Die Sicherheit ist tot, es lebe die Sicherheit

Letzte Woche fand die 7. Ausgabe der BruCON statt. Für diejenigen, die sie noch nicht kennen: Die BruCON ist eine Sicherheitskonferenz, auf der alle, die sich für Sicherheit interessieren, ihre Ansichten und Erkenntnisse austauschen können. Wie immer war es eine großartige Mischung aus Technologie, Philosophie, persönlichen Meinungen und praktischen Workshops. Dieses Jahr ist mir jedoch ein bestimmtes Muster in einigen der Vorträge aufgefallen. Chris Nickerson hielt einen Vortrag darüber, "wie man einem Pentester das Leben zur Hölle macht", basierend auf seinen Erfahrungen, Shyma Rose teilte ihre Ansichten über Risikomanagement, Mark Hillick zeigte uns, wie die Sicherheit bei Riot Games verbessert wurde und David Kennedy gab seine Meinung über den Zustand der Informationssicherheitsbranche heutzutage ab. Alle vier haben im Grunde genommen Teile der gleichen Geschichte aus einer anderen Perspektive erzählt und ich werde versuchen, in diesem Blog meine Sicht der Dinge darzulegen.

Die Sicherheitsblase Sowohl Shyma als auch Dave sagten, dass der Begriff 'Risiko' aufgeblasen ist und heutzutage als Modewort verwendet wird, das nichts mehr mit tatsächlichen Bedrohungen zu tun hat. Da kann ich Ihnen nur zustimmen. Heutzutage ist es fast schon normal, dass jemand, der eine neue Sicherheitslücke entdeckt, eine komplette Marketingkampagne startet, einschließlich ausgefallener Namen und Logos, spezieller Websites und einer enormen Präsenz in den sozialen Medien. Das Risiko wird nicht mehr als Indikator für 'Schlechtigkeit' verwendet, sondern als Katalysator, um den Kunden 'geldbringende Silberkugeln' anzudrehen. Und da die meisten Kunden es nicht besser wissen, kommen sie damit durch. Und, wie Chris gezeigt hat, selbst Kunden, die es besser wissen, ermöglichen es ihnen immer noch, ihre miserablen Dienstleistungen durchzusetzen, indem sie ihnen ideale Bedingungen bieten, um ihre Wirksamkeit zu beweisen. Hacker != unaufhaltsame böse Genies Hacker werden als extrem schlaue Kerle mit Elitefähigkeiten angesehen, während die Realität ist, dass die meisten Einbrüche durch dummes Zeug und jahrzehntealte Probleme passieren. Die Lösung der Infosec-Branche sind Produkte und Dienstleistungen, die der sich schnell verändernden Welt, in der wir heute leben, nicht mehr gerecht werden. Die meisten Dienste verlassen sich darauf, bekannte Angriffe zu stoppen oder zu identifizieren. In einer Welt, die sich fast mit jedem Herzschlag verändert, und insbesondere in einer Welt der mobilen Geräte und Cloud-Lösungen funktioniert der Ansatz "Burg und Bogenschützen" nicht mehr. Die Fakten zeigen, dass bei vielen Hacks aufgrund der Möglichkeiten moderner Plattformen nicht einmal Exploits notwendig waren. Wenn ein Angreifer die Möglichkeit hat, auf einen Wartungs- oder Konfigurationsteil Ihres Systems zuzugreifen, ist das Spiel vorbei. Wenn ein Angreifer auf eine Skripting-Umgebung zugreifen kann, ist das Spiel zu Ende. Wenn ein Angreifer einen Ihrer Mitarbeiter dazu verleiten kann, eine Website aufzurufen oder etwas zu installieren, ist das Spiel vorbei. Elfenbeintürme Ein weiteres Problem ist die große Kluft zwischen den Sicherheitsabläufen innerhalb eines Unternehmens und den Geschäfts- und Entwicklungsabteilungen. Viele Unternehmen haben interne Sicherheitsrichtlinien, die kaum mit dem Rest der Organisation abgestimmt sind und daher umgangen oder ignoriert werden. Die natürliche Reaktion darauf ist, dass die Sicherheitsabteilungen die Richtlinien immer stärker durchsetzen, wodurch die Kluft nur noch größer wird. Mark hat die Erfahrung gemacht, dass die Sicherheitsabteilungen aus ihrem Elfenbeinturm heraustreten sollten, um zu verstehen, was wirklich wichtig ist. Es ist effektiver, 80 % Sicherheit mit 100 % Anpassung zu erreichen, als zu versuchen, 100 % Sicherheit mit 0 % Anpassung zu erreichen. Duct-tape Sowohl die Infosec-Branche als auch die Kunden haben heutzutage genug Geld und Aufmerksamkeit, um die Dinge zu ändern. Wir sollten uns also von dem technologieorientierten Ansatz verabschieden und uns auf Talent und Intelligenz konzentrieren. Wenn Sie sich die Ursachen vieler Hacks ansehen, ist nicht die Technologie schuld, sondern Ego, Kultur, Fehlkommunikation und das Arbeitsumfeld. Solange Sicherheit als etwas betrachtet wird, das man aufschrauben oder mit externem Fachwissen ausstatten kann, wird sie scheitern. Wir, sowohl die Anbieter als auch die Kunden, sollten Sicherheit als ein Standardqualitätsmerkmal betrachten, für das jeder verantwortlich ist. Informieren statt schulen In den meisten Unternehmen ist das Verhältnis zwischen sicherheitsbewussten und nicht sicherheitsbewussten Mitarbeitern völlig falsch. Sicherheitsteams sollten daher anfangen, als Unterstützer und Ausbilder zu fungieren. Indem sie in der Organisation sichtbarer werden und beginnen, sich an ihr auszurichten, wird das Sicherheitsbewusstsein bei allen steigen. Jeder Einzelne im Unternehmen sollte ein grundlegendes Verständnis dafür bekommen, worum es bei der Sicherheit geht. Und das ist gar nicht so schwer zu erreichen. Entwickler sollten wissen, wie man sicher kodiert, Tester sollten lernen, Sicherheitstools zu verwenden, Betriebsmitarbeiter sollten wissen, wie Hacking-Tools funktionieren und identifiziert werden können, und sie sollten die Grundlagen der forensischen Forschung kennen. Die Mitarbeiter müssen auch darin geschult werden, wie sie sich im Falle eines Problems verhalten sollen: Erstellen Sie ein gutes Programm zur Reaktion auf Vorfälle mit Flussdiagrammen, die jeder nutzen und anwenden kann. Das ist keine Raketenwissenschaft, Sie können mit dem guten alten gesunden Menschenverstand eine Menge erreichen. Geheimhaltung Ein weiterer wichtiger Punkt ist die Sichtbarkeit. Oft werden Vorfälle, Sicherheitsverletzungen und andere sicherheitsrelevante Probleme "unter dem Radar" gehalten und nur "einige wenige Auserwählte" kennen die Details. Wenn die gesamte Organisation offen und transparent mit diesen Problemen umgeht, werden die Mitarbeiter die Bedeutung verstehen und sich gegenseitig dazu herausfordern, diese Probleme in Zukunft zu vermeiden. Indem Sie interne Sicherheitsherausforderungen schaffen und gute Ideen fördern, wird sich eine Gemeinschaft bilden. Verwenden Sie Bestenlisten und belohnen Sie die Mitarbeiter mit Leckereien, um sie zu motivieren, sich zu verbessern und sich mit der Materie vertraut zu machen. Sorgen Sie dafür, dass Erfolge gewürdigt werden. Um Mark zu zitieren (der auch jemand anderen zitiert hat): "Wenn mich Tetris etwas gelehrt hat, dann, dass sich Fehler häufen und Erfolge verschwinden." Hacker klopfen nicht nur an die Haustür Beginnen Sie endlich damit, eine Standardverteidigung zu implementieren und jede Situation so zu bewerten, als ob ein Einbruch stattgefunden hätte. Gehen Sie davon aus, dass irgendwann etwas Schlimmes passieren wird, und überlegen Sie, wie Sie den Schaden von jedem Punkt aus minimieren können. Tun Sie dies auf allen Ebenen: Deaktivieren Sie lokale Administratorkonten, verwenden Sie Anwendungsschutz wie EMET und Applocker, führen Sie strenge Passwortrichtlinien ein, wenden Sie eine Netzwerksegmentierung zwischen Byod, Office Automation und Backends an, verwenden Sie Codierungs-Frameworks, patchen Sie ständig, testen Sie alles, überwachen Sie alles und beginnen Sie mit der Analyse Ihres externen und internen Netzwerkverkehrs. Das ultimative Ziel ist es, es Pentestern (und damit Hackern) so schwer wie möglich zu machen. Pentester sollten weinen und Wochen, Monate oder sogar Jahre brauchen, um etwas zu erreichen. Es gibt kein I in Team! Wir stehen als Infosec-Branche vor einer Zukunft, in der der Wandel ein konstanter Faktor ist, und wir müssen einen Weg finden, damit umzugehen. Um erfolgreich zu sein, müssen wir verstehen und anerkennen, dass wir es nicht mehr alleine schaffen können. Wenn wir nicht anfangen, uns wie ein Mitglied des Teams zu verhalten, werden wir entsetzlich scheitern und zu leichten Beute werden. Inspiration

• Chris Nickerson: BruCON 0x07 - Alpträume eines Pentesters - Chris Nickerson
• Shyma Rose: BruCON 0x07 - Keynote - Was mich BASE Jumping über Risiko gelehrt hat - Shyama Rose
• Mark Hillick: BruCON 0x07 - Aufstockung der Sicherheit @ Riot Games - Mark Hillick
• David Kennedy: BruCON 0x07 - Keynote - Blick nach vorn - Die richtige Balance für INFOSEC finden - David Kennedy