Realisierung eines Rahmenwerks für das Informationssicherheitsrisikomanagement

Alle Organisationen sind Informationssicherheitsrisiken ausgesetzt. Jeder Sicherheitsmanager muss sich der Tatsache stellen, dass es weitaus mehr Risiken gibt, als jemals vernünftigerweise beherrscht werden können. Wie also entscheidet das Sicherheitsteam, welche Risiken seine Aufmerksamkeit verdienen?

Jeder Sicherheitsmanager muss sich der Realität stellen, dass es weitaus mehr Cybersicherheitsrisiken gibt, als jemals vernünftigerweise bewältigt werden können.

Wie viel Aufwand sollte man also in die Minderung eines bestimmten Risikos investieren? Nicht alle Risiken erfordern den gleichen Ressourceneinsatz. Welche Gegenmaßnahmen sind geeignet? Rahmenwerk für das Management von Informationssicherheitsrisiken (ISRMF) bietet eine Methode zur Beantwortung dieser wichtigen Fragen.

Was ist ein Rahmenwerk für das Management von Informationssicherheitsrisiken?

Obwohl die Definitionen variieren, ist ein ISRMF typischerweise ein Bündel von Prozessen und Praktiken. Das Framework ermöglicht es Sicherheitsmanagern, ihre größten Schwachstellen zu identifizieren und anschließend Strategien zur Behebung dieser Schwachstellen zu entwickeln.

Das NIST-Risikomanagement-Framework ist ein prominentes Beispiel. Es ist für Bundesbehörden, die FISMA und verwandte Gesetze einhalten müssen, verpflichtend. Insbesondere müssen konforme Behörden NIST SP 800-37, den “Leitfaden zur Anwendung des Risikomanagement-Frameworks”, befolgen.”

Rahmenwerke wie das des NIST basieren auf dem Prinzip, dass Risiken nie vollständig eliminiert werden können. Sie müssen vielmehr gemanagt werden. Das heißt, ein guter Sicherheitsmanager setzt maximale Ressourcen ein, um die Organisation vor den schwerwiegendsten Risiken zu schützen. Das NIST-Rahmenwerk bietet sechs Schritte, um dieses Ziel zu erreichen:

1. Informationssysteme kategorisieren (NIST SP 800-60) – Beinhaltet die Kategorisierung von Sicherheitszielen (z. B. Vertraulichkeit, Datenintegrität) und die Definition von Auswirkungsstufen wie hoch, niedrig usw.
2. Sicherheitskontrollen auswählen (NIST SP800-53) – Legt die Implementierung einer Mindestbasis von Sicherheitskontrollen fest.
3. Sicherheitskontrollen implementieren – Dazu gehören die Vorbereitung von Kontrollmaßnahmen, die Einrichtung von Methoden und Werkzeugen zur Bedrohungserkennung und -analyse, die Eindämmung, Beseitigung und Wiederherstellung von Bedrohungen sowie die Nachbereitungsprozesse nach einem Vorfall.
4. Sicherheitskontrollen bewerten (NIST SP 800-53A) – Erfordert die Bewertung der Wirksamkeit von Sicherheitskontrollen durch Methoden wie die Befragung von Interessengruppen sowie die Prüfung und das Testen von Kontrollen.
5. Autorisierung von Informationssystemen (NIST SP 800-37) – Untersucht die Ergebnisse der Bewertung der Sicherheitskontrollen, um festzustellen, ob das Risikoniveau akzeptabel ist oder nicht.
6. Sicherheitsstatus überwachen (NIST SP 800-137 und SP 800-53A) – Definiert eine Strategie für die kontinuierliche Überwachung, einschließlich Überwachungshäufigkeit, Kennzahlen und Berichterstattung.

Der eigentliche Kern des gesamten Prozesses befasst sich mit der Analyse von vier voneinander abhängigen Risikofaktoren:

• Bedrohungen
• Schwachstellen
• Wahrscheinlichkeiten
• Auswirkungen

A Gefahr ist eine Person oder Technologie, die das Potenzial hat, Ihre Organisation anzugreifen (z. B. Malware oder ein Phishing-Angriff). Schwachstelle Eine Bedrohung tritt dann ein, wenn die Abwehrmaßnahmen Ihrer Organisation gegen diese Bedrohung nicht ausreichend sind (z. B. eine mangelhafte Firewall). Wahrscheinlichkeit ist die Wahrscheinlichkeit, dass der Angreifer die Schwachstelle ausnutzt. Auswirkungen ist der Effekt eines erfolgreichen Angriffs, üblicherweise in Dollar ausgedrückt.

Anders formuliert: Wie wahrscheinlich ist es, dass Sie bei einem Unternehmen einen Sicherheitsvorfall erleben? hohe (kostspielige) AuswirkungenDiejenigen mit der größten Auswirkung verdienen selbstverständlich die meiste Aufmerksamkeit und die größten Ressourcen. Im NIST-Rahmenwerk dreht sich die Auswahl, Implementierung und Bewertung von Sicherheitskontrollen um diese Frage.

Die Auswahl, Implementierung und Bewertung von Sicherheitsmaßnahmen kann Ihnen helfen, die Wahrscheinlichkeit zu bestimmen, dass Ihre Organisation Opfer eines schwerwiegenden Vorfalls wird.

Wie man ein ISRMF realisiert

Die Umsetzung eines ISRMF erfordert viele Details. Das NIST-Framework umfasst mehrere Sonderveröffentlichungen, die die Implementierung beschreiben. Trotz zahlreicher Empfehlungen und bewährter Verfahren sind es zwei grundlegende Fähigkeiten, die den Rest ermöglichen: Integration und Automatisierung.

Integration

Die Integration ist für die Implementierung von ISRMF unerlässlich, da viele separate Systeme zusammenarbeiten müssen, um die Ziele des Frameworks zu erreichen. Firewalls müssen mit Intrusion-Detection-Systemen (IDS) und SIEM-Lösungen (Security Incident and Event Management) kommunizieren. Sicherheitsüberwachungstools funktionieren am besten, wenn sie mit Bedrohungsdatenbanken und spezialisierten Erkennungssystemen integriert sind. Alle Systeme müssen mit Reporting-Tools verbunden werden – und so weiter.

Heutige Sicherheitslösungen neigen dazu, die Open-API-Spezifikation als Hauptintegrationsmethode. Open API beschreibt maschinenlesbare API-Dateien (Application Programming Interface), die RESTful-Webdienste beschreiben, erzeugen, nutzen und visualisieren können. Es ist zwar möglich, einen RESTful-Webdienst und eine API von Grund auf neu zu entwickeln, die Open API-Spezifikation vereinfacht jedoch die Verbindung mehrerer Softwareanwendungen.

Sicherheitstools, die OpenAPI nutzen, können funktionale Schnittstellen relativ einfach untereinander bereitstellen. Ein Tool kann Daten anfordern, senden oder Prozeduraufrufe von einem anderen Tool auslösen, indem es den REST-Standard und Open-Source-Sprachen wie JSON sowie gängige Transportprotokolle wie HTTP verwendet.

Automatisierung

Automatisierung, Die zweite für die ISRMF-Implementierung notwendige Fähigkeit ermöglicht die Nutzung der API-basierten Integrationen. Da ein ISRMF-System aus vielen Komponenten besteht, ist Automatisierung äußerst hilfreich, um es für ein Sicherheitsteam praktikabel zu gestalten. Ohne Automatisierung ist ISRMF oft sehr komplex.

Sicherheitsautomatisierung und -orchestrierung (SAO) und das ISRMF

Sicherheitsautomatisierung Und Orchestrierung SAO-Tools vereinen das Potenzial von Integration und Automatisierung für ein ISRMF. Sie nutzen diese Fähigkeiten, um Sicherheitsteams bei der Automatisierung zeitaufwändiger ISRMF-Prozesse zu unterstützen. Dadurch können sich Sicherheitsanalysten auf subjektivere, aber wichtigere Aufgaben im Risikomanagement konzentrieren.

Sicherheitsautomatisierung und -orchestrierung (SAO)-Tools vereinen das Potenzial von Integration und Automatisierung für ein ISRMF.

Die Integrationsfunktionen von SAO, die typischerweise Open APIs nutzen, ermöglichen die Orchestrierung automatisierter Sicherheitsprozesse über mehrere Systeme hinweg. Beispielsweise kann SAO in NIST Step 3 zur Einrichtung einer automatisierten Bedrohungserkennung und -analyse eingesetzt werden. Eine SAO-Lösung wie Swimlane kann verdächtige Binärdateien im Netzwerk identifizieren und diese anschließend automatisch mit bekannten Bedrohungen abgleichen – ganz ohne menschliches Eingreifen.

Zur Überprüfung nutzt Swimlane seine Open-API-Integration, um die Binärdatei an eine externe Bedrohungsdatenbank zu senden. Die Datenbank vergleicht die verdächtige Binärdatei mit bekannten Bedrohungen. Die Swimlane-API empfängt anschließend eine Rückmeldung von der Bedrohungsdatenbank. Bestätigt sich die Bedrohung, führt die Orchestrierungs-Engine von Swimlane eine Reihe automatisierter Schritte aus. Dazu gehören das Erstellen eines Tickets, das Benachrichtigen wichtiger Stakeholder per E-Mail, das Quarantänen der Bedrohung, das Aktualisieren der Bedrohungsdatenbank usw. Auf diese Weise setzt Swimlane die Konzepte des ISRMF in die Praxis um, ohne das Sicherheitsteam mit unnötigen Aufgaben zu überlasten.

SAO-Tools erleichtern zudem die Umsetzung der ISRMF-Schritte, einschließlich Überwachung und Nachbereitung nach einem Vorfall. Sie erstellen Protokolle der durchgeführten Maßnahmen zur Reaktion auf den Vorfall. Dieser ganzheitliche Ansatz führt zu einer Zeitersparnis bei der Erfassung von Informationen über den Vorfall für die spätere Verwendung.

Wie Swimlane helfen kann

Swimlane liefert Sicherheitsautomatisierung und -orchestrierung Swimlane ist einfach zu implementieren und anzuwenden und zeichnet sich durch seine einfache Verwaltbarkeit und Skalierbarkeit aus. Es ermöglicht Sicherheitsteams, die Funktionen ihrer bestehenden Sicherheitslösungen zu nutzen und die dargestellten Informationen anzureichern. In Kombination mit offenen API-basierten Integrationsmöglichkeiten bietet Swimlane ein leistungsstarkes Werkzeug zur Realisierung eines ISRMF (Integrated Security Management Framework).

Um mehr über Swimlane SAO zu erfahren, Vereinbaren Sie noch heute eine Demo..