderungen normalerweise ohne Dokumentation, Planung oder Bewusstsein durchgeführt.

Zeitgenössische Änderungsmanagementsysteme verwenden die Überwachung der Dateiintegrität und bieten eine Null-Toleranz gegenüber Änderungen. Wenn eine Änderung vorgenommen wird – Konfigurationsattribut oder am Dateisystem – dann werden die Änderungen aufgezeichnet.

In fortschrittlichen FIM-Systemen kann das Konzept eines Zeitfensters oder einer Änderungsvorlage vor einer Änderung vordefiniert werden, um die Details des RFC (Request for Change) automatisch mit den tatsächlich erkannten Änderungen abzugleichen. Dies bietet eine einfache Möglichkeit, alle während einer geplanten Änderung vorgenommenen Änderungen zu beobachten und die Geschwindigkeit und Einfachheit des Überprüfungsprozesses erheblich zu verbessern.

Dies bedeutet auch, dass alle Änderungen, die außerhalb einer definierten geplanten Änderung erkannt werden, sofort als ungeplante und daher potenziell schädliche Änderungen kategorisiert werden können. Die Untersuchung wird zu einer vorrangigen Aufgabe, aber mit einem guten FIM-System werden alle aufgezeichneten Änderungen übersichtlich zur Überprüfung präsentiert, idealerweise mit „Wer hat die Änderung vorgenommen?“. Daten.

Zusammenfassung

Change Management ist in jedem Sicherheitsstandard wie dem PCI DSS und in jedem Best Practice Framework wie SANS Top Twenty, ITIL oder COBIT immer stark vertreten.

Wenn Change Management Teil Ihrer IT-Prozesse ist oder Ihr bestehender Prozess für den Zweck nicht geeignet ist, sollte dies vielleicht vorrangig behandelt werden? In Verbindung mit einem guten Enterprise File Integrity Monitoring-System wird das Änderungsmanagement zu einem viel einfacheren Prozess, und dies ist vielleicht gerade jetzt eine bessere Investition als alle auffälligen neuen Gadgets?


Source by Mark Kedgley

About admin

Check Also

Wie groß ist BIG DATA?

Haben Sie sich jemals gefragt, wenn Sie Ihr Bild hochladen oder einen Status oder sogar …

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.