Vermutlich machen das viele von Ihnen, wenn das neue Jahr sanft an die Türe klopft: Ein Blick zurück auf das Arbeitsjahr. Was hat mich und meine Kunden beschäftigt? Ein guter Startpunkt für mich ist jeweils ein Blick über die Kundenmandate, die ich im 2021 ausführen durfte. Dieser Blogartikel ist eine (konkretisierte) Weiterführung des Beitrags «Der (nicht) alltägliche Job eines Sicherheitsarchitekten». Die darin abgehandelten Themen haben nicht den Anspruch, repräsentativ für alle Freuden und Sorgen unserer Sicherheitsarchitektur-Kunden zu sein, aber sie geben einen Einblick, was für Themen und Herausforderungen sie beschäftigten. Folgend einige Einblicke…
Die Aufträge variierten von wenigen Tagen bis zu mehreren Monaten. Ein Hinweis, dass unsere Kunden unterschiedliche Bedürfnisse und Fragen im Bereich der Sicherheitsarchitektur-Dienstleistungen haben. Während die einen spezifische Fragen beantwortet haben möchten, fokussierten andere auf umfängliche Sicherheitsarchitektur-Themen. Letztere Aufträge haben typischerweise eine längere Laufzeit.
Zero Trust
Manchmal musste ich schmunzeln, wenn ich von Kunden gefragt wurde, ob Zero Trust realistisch oder ein «konzeptionelles Hirngespinst» sei. Das war tatsächlich eine der häufigsten Fragen zu Zero Trust im 2021! Ich beschäftige mich auch im Rahmen meiner Referenten-Tätigkeit an der Hochschule Luzern (HSLU) mit Zero Trust. Das Konzept Zero Trust ist definitiv weder ein Hirngespinst noch eine Eintagsfliege. Zero Trust ist jedoch auch nichts vollständig Neues, sondern eine geschickte Kombination von bekannten und etablierten Sicherheitsmerkmalen, bestehend aus:
- Informationen über den Gerätezustand (Posture)
- Informationen über den Zustand der anfordernden und angeforderten Ressource (User oder Service)
- Zwingend verlangte Authentisierung und Autorisierung, bei jedem Zugriff auf eine Ressource
- Sicherem Sitzungsmanagement
- Kontinuierlichem (Security) Monitoring
Die Zustandsinformationen werden in ein Rating-/Punkte-System (Punktesystem) überführt. Zugriff auf eine Ressource ist nur möglich wenn die zugreifende Ressource (User oder Service) mindestens so viele Punkte aufweist, wie für den Zugriff gefordert sind. Dies ermöglicht den sicheren Betrieb von IT-Umgebungen, die durch Unternehmen nicht direkt kontrolliert werden können – Cloud und Remote Work von Mitarbeitenden zum Beispiel. In Internet-of-Things(-IoT)-Umgebungen ist der Zero-Trust-Ansatz ebenfalls hilfreich.
Zero Trust gewinnt an Bedeutung. Richtig eingesetzt, erspart es Unternehmen viel Aufwand und erhöht das Sicherheitsniveau. In den Marketingbroschüren der Zero-Trust-Anbieter sieht es meist einfach aus: quasi Einführung auf Knopfdruck. Vertiefte Abklärungen und Analysen vor der Einführung von Zero Trust machen jedoch durchaus Sinn.
Kunden fragten auch…
- Wie kann Zero Trust mit der bestehenden Architektur in Einklang gebracht werden?
- Wie soll Zero Trust implementiert werden (und in welcher Reihenfolge)?
- Zero Trust aus einem Guss oder Integration bestehender Komponenten (z.B. Network Access Control) in die Zero-Trust-Umgebung?
- Welche Produkte sind für unser Unternehmen geeignet?
- Zero Trust für Clients oder auch für Server und Data-Center-Verbindungen?
- Wie weit darf die Zero-Trust-Lösung von Cloud-Komponenten abhängig sein (Risikobetrachtung betreffend Ausfallsicherheit, Datenschutz usw.)?
- Womit soll begonnen werden, um nicht in der «Analysis-Paralysis» zu verharren?
Ransomware und Architektur
Schlagzeilen in der Tagespresse über Unternehmen, die von Ransomware-Angriffen betroffen sind, veranlassten vermehrt Kunden, ihre bestehende Sicherheitsarchitektur kritisch zu hinterfragen. Jedes Unternehmen und somit auch deren IT sind individuell. Unternehmen können in der Cloud unterwegs sein, Branchen-Spezifika bestimmen mit, das Geschäftsfeld kann national oder international ausgerichtet sein usw. Ein Industriebetrieb muss andere Assets schützen als ein Onlineshop oder eine Bank. Verschiedene Schwächen im Sicherheitsdispositiv können sich zu veritablen Lücken aufsummieren. Für die Abschätzung der dadurch entstehenden Risiken ist eine gute Portion «Professional Judgement» erforderlich.
Kunden fragten auch…
- Gibt es aus Sicht Sicherheitsarchitektur Verbesserungsbedarf?
- Welche Massnahmen bringen den grössten Nutzen?
- Wie rasch erkennen wir einen Angriff?
- Wie gut könnten wir uns von einem Angriff erholen?
Beruhigend ist, dass die identifizierten Schwachstellen mit entsprechendem Ressourceneinsatz und Wissen sowie angepassten Sicherheitskomponenten und Prozessen meistens entschärft werden können.
Monitoring
In den letzten Jahren sehen wir bei Kunden die Tendenz, auf reine Cloud- oder hybride Setups zu setzen. Unternehmen (bzw. deren Business) suchen in der Cloud die für sie am besten geeigneten Services, z.B. Social Media, Speicher, Data-Processing, Backup etc. Früher oder später führt dies zu einem auf unterschiedlichen Cloud Stacks (z.B. Azure, Amazon Web Services, AWS, Google Cloud Services GCS) basierenden Setup. Willkommen im Multi-Cloud-Umfeld!
Auch die Multi-Cloud will überwacht werden. Dazu müssen die Ereignisse miteinander verknüpft (korreliert) werden. Weil beispielsweise «Server-Name» in den verschiedenen Cloud-Umgebungen eine unterschiedliche Bezeichnung haben oder der Server-Name unterschiedlich aufgebaut ist, müssen Attribute und Inhalte so umgeformt (normalisiert) werden, dass korrelierende Abfragen möglich sind.
Kunden fragten auch…
- Multi-Cloud-Monitoring und Interoperabilität?
- Wie kann die Multi-Cloud-Umgebung auf Sicherheitsvorfälle überwacht werden?
- Welche Monitoring-Lösungen gibt es (und entsprechen diese unseren Bedürfnissen)?
- Wie können Ereignisse normalisiert, d.h. in eine gemeinsame Struktur gebracht werden?
- Welche Ereignisse sollen überwacht werden?
- Wie kann die Menge an Ereignissen reduziert werden (Kostenfaktor)?
- Kann auf Ereignisse automatisiert regiert werden?
- Wie kann die Anbindung der Clouds an ein eigenes oder externes Security Operation Center (SOC) erfolgen?
Je früher sich Unternehmen mit diesen Themen beschäftigen, um so sanfter wird der Migrationspfad. Eine gewachsene Multi-Cloud-Umgebung bezüglich Monitoring und Governance neu auszurichten, ist eine Herausforderung.
Remote Work und Collaboration
Im Zuge von COVID-19 und der Home-Office-Welle setzen Unternehmen ihre Pläne und Infrastrukturen für Remote-Work / Home-Office teilweise im Notfall-Modus um. Folglich waren in diesem Jahr verschiedene Bestrebungen zur Konsolidierung angesagt. Bestehende Setups wurden einer Prüfung unterzogen, um allfällig korrigierend eingreifen zu können.
Kunden fragten auch…
- Entspricht die Architektur für die Remote-Work-Umgebung den «Good Practices»?
- Wie ist das Zusammenspiel der einzelnen Tools wie Video-Calls, Datenaustausch und -speicherung?
- Besteht eine saubere Abgrenzung der Collaboration-Lösung bezüglich On-Premises, Hybrid und Cloud?
Die integrierten Produkte und Lösungen haben viele Features, aber nicht alle sind aus der Perspektive «Sicherheit» ausgereift, wünschenswert oder sinnvoll. Hier gilt es, die richtige Balance zwischen geforderter Funktionalität und Sicherheit zu finden.
«Arbeitsschmankerl»
Kennen Sie das auch? Aufträge, die besonders Freude machen, weil sie Gebiete betreffen, die Sie besonders interessieren oder an denen Sie sich vor dem Erfolgserlebnis die Zähne ausgebissen haben? Oft kommen diese Aufträge aus heiterem Himmel. Unsere Kunden möchten dabei meist eine ganz spezifische Fragestellung geklärt haben. Eine der Herausforderungen ist, zeitnah Unterstützung innerhalb der InfoGuard zu organisieren, wenn das eigene Wissen an die Grenzen stösst.
Kunden fragten auch…
- Bei der bevorstehenden Beschaffung von Tools/Technologien, z.B. «Rundumsorglos 2.0», sind Zweifel aufgetaucht. Sind diese berechtigt?
- Zwei Bereiche in einem Unternehmen haben unterschiedliche Meinungen zu einem Sicherheitsarchitektur-Thema. Kann InfoGuard einen Workshop dazu moderieren?
- Bei einem Penetration Test wurden Sicherheitsmängel festgestellt. Wo soll der Hebel für die Behebung der Mängel angesetzt werden, um rasch Verbesserungen zu erzielen?
- Gibt es aus Sicht der Sicherheitsarchitektur alternative Lösungen zu einem Lösungsvorschlag des Kunden?
Für unsere Kunden ist es bei schwierigen oder kontroversen Fragestellungen hilfreich und entlastend, eine kompetente Unterstützung durch InfoGuard zu erhalten. Und wir bleiben im Gegenzug am Puls unserer Kunden und wissen, was diese gerade umtreibt.
Ein stabiles Haus braucht Architekten – eine stabile Sicherheitsarchitektur Cyber-Security-Experten wie InfoGuard
Doch ganz so klar wie bei einem Haus ist es für viele gar nicht, wofür «Sicherheitsarchitekten» eigentlich gebraucht werden. Als Anregung: Kunden, die sich in Fragen zur Sicherheitsarchitektur an uns wenden, wünschen beispielsweise:
- Ein Assessment ihrer Sicherheitsarchitektur mit konkreten, priorisierten Verbesserungsvorschlägen
- Unterstützung bei der Einführung oder Konsolidierung einer Sicherheitsinfrastruktur
- Unterstützung oder eine Zweitmeinung bei der Umsetzung von Vorhaben im Bereich der Sicherheitsarchitektur
- Klärung offener Fragen im Sinne von Best Practices oder als «Sparringpartner»
- Abschätzung möglicher Konsequenzen bei der geplanten Einführung einer Sicherheitskomponente
Wie Sie aus diesem «Architekturdigest 2021» sehen, ist das Leben von Architekturschaffenden im Bereich Cyber-Sicherheit weiterhin spannend. Wenn die Kunden durch unseren Beitrag, unsere Erfahrung und Arbeit einen Erfolg feiern können, ist dies sehr befriedigend.
Weil es Architekturschaffende im Bereich Cyber-Sicherheit nicht wie Sand am Meer gibt, empfehlen wir unserer Kundschaft mit Plänen für das 2022, sich frühzeitig mit uns in Verbindung zu setzen. Das geht ganz einfach hier: