Jenseits der OSI-Schicht 7: Kohlenstoffbasierte Anfälligkeit und Geschäftsrisiko
Sam Curry ist Mitglied des Cyber Resilience Think Tank , und Gastautor für Cyber Resilience Insights.
Das OSI-Modell (Open Systems Interconnection Model) für die Computerkommunikation hat seine Wurzeln in den 70er und frühen 80er Jahren und verwendet eine abstrakte Architektur mit sieben Schichten, die zum de facto Weg zur Beschreibung von Kommunikation und Protokollen im Internet geworden ist.
Mit anderen Worten, es ist die Art und Weise, wie wir die vernetzte Welt denken, aufbauen und verwalten - von Großrechnern mit IP-Adressen bis zum Internet der Dinge (IoT) und von Ihrem vertrauten Laptop bis zu Ihrem verrosteten Mobiltelefon.
Davon ausgehend hat sich der Begriff "layer 8" eingebürgert, der sich auf die matschigen, kohlenstoffbasierten Lebensformen irgendwo zwischen der Tastatur und dem Stuhl bezieht, die sich vieler Dinge schuldig machen, wie z. B. der Verbreitung von Keimen, dem Anklicken von zu vielen Dingen und dem Aussuchen dummer Passwörter. Es ist jedoch diese lästige Schicht 8 - und vielleicht eine 9. Schicht -, die wir uns ansehen werden, die sowohl die wahren Kunden sind als auch das, worauf wir am meisten achten sollten.
Beginnen wir mit den ersten Grundsätzen von Unternehmen und IT, denn das größte Problem bei der Sicherheit ist nicht das Aufspüren, sondern das Beheben von Problemen. Und es geht nicht einmal um die Effizienz der Sicherheitsabteilung, sondern um die Abstimmung mit dem Unternehmen.
Unternehmen sind dazu da, ein akzeptables Risiko für eine akzeptable Rendite einzugehen. Schlicht und einfach, aber auch ziemlich komplex. Wenn Sie kein Risiko eingehen wollen, schalten Sie alles aus und verwandeln Sie Ihr Geld in eine Ware, die einen stabilen, dauerhaften Wert hat, wie Gold oder vielleicht ein seltenes Element. Wir gründen Unternehmen, um Risiken einzugehen und um unser Kapital in Maschinen zu verwandeln, die Geld verdienen, anstatt träge in einer Warenform zu verharren. Die IT als Geschäftsfunktion zielt darauf ab, die Anzahl der Transaktionen zu maximieren, die für ein Unternehmen in einem digitalen Zeitalter als zuverlässige, wiederholbare Geschäftsfunktion möglich sind. Bei all dem wird das Risiko gemanagt, und im Mittelpunkt steht die Verbindung der Nutzer, von Mitarbeitern und Partnern bis hin zu Lieferanten und Kunden, untereinander. Sie sind die Stars der IT, die Elemente, die miteinander verbunden werden müssen und Dinge gemeinsam tun.
Hier kommt die Sicherheit ins Spiel. In den meisten Unternehmen hat sich die Sicherheit zu einer intensiven, spezialisierten Disziplin entwickelt, die Grenzen austestet, böswillige Absichten unterstellt und von Natur aus nach einzelnen Fehlerpunkten, Engpässen und möglichen Fehlern sucht. Dies steht im Gegensatz zu denjenigen, die bauen, genauso wie diejenigen, die schaffen, die Kritiker in der Kunst oft hassen. Kritiker werden jedoch unglaublich geschätzt, wenn sie tatsächlich die Kunst auf konstruktive Weise verbessern. Und wie die Kunst ist auch die Sicherheit von Natur aus nie perfekt.
Ebene 8: Der Kunde hat immer Recht
Das bringt uns zurück zu Schicht 8. Letztendlich sind wir dazu da, die Benutzer miteinander und mit den Daten zu verbinden, und der Zweck der Sicherheit ist es, die Transaktionen auf Schicht 8 mit so wenig Unterbrechungen und so intuitiv wie möglich zu ermöglichen. Der Zweck der ersten 6 Schichten im OSI-Stapel besteht darin, die Zusammenarbeit zwischen zwei Maschinen der 7. Bei einer 8. Schicht wird deutlich, dass es darum geht, Menschen miteinander zu verbinden. Das bedeutet, dass wir nicht sagen können, der Benutzer sei schuld an einem schlechten Passwort oder anderen Sicherheitsverstößen. Wenn die Sicherheit nicht den Nutzern dient, arbeitet sie gegen ihre eigenen Ziele. Es gibt keinen "ID-10-T"-Fehler, wie wir in einer Sicherheits-Supportgruppe, mit der ich vor Jahren gearbeitet habe, zu sagen pflegten.
Das bedeutet, dass Sicherheit, die nicht auf den Endbenutzer ausgerichtet ist, schlechte Sicherheit ist. Es gibt fast nie die Möglichkeit zu sagen: "Ich hatte eine gute Strategie, aber der Benutzer war das Problem." In gewisser Weise ist dies vergleichbar mit dem Spruch "Der Kunde hat immer Recht", der auch fast immer zutrifft. Der Punkt ist jedoch, dass wir die Prozesse im Auge behalten und uns auf die Benutzer konzentrieren müssen.
Reibungsverluste beim Benutzer sind schlecht, Verschwendung ist schlecht, Verlangsamung ist schlecht, Unterbrechung des Arbeitsablaufs ist schlecht und so weiter. Das macht die Notwendigkeit der Beteiligung an der eigenen Rettung und einer guten Sicherheitsdisziplin nicht überflüssig. Das wird immer notwendig sein, aber es ist eine Mentalität für Sicherheitsfachleute, immer nach Verbesserungen zu suchen und radikale Verantwortung und Eigenverantwortung für den Schutz der Benutzer zu übernehmen, anstatt ihnen die Schuld zu geben.
Kurz gesagt ist dies das agile Manifest für die Sicherheit: Anpassung, eigener Code, den Benutzer in den Mittelpunkt stellen, abnehmen, was nicht funktioniert, schrittweise Verbesserung statt verzögerter Perfektion.
Was Sie von Layer 9 erwarten können
Das bringt uns zu Schicht 9, die im Moment noch zu weit weg ist, aber erwähnt werden sollte, weil wir derzeit digitale Stämme bilden und uns in einem Wahljahr befinden. Genauso wie Schicht 8 aus Menschen besteht, kann man darüber streiten, ob es eine neunte Schicht gibt, die aus Gruppen von Menschen besteht. Und auch wenn es vielleicht nicht in den Zuständigkeitsbereich der Sicherheitsabteilungen von fällt, so liegt es doch nicht außerhalb des Zuständigkeitsbereichs von Gruppen von Sicherheitsfachleuten, sich gemeinsam darum zu bemühen, auch die Schicht 9 zu sichern.
Wenn eine Bedrohung auf Schicht 8 ein Phishing-Angriff, ein Betrug oder sogar ein Überfall mit vorgehaltener Waffe ist, dann ist ein Angriff auf Schicht 9 die Domäne von Meme Wars, Propaganda, Cyberschwarm, Fehlinformation und Desinformation. Ich behaupte nicht, dass wir RFCs für politische Kongresse brauchen, aber hier können wir die Beteiligung an Vertrauen, Integrität und Verfügbarkeit von Wahlen, Verfassungsprozessen und Menschenrechten als natürliche Erweiterung dessen betrachten, was wir bereits in den anderen 8 Schichten tun.
Abonnieren Sie Cyber Resilience Insights für weitere Artikel wie diesen
Erhalten Sie die neuesten Nachrichten und Analysen aus der Cybersicherheitsbranche direkt in Ihren Posteingang
Anmeldung erfolgreich
Vielen Dank, dass Sie sich für den Erhalt von Updates aus unserem Blog angemeldet haben
Wir bleiben in Kontakt!