Intyg mäter inte alltid din defensiva hållning

An attestering, per definition, is an indication that makes something evident. In the case of the security, specifically security programs it means to certify in an official capacity.

People often ask me what makes a good security program. As much as I would like to point to one aspect of my security perimeter to use as an example, there are multiple items to highlight. Den industry relies on attestations and certifications to measure your security defenses. Engineers and operators will tell you that your actual security perimeter and threat assessment capabilities define your security program. I will tell you it is both compliance attestations as a measurement and the operational capabilities of your security team that define your program. Though attestations alone are not an accurate benchmark to measure a program.

Attestations are an industry necessity to ensure compliance with federal, local and state statutes as well as industry best practices. ISO, NIST or DoD standards form the baseline of most attestations. NIST, for example, publishes a set of standards and technical guides to help organizations build perimeter defenses that are “acceptable” till government. As I will outline however, just because the standards are set doesn’t mean implementation is always stellar.

Att ett verktyg används betyder inte att det skapar värde

Kontroller möjliggör flexibilitet i implementeringen och operativ tillväxt och innovation över tid. Tyvärr använder vissa organisationer flexibiliteten för att kryssa i rutan, men har inget verkligt försvar på plats.

Ett utmärkt exempel på detta problem är intrångsdetekterings-/skyddssystem (IDS eller IPS). I likhet med virusscanners investerar de flesta organisationer i IDS/IPS som en del av sin standardiserade säkerhetspraxis för att skydda sig mot skadlig trafik och datainfiltrering. Branschen är full av leverantörer som tillverkar olika former av IDS/IPS-system. Vissa organisationer bygger dock system i stället för att köpa.

I recently left one such organization that “built” their own intrusion detection system from open source tools. Auditors were told the system was a “fantastic tool”, and even given examples of traffic. When I dug deeper into the telemetry the tool was providing, I realized that traffic was not being analyzed at all. Rather, passing through the sensor as it was not configured to capture any traffic or alert at all. Furthermore, the credentials used to administer the tool were set up by a previous employee and were never updated after his departure. So essentially, the tool was sitting idle for months without any human intervention. Not only does this put the company at risk, but it also compromises the perimeter.

En kunnig revisor skulle inte ha upptäckt problemet eftersom intygen inte söker efter "operativ" information om alla system - standarden är bokstavligen ett lager av frågor och svar. I själva verket mäter de flesta intyg bara om verktyget finns, inte den operativa genomförbarheten. Dessutom är de flesta revisorer inte tillräckligt tekniska för att skilja ett funktionellt IDS/IPS från ett icke-funktionellt. Huvuddelen av revisionen förlitar sig på att företaget ska visa framfötterna snarare än att svara på svåra frågor. Revisorer måste också täcka ett stort antal kontroller under en revision, så tiden är en viktig faktor för kvaliteten på deras analys.

Ett intyg räcker inte för att visa att ett företag har ett moget säkerhetsprogram med kontroller. Att kräva att en potentiell partner ska fylla i en leverantörsenkät kommer inte heller att ge dig något förtroende. Enkäter sammanfattar bara samma information i ett annat format. Så hur utvärderar man ett moget säkerhetsprogram?

Utvärdera hela säkerhetsprogrammet för molnet

För det första bör du åtminstone granska intygen och resultatrapporten, inte sammanfattningen. Det ger dig en översikt över det program som granskats av en tredje part. För det andra bör du definitivt granska om företaget genomgår ett penetrationstest från tredje part eller ett bug bounty-program. Personligen är jag inte ett fan av bug bounties, men jag är ett fan av penetrationstestning av tredje part på årsbasis. Pentesting ger dig ett strukturerat test av ditt försvar och verklig feedback om sårbarheter. Slutligen bör du granska de säkerhetsdokument (vanligtvis innehållsförteckningar) som företaget använder som grund för implementeringen. Detta omfattar (men är absolut inte begränsat till) en säkerhetspolicy, incidenthantering och sårbarhetshantering. Ett erfaret säkerhetsteam kommer att erbjuda sig att dela med sig av dessa dokument och artefakter som en del av den normala verksamheten.

I make it a matter of course to evaluate every vendor and partner from the perspective of access to company data. Meaning if the partner or vendor manages company data, they’re subject to more scrutiny than a vendor that does not. Keep in mind the business purpose when evaluating a security program. I review the business purpose and type of information involved, then evaluate from that perspective, rather than handle all partners and vendors the same. When in doubt, always ask for more information.