Get Cyber Resilient Ep 94 | SIEM-Erkennung und die beste Nutzung von Bedrohungsdaten - mit Neil Clausen, Regional CISO, Mimecast
Neil Clausen, regionaler CISO bei Mimecast in Boston, nimmt diese Woche am Podcast teil, um uns über SIEM-Erkennungsstrategien, die beste Nutzung von Bedrohungsdaten, die Durchführung von Tabletop-Übungen und Purple Teaming zu informieren.
Neil ist ein erfahrener Sicherheitsexperte, der neben seiner Führungsrolle bei Mimecast am Northeastern University College Vorlesungen über Datenbankmanagement, Sicherheit und andere IT-bezogene Kurse hält. Er war auch in Beratungsgremien für McAfee und Cisco tätig und hat SOC-Funktionen aufgebaut und geleitet.
Die Get Cyber Resilient Show Episode #94 Transkript
Garrett O'Hara: Willkommen zum Podcast "Get Cyber Resilient". Ich bin Garrett O'Hara. Heute ist Neil Clauson, Regional CISO von Mimecast bei uns. Neil ist ein sehr erfahrener Sicherheitsexperte. Er hält am Northeastern University College Vorlesungen über Datenbankmanagement, Sicherheit und andere IT-bezogene Kurse. Er war in Beratungsgremien für McAfee und Cisco und hat SOC-Funktionen aufgebaut und geleitet. In diesem Gespräch führt Neil uns durch SIEM-Erkennungsstrategien, die optimale Nutzung von Bedrohungsdaten, die Durchführung von Tabletop-Übungen und die Bildung von violetten Teams während des Gesprächs. Willkommen zum Get Cyber Resilient-Podcast. Ich bin Garrett O'Hara. Heute ist Neil Clauson bei mir, unser regionaler CISO und früherer Direktor für Sicherheitsoperationen. Wie geht es Ihnen heute, Neil?
Neil Clauson: Es läuft gut. Danke.
Garrett O'Hara: Schön, Sie an Bord zu haben. Sie sind drüben an der Ostküste der USA, richtig?
Neil Clauson: Ich bin nicht in Boston, also kann ich schnell reden. Ich entschuldige mich im Voraus.
Garrett O'Hara: Na ja, ich bin auch Ire, also werde ich mit deinem Tempo mithalten und dann sieben. (lacht).
Neil Clauson: Ausgezeichnet.
Garrett O'Hara: Schön, dass Sie hier sind. Neil, die erste Frage, die wir so gut wie immer stellen, ist: Wie sind Sie dahin gekommen, wo Sie heute sind? Offensichtlich sind Sie der regionale CISO von Mimecast, und Sie haben einen sehr umfangreichen Hintergrund. Ich habe auf LinkedIn nachgeschaut und, ähm, es ist toll zu hören, ja, wie Sie, wie Sie sich zum regionalen CISO für Mimecast hochgearbeitet haben.
Neil Clauson: Ja. Ich meine, ich schätze, ich bin ein lebenslanger Technologe, seit ich ein Kind war, ich habe es immer genossen, ähm, ein Hacker zu sein, bevor das ein schlechter Begriff war, schätze ich, um Dinge herauszufinden, wie das alte, äh, Sie wissen schon, vor dem Internet funktionierte, und, äh, dann habe ich einfach für kleine Firmen und Unternehmen gearbeitet, den ganzen Weg bis heute, ihnen zu helfen, Sie wissen schon, ihre IT-Infrastruktur zu erfüllen, die Art von Geschäftsumwandlung und Innovation, einfach eine Menge Spaß während des Prozesses zu haben.
Garrett O'Hara: Glückliche Tage, glückliche Tage. Ähm, wir fangen gleich damit an. Ähm, das erste, worüber wir heute sprechen wollen, ist SIEM, und, äh, vielleicht speziell die Erkennungsstrategien, die darin enthalten sind, angesichts Ihres Hintergrunds und Ihrer praktischen Erfahrung. Und ich weiß, ich weiß nicht, ob es in den USA genauso ist, aber viele Organisationen in Australien und APAC schauen sich eine SIEM-Plattform an oder haben bereits in eine solche investiert. Eine der häufigsten Beschwerden oder Probleme, die ich höre, ist, wie teuer es ist, Daten zu speichern oder wie teuer es sein kann, Daten zu speichern. Es wäre toll zu hören, wie Sie das angegangen sind und welche SOCs Sie aufgebaut und verwaltet haben.
Neil Clauson: Ja. Ja, ja. Ich meine, ich benutze SIEMs nun schon seit über 15 Jahren, richtig? Und wir alle haben gesehen, wie sie mit der Zeit immer mehr Funktionen hinzugewonnen haben, aber auch, dass sie manchmal einfach zu einem Datenlager oder einer Datengrube der Verzweiflung geworden sind, oder? Man wirft einfach alle Stämme hinein und hofft auf das Beste. Und das, das ist eine Strategie. Wie Sie schon sagten, lässt es sich nicht skalieren, und es wird kostspielig und irgendwie schwierig, den Wert herauszuholen. Generell bin ich ein großer Fan davon, den Schwerpunkt nach rechts zu verlagern, die IT in Form von Cloud-Diensten zu nutzen und andere Leute mit der Verwaltung der zugrunde liegenden Infrastruktur zu beauftragen, so dass die Sicherheitsingenieure die Sicherheitstechnik und nicht die Infrastrukturtechnik übernehmen. Indem man sich mit den Leuten auseinandersetzt, die typischerweise die größten Produzenten dieser Protokolle sind, bekommt man sie als aktive Interessenvertreter.
Auch hier bin ich ein Fan des Wardley-Mappings, aber es geht darum, die Wertschöpfungskette nach rechts zu verschieben und zu verstehen, wo MSPs oder XDRs, über die wir sicher noch sprechen werden, oder andere Drittanbieter den Bedarf an diesen Protokollen erhöhen können. Ich denke, es geht darum, klug zu sein und herauszufinden, wie SIEMs ausgereift sind, um herauszufinden, wo ihre Anwendungsfälle liegen und wo andere Lösungen diesen Anwendungsfall effektiver abdecken können. Aber letztendlich muss in den meisten Unternehmen irgendjemand eine Art von Data Warehouse betreiben, und es gibt eine Menge Open-Source-Tools, so dass das nicht schwer sein muss.
Es gibt keine Entschuldigung dafür, kein SIEM zu haben, aber ich bin ein großer Fan davon, Prozesse zu haben, richtig? Wie stellen Sie also sicher, dass Sie nicht die ganze Zeit alles protokollieren? Mir gefällt die Idee eines Log Ingestion Prozesses. Selbst für die Protokolle, die Sie bereits haben, aber vor allem, wenn Sie sie an Bord bringen, sollten Sie einen Arbeitsablauf haben, bei dem Sie im Vorfeld einige Anpassungen und Bereinigungen vornehmen. Brauche ich jede einzelne Ereignisart, kann ich sie auf die Quelle abstimmen? Das ist ein enormer, äh, Vorteil. Je weniger ich von vornherein an das SIEM senden kann, desto weniger Ereignisse pro Sekunde, desto weniger Dinge muss ich unparsen und entpacken. Wenn Sie also an der Quelle ansetzen und sicherstellen können, dass die Dinge, die Sie aufnehmen, einem bestehenden Anwendungsfall entsprechen, d. h. mit dem NIST übereinstimmen oder mit MITRE ATT&CK übereinstimmen, ist das eine großartige Möglichkeit, um zu verstehen, was Ihre Bedrohungsvektoren sind, und ob ich Möglichkeiten habe, sie zu erkennen.
Es gibt also eine Art Ableger von ATT&CK mit dem Namen DETTECK, D-E-T-T-E-C-K, bei dem es darum geht, alle 20 wichtigsten TTPs, die Sie sich ansehen, auf einer Skala von eins bis vier einzuordnen, wobei eins bedeutet, dass ich keine Sichtbarkeit habe, und vier, dass ich eine große Sichtbarkeit habe. Das würde dann Ihre Strategie bestimmen: Wenn alle Protokolle, die ich habe, keinen Einblick in meine 20 wichtigsten TTPs geben, warum mache ich mir dann die Mühe, diese zu protokollieren?
Garrett O'Hara: Ja.
Neil Clauson: Das hilft also, es zu rechtfertigen. Oder diese eine Protokollquelle, die sehr umfangreich ist und eine Menge Daten enthält, aber die Hälfte meiner TTP-Anwendungsfälle abdeckt. Auf diese Weise erhalten Sie die Transparenz, Messbarkeit und Ausrichtung, von der ich immer spreche.
Garrett O'Hara: Was war das, du hast es DETTECK genannt, was war der Ableger?
Neil Clauson: Es ist, ähm, also das ist, also ATT&CK, MITRE ATT&CK, ist, denke ich, etwas, das die meisten Leute kennen, aber DETTECK, D-E-I, D-E-T-T-E-C-K, im Wesentlichen ist es nur, ähm, die Nutzung des bereits vorhandenen, ähm, wissen Sie, JSON-Formats, um dann eine Punktzahl und eine Farbkodierung zu setzen, die Ihnen dann eine visuelle Darstellung Ihrer Fähigkeit gibt, die 20 wichtigsten TTPs zu erkennen, die im Allgemeinen oder für Sie relevant sind, richtig? Also, ähm, richtig? Über die Fähigkeit, diese zu identifizieren, werden wir im Rahmen der Bedrohungsanalyse sprechen.
Garrett O'Hara: Ja. Eines der Dinge, die ich hier gehört habe, ist, dass, ähm, selbst wenn es um die Einspeisung in ein SIEM von unserer Plattform geht, die Leute manchmal nicht die "Out of the Box"-Integration nutzen, weil, um auf Ihren Punkt zurückzukommen, Sie wollen die Menge an Daten, die sie von Mimecast gesendet bekommen, reduzieren, und sie entwickeln lieber ihre eigenen, als die Standardintegration zu nutzen, auch wenn das Zeit spart, und zwar genau aus dem Grund, weil sie nicht so viele Protokolldaten speichern oder aufnehmen wollen, wie...
Neil Clauson: Nun, ich würde sagen, ich würde vorschlagen, in Anbieter wie uns zu investieren, mit denen man jetzt diese Stämme schneiden und zerlegen kann. Auf der Mimecast-Plattform gibt es jetzt also einige Protokolle, von denen man sagen kann, dass ich nur die wichtigsten Ereignisse sehen möchte. Für neuere Sicherheitsteams oder solche, die bereits überlastet sind, müssen Sie nicht jedes einzelne Ereignis abrufen, sondern können nur die Ereignisse abrufen, die für Ihre wichtigsten Erkennungen relevant sind, und diese dann im Laufe der Zeit auswerten. Wie gesagt, ich bin ein großer Fan davon, die Protokolle zu staffeln, oder? Sie müssen also verstanden und eingestuft werden. Wir bezeichnen sie also als Protokolle der ersten Stufe, die entweder eine hohe Bedeutung oder einen hohen Wert für die Entdeckungen haben, vielleicht für die Einhaltung von Audits oder Vorschriften oder einfach nur eine gewisse Sensibilität aufweisen. Für diese Ebenen sollte es einen Eintrag in einer Wiki-Seite geben, auf der die Eigentümerschaft, die Quellen, die Abhängigkeiten und die Fehlerszenarien für den Fall, dass die Protokollquelle ausfällt, angegeben sind, richtig?
Es geht also nur darum, achtsam zu sein und zu sagen, dass nicht alles in diesem Tier-1-Protokoll enthalten sein kann, aber bei denjenigen, die es sind, werde ich sicherstellen, dass ich eine vollständige Protokollsicherung habe, so würde ich es nennen, richtig? Hundert Prozent der Protokolle, hundert Prozent der Zeit wegen dieser Empfindlichkeit. Vielleicht landen diese Protokolle der dritten Ebene einfach im kalten Speicher oder werden nicht so intensiv bearbeitet wie die Protokolle der ersten Ebene, oder sie werden nicht weiterverfolgt, wenn es zu den unvermeidlichen Störungen der Infrastruktur kommt. Das ist der eigentliche Fluch, und der Lebenszyklus besteht darin, sicherzustellen, dass man immer konsequent ist, was wirklich schwierig sein wird.
Garrett O'Hara: Ja, das verstehe ich definitiv. Die anderen Beschwerden sind, dass die Herausforderung bei SIEM oft darin besteht, die Ereignisse zu identifizieren, und Sie haben das schon ein wenig angesprochen, aber diese Art der Korrelation von Daten, um tatsächlich eine Bedrohung zu finden, wurde gefunden. Mit weniger Daten wird das vermutlich einfacher, aber können Sie uns dieses Problem erläutern und uns dann idealerweise eine Vorstellung davon geben, wie Sie dieses Problem in der Vergangenheit gelöst haben?
Neil Clauson: Ja, absolut. Ich meine, ich denke, das ist der Fluch der SIEM-Anbieter: Man geht rein und schaltet jede einzelne Regel ein, und sie leuchtet wie ein Weihnachtsbaum, aber sie sagt einem nicht wirklich etwas Wertvolles. Ich denke, dass es wahrscheinlich eine zusätzliche 80/20-Regel gibt, die besagt, dass 20 % dieser Protokolle oder diese Ereignis-Korrelationsregeln ziemlich standardmäßig sind. Erzählen Sie mir von Brute-force SSH, erzählen Sie mir von neuen Ergänzungen zu Domain-Events, richtig? Es gibt diese Kern, äh, Kern Blocking und Tackling, wir, wir nennen es, Dinge, die einfach, äh, offensichtlich sind, aber ansonsten ist es wie eine Nadel in einem Stapel von Nadeln zu finden, richtig? Wie kann ich verstehen, was für mich einzigartig ist? Bei dieser Lautstärke fängt alles an, ähnlich auszusehen, oder? Ereignisse, die vielleicht nur verdächtig sind, rechtfertigen für sich genommen nicht unbedingt einen roten Alarm.
Ich mag diese High-Fidelity-Korrelationsregeln. Es gibt jetzt ein Ding namens Sigma, S-I-G-M-A. Es ist also der Stein des Anstoßes, wenn Sie so wollen, für die Erstellung von SIEM-Regeln, die ich einmal in das Sigma-Regelkonzept schreiben kann, und die dann von Parsern an verschiedene SIEM-Anbieter, QRadar, Elastic und Splunk, weitergegeben werden. Diese Idee gefällt mir sehr gut, denn so können Sie Ihre Korrelationsregeln gemeinsam nutzen und entwickeln, und zwar so, dass Sie, wenn Sie SIEMs auslagern müssen, nicht gleich ein komplettes Rip-and-Replace durchführen müssen, oder wenn Sie mit Ihren vertrauenswürdigen Kreisen und Ihren IT-ISACs und anderen Drittparteien zusammenarbeiten, wie Sie es tun sollten, ist das eine großartige Möglichkeit, mit der gemeinsamen Nutzung der Erkennungsfunktion zu beginnen.
Aber letztendlich denke ich, dass wir in Bezug auf Purple Teaming, über das wir gerne sprechen würden, diesen Prozess vorantreiben, indem wir verstehen, welchen Bedrohungen man ausgesetzt ist, und dann sehen, kann ich das erkennen? Darf ich darauf antworten? Kann ich mein Kontrollset testen und sehen, ob ich die Möglichkeit habe, das zu erkennen? Und wenn nicht, dann sollten Sie diese Zusammenhänge herausarbeiten. Ich glaube, es geht wirklich darum, einen guten Lebenszyklus zu haben, oder? Und in der Lage zu sein, die Punkte zu verbinden, richtig? Und, und verbinden Sie diese Punkte auf eine Art und Weise, die alle auf die gleiche Seite bringt, die sich auf Ihre spezifischen, äh, Bedrohungsszenarien, Anwendungsfälle, Ihre Geografie, Ihre Kunden, ähm, und die TTPs, die für Sie am relevantesten sind, bezieht.
Garrett O'Hara: Ja. Es scheint auf jeden Fall so zu sein, dass die Konsistenz zwischen den verschiedenen Anbietern der Schlüssel für die Zukunft sein wird, oder? Ich meine, wenn die Protokolle, die Formate und die Darstellung der Datenfelder einheitlich wären, wäre das Leben für alle viel einfacher. Ich habe sicherlich schon gehört, dass ein Anbieter etwas auf eine bestimmte Art und Weise darstellt und der andere auf eine etwas andere Art und Weise, aber das reicht aus, um diese Art von Zuordnungen zu durchbrechen.
Neil Clauson: Ja. Ja, genau. Und genau da helfen Dinge wie XDR, oder? Es gibt jetzt mehr offene Plattformen dafür, es gibt mehr Konsistenz. Es war ein langer Weg, vor allem für jemanden, der das schon eine Weile macht, und wie herausfordernd es sein kann, diesen, wie wir es nennen, Saft zu bekommen, der es wert ist, ausgepresst zu werden, richtig? Und es wird viel gepresst für manchmal nicht viel Saft. Aber ich denke, dass wir als Industrie, als Team von uns allen, den Sicherheitsexperten, langsam Fortschritte machen und in der Lage sind, eine gewisse Konsistenz mit diesen Plattformen zu erreichen, und konsistente Ergebnisse sind das, was unsere Führungskräfte wirklich wollen.
Garrett O'Hara: Ja. Du hast dich angehört, als hättest du schon einiges gesehen, weißt du, [lacht].
Neil Clauson: Ja, ja.
Garrett O'Hara: Die Müdigkeit und die Erschöpfung [lacht].
Neil Clauson: Ganz genau. Und ich würde sagen, dass die Müdigkeit von unseren schlecht definierten Regeln oder einem schlechten Lebenszyklus bei der Entwicklung dieser losen Regeln herrührt. Erstellen Sie also ein Wiki, und testen Sie sie. Setzen Sie nicht einfach eine Regel in die Produktion ein, wenn Sie nicht wissen, was Sie tun werden, wenn sie ausgelöst wird, richtig? Vor allem, wenn es sich um ein globales Team handelt, könnte jemand eine Regel mit den besten Absichten erstellt haben, aber wenn er schläft, wenn das Feuer auf der anderen Seite der Welt ist, dann ist sie nutzlos, oder wenn er nicht weiß, was er tun soll. Ich verwende also das Klischee, dass ein Vorfall eine Überraschung ist, aber unsere Reaktion darauf sollte es nicht sein, oder?
Das heißt, diese Angriffe, die uns betreffen könnten oder auch nicht, haben wir die Möglichkeit, sie zu erkennen? Wenn ja, wer, was, was passiert dann? Welche Systeme werden Sie automatisch auslösen, welche reaktiv, und welche müssen Sie erst untersuchen? Wo und durch welche Drittparteien ist das abgedeckt? Es bedarf also nur eines durchdachten Prozesses, um sicherzustellen, dass es funktioniert. Und dann bin ich auch ein großer Fan der Bedrohungsjagd. Wir nutzen also diese Abstimmung, um zu sagen, na ja, weißt du was, diese Regel ist irgendwie falsch positiv, sie führt nicht wirklich immer zu einer Verurteilung, aber sie ist es wert, in der Nähe zu sein. Okay, das könnte eine Bedrohungsjagd sein, im Gegensatz zu einer Korrelationsregel, die, Sie wissen schon, auf der Speisekarte steht, die, äh, jeden Tag, den ganzen Tag, ausgeführt wird.
Garrett O'Hara: Ja. Nein, auf jeden Fall. Sie haben damit begonnen, das Thema anzusprechen, also könnte ich jetzt vielleicht darauf eingehen, aber die Diskussion über SIEM und XDR, ähm, wissen Sie, in der Branche wird viel über XDR gesprochen, und offensichtlich gibt es da ein paar Überschneidungen, was den Nutzen angeht, aber ich würde gerne Ihre Meinung zu SIEM und XDR hören, oder wie sieht die Zukunft von beiden aus, und wer wird gewinnen? Handelt es sich dabei um Betamax und VHS, oder ist es etwas ganz anderes?
Neil Clauson: Nein, ich denke, es gibt Platz, Platz für beides. Ich verwende eine Analogie, und ich koche sehr gerne, also ist es wie die Restaurant-Analogie. Wir sind ein Haufen von Sicherheitschefs, richtig? Und wir arbeiten im "hinter dem Haus" und verbrauchen einen ganzen Haufen von Rohstoffen, all diese Holzscheite. Und wir versuchen, diese Zutaten vorzubereiten, Parsing, Aggregation, Korrelationsregeln, um letztendlich Rezepte zu erstellen, richtig? Ein Rezept zu erstellen, das mit einer Entdeckung korreliert. Das ist es also, was die Leute an der Front des Hauses, unsere Kunden, von uns in der Küche erwarten. Wir, und jede Küche wird anders sein. Sie werden andere Geräte, andere Köche oder andere Erfahrungen haben, andere Rezepte, die die Leute erwarten, aber auch, jedem das Seine.
Ich denke jedoch, dass Unternehmen mit zunehmender Reife die Herausforderungen von SIEMs und einige der Vorteile der Umstellung auf die rechte Seite erkennen, wenn sie diese Drittanbieter haben, die XDR betreiben und sich darauf konzentrieren, in einer Sache wirklich gut zu sein, und dies auf andere Anwendungsfälle ausdehnen - ich denke, die beiden können Hand in Hand arbeiten. Ich denke, das SIEM kann wirklich dabei helfen, diese sekundären oder zweitrangigen Anwendungsfälle auf eine Art und Weise abzudecken und aufzunehmen, bei der es etwas schwieriger sein könnte, automatische Korrelationsregeln aufzustellen. Diese von XDR verwalteten Tier-One-Warnungen geben mir jedoch wirklich diesen ersten Auslöser, die erste Bedrohung, auf die ich zurückgreifen kann, um sie dann in meinem SIEM zu untersuchen, diese Protokolle herauszuziehen und beides irgendwie zu korrelieren. Also ja, ich bin ein Fan von, ich glaube, ich bin ein Fan von beidem.
Garrett O'Hara: Jepp. Das ist ganz schön riskant [lacht].
Neil Clauson: Ja. Nun, ich meine, also nochmal: gut, besser, am besten, richtig? Unternehmen, die gerade erst anfangen und kein großes Budget und kein starkes Team haben, können mit XDR die häufigsten Anwendungsfälle abdecken. Es kommt also darauf an, aber allein die Idee, ein SIEM aufzustellen und Protokolle hineinzuwerfen, in der Annahme, dass am anderen Ende irgendeine Magie herauskommt, ist wahrscheinlich nicht so...
Garrett O'Hara: Das wird zu nichts anderem als Enttäuschung führen. Was die Antwort angeht, so ist die XDR-Antwort der letzte Buchstabe. Ich bin sehr daran interessiert, Ihre Gedanken darüber zu erfahren, wie Sie die Entwicklung sehen, was die Automatisierung angeht, wie effektiv sie sein kann und welche Probleme Sie in der Vergangenheit gesehen haben. Ich meine, ich habe gehört, dass man nur Dinge automatisieren kann, die gut dokumentiert und definiert sind, dass es keine Wunderwaffe ist, dass man wirklich wissen muss, was man automatisieren will. Die Gefahr besteht darin, dass man auf die große rote Antworttaste drückt und etwas kaputt macht, weil man es nicht wirklich geplant oder durchdacht hat. Und auch, dass man keine Plattform braucht. Sie haben einen guten Punkt gemacht, als wir uns darauf vorbereiteten, dass Reaktion und Automatisierung keine teure Plattform sein muss, sondern ein wirklich gutes Python-Skript sein kann, das jemand zusammengestellt hat... Ähm, wie auch immer, das ist eine sehr offene Frage, aber ja, ich würde gerne ein Brain Dump von Ihnen bekommen, als Antwort.
Neil Clauson: Ja. Ich meine, noch einmal, diese überraschende Reaktion auf Inzidenzen sollte nicht sein, also passt ein Python-Skript einfach perfekt in diese gute Kategorie. Die einzige Herausforderung besteht darin, dass es in Unternehmen häufig zu Reibereien zwischen IT und Sicherheit kommt, oder? Vor allem auf Unternehmensebene, wo sie leicht unterschiedliche Mandate und Aufgaben in Bezug auf Verfügbarkeit und Betriebszeit im Gegensatz zu Sicherheit und Widerstandsfähigkeit haben, und manchmal können die besten Absichten der Sicherheit mit dieser Verfügbarkeit und Betriebszeit in Konflikt geraten. Ähm, ja, eine gute, äh, teamsportliche Anstrengung hilft hier ebenso wie die Tatsache, dass es nicht nur um Technologie geht, sondern auch um die Menschen auf der Prozessseite. Das ist der Punkt, an dem die visuellen SOAR-Tools und Playbooks Ihnen diese Transparenz ermöglichen: Hey, das werden wir tun, das sind die Ergebnisse.
Im Allgemeinen mag ich es, wenn ich wieder die Analogie zum Rezept verwende: Was sind die Ergebnisse, die ich erreichen will? Ein Active Directory-Konto zurücksetzen, einen Port auf einer Firewall blockieren, richtig? Und was sind die Dinge, was sind die Fehlerszenarien in diesem Zusammenhang? Indem Sie also zu Ihrem IT-Team gehen und sagen: "Wir haben das durchdacht, dieses Ergebnis ist uns wichtig, wir haben alle dieses gemeinsame Ziel, aber die Realität ist, dass wir unter diesen Umständen vielleicht ein zweites Paar Augen brauchen. Sind Sie damit einverstanden oder nicht?" Oder? Aber der visuelle Aspekt ermöglicht wirklich diese Transparenz, diese Überprüfung, so dass es nicht nur ein Python-Skript ist, das im Hintergrund läuft und von dem man nie weiß, ob es ausgelöst wird oder nicht. Ähm, und dann diese Interessenvertreter mit ins Boot zu holen, indem wir sagen: "In Ordnung, wir verstehen, dass Sie nicht damit einverstanden sind, dass wir hundert AD-Konten auf einmal zurücksetzen, können wir eines machen? Sie wissen schon, kann..." Gute, gute Verhandlungs- und Sozialkompetenzen sollten meiner Meinung nach Teil der Ausbildung und der Bemühungen jeder Sicherheitsfachkraft sein, oder? Denn wie kann man ohne Autorität Einfluss nehmen? Es geht darum, wie man Partnerschaft und Engagement zeigen kann. Und ich denke, hier liegt für die Unternehmen die eigentliche Herausforderung: Sie müssen zeigen, dass sie das können, und zwar auf effektive Weise, vor allem mit diesen Tools der nächsten Generation, und die IT und die Infrastruktur sind die Hauptakteure, wenn es darum geht, das sicherzustellen.
Garrett O'Hara: Da Sie das sagen, also, Sie wissen schon, IT und Infrastruktur sind die Hauptakteure, wenn es um die Reaktion geht, ähm, Sie wissen schon, wenn Sie an SOAR denken, im Allgemeinen sind es die Playbooks, Sie wissen schon, die visuellen Darstellungen, die in Aktionen und, und eine Art Logik und was weiß ich. Ähm, aber natürlich haben sie auch eine Komponente der Zusammenarbeit, wissen Sie, es ist eine Art Kriegsraum, wenn man auf einen Vorfall reagiert. Beziehen Sie Ihrer Erfahrung nach die IT- oder Infrastrukturteams mit ein oder stellen Sie ihnen die SOAR-Tools zur Verfügung, damit sie sehen können, was vor sich geht, und, wie Sie sagten, über ein SOAR-Tool möglicherweise sogar zusammenarbeiten können, oder ist das eher eine informelle Sache, von Mensch zu Mensch?
Neil Clauson: Nein, ich meine, ich denke, es ist beides, oder?
Garrett O'Hara: Ja.
Neil Clauson: Ich denke, es kommt wieder auf die Art des Restaurants an, das Sie betreiben. Aber in reiferen Unternehmen werden die IT- und die Sicherheitsteams verschiedene Playbooks auf derselben Plattform nutzen, denn der schwierigste Teil ist die Einrichtung der Endpunkte, die Authentifizierung und der Zugang zu den Endpunkten, die die gewünschten Ergebnisse liefern sollen, richtig? Zum Beispiel einen Port auf einer Firewall blockieren oder, Sie wissen schon, ein System vom Netz nehmen, ähm, so etwas in der Art, es aus dem Orbit abschießen, um eine Alien-Referenz zu verwenden. Das ist der einzige Weg, um sicher zu sein. Ich denke also, dass bei dieser guten, besseren, besten Methode die IT-Abteilung oft ihre eigenen Automatisierungsplattformen hat, die vielleicht nicht zu den Sicherheitsanwendungen passen, aber je mehr man sagen kann: "Hey, für diese Endpunkte ist dies die Plattform der Wahl", so dass die Endpunkte der ersten Ebene, die wirklich sicherstellen müssen, dass das passiert und die ganze Zeit verfügbar sind, diese Ergebnisse erzielen können. Aber ich denke, viele Leute haben Slack und andere Möglichkeiten, um solche Dinge zu tickern. Letztlich kann der bereichernde Aspekt des SOAR ebenso nützlich sein wie die Antwort.
Garrett O'Hara: Ja. Lassen Sie uns ein wenig ausholen und über Bedrohungsdaten sprechen. Sicherlich ist das ein Begriff, der in der Branche häufig verwendet wird, und ich denke, er bedeutet für verschiedene Menschen unterschiedliche Dinge und hat wahrscheinlich unterschiedliche Qualitätsstufen, wenn wir ehrlich sind. Ähm, und ich habe Leute von Recorded Future gehört, ähm, Kendal Watt, der, äh, Sie wissen schon, ziemlich detailliert über, Sie wissen schon, die operativen und technischen Informationen im Vergleich zu den strategischen Bedrohungsinformationen spricht. Und wie ich schon sagte, können die Qualitätsunterschiede dramatisch sein, je nachdem, woher es kommt und was es genau ist. Offensichtlich haben Sie ziemlich viel Erfahrung in der Praxis, daher wäre es sehr gut, Ihre Meinung darüber zu erfahren, wie Bedrohungsdaten Ihrer Meinung nach am besten eingesetzt werden.
Neil Clauson: Ja, absolut. Ich meine, ich erinnere mich, wie ich vor mehr als 10 Jahren versucht habe, einen gewissen Nutzen aus meiner Cisco IPS-Lösung zu ziehen, indem ich einfach Listen von bösen IP-Adressen hochgeladen habe, als man noch eine ganze Reihe von IPS blockieren konnte, oder? Mir gefällt die Unterscheidung zwischen operativen oder technischen Bedrohungsdaten und strategischen oder taktischen Bedrohungsdaten. Es gibt Anwendungsfälle für beides. Und wieder ging es einfach los: "Hey, hier ist ein ganzer Haufen IP-Adressen. Ich glaube, dass es dafür einen guten Anwendungsfall gibt. Die beste Quelle sind natürlich die Dinge, die Sie direkt angreifen oder treffen. Wenn Sie das also aus Ihren Protokollen, aus Ihrem E-Mail-Stream abrufen, dann ist das ein schamloser Beitrag von Mimecast, oder? Es geht wirklich darum, die Bedrohungen zu verstehen, die auf Sie zukommen, und in der Lage zu sein, die wichtigsten Techniken zu verstehen und abzuleiten, die sie auszunutzen versuchen, die wichtigsten Personen, die sie auszunutzen versuchen, die Methodik, und dann auch die technischen Informationen aus anderen vertrauenswürdigen Kreisen durch diese XDR-Ökosysteme zu nutzen, wie ich bereits erwähnt habe, richtig?
In Anbetracht des Umfangs und der Tiefe der Tools, die relativ kostenlos zur Verfügung stehen, sollte es jetzt relativ einfach sein, Bedrohungsdaten aus dem taktischen Bereich auszutauschen, um sicherzustellen, dass Ihr Endpunkt diesen Hash auch blockiert, wenn Ihre E-Mail diesen bösen Hash gesehen hat. Das ist, glaube ich, ein ganz normaler Spieleinsatz. Der fortschrittlichere Teil besteht darin, diese taktischen Bedrohungsinformationen zu nutzen, um den Finger am Puls der verschiedenen Malware-Familien zu haben, der verschiedenen Dinge, die Sie betreffen können oder auch nicht. Das ist also ein Teil eines fortgeschritteneren Programms, das Sie aber wirklich brauchen, wenn Sie mit diesen Bedrohungen konfrontiert sind. Und für mich bedeutet das, dass ich eine engagierte Person habe, die Ihre Anforderungen, die so genannten PIRs, Ihre vorrangigen Informationsanforderungen, entgegennimmt. Wir müssen also verstehen, welche Dinge wir im Auge behalten müssen, und jemanden haben, der das tagtäglich aktiv tut.
Ich würde sagen, dass Bedrohungsinformationen auch Dinge wie die am häufigsten ausgenutzte Schwachstelle in der Welt bedeuten, und dann umdrehen und sagen, ob wir das intern haben, richtig? Das ist für mich die taktische Umsetzung, um sicherzustellen, dass man sich der Situation bewusst ist und dass man wirklich schnelle OODA-Schleifen hat, dass man beobachtet, was in der Welt passiert, sowohl allgemein als auch für einen selbst, dass man schnelle Entscheidungen trifft und dass man in der Lage ist, zu handeln und diese Schleifen zu schließen, diese Angriffsfläche so weit wie möglich zu reduzieren. Es geht nur um die täglichen Aktivitäten, die mit den taktischen Informationen über die Bedrohung abgeglichen werden sollten.
Garrett O'Hara: Und gibt es bestimmte Formen von Bedrohungsinformationen, die wertvoller sind als andere, oder bestimmte Quellen von Bedrohungsinformationen, die wertvoller sind als andere? Sie haben das, glaube ich, vielleicht ein wenig angesprochen, aber, ähm, ja, vielleicht etwas ausführlicher?
Neil Clauson: Ja. Ich meine, letztendlich sind es die, nach denen Sie handeln, richtig? Man könnte Ihnen sagen, dass Sie die erste IP des Todessterns sind und trotzdem nicht, Sie wissen schon, wenn Sie nichts dagegen tun [lacht], was ist dann, Sie wissen schon, was ist gut daran, es zu wissen? Also, ähm, ich denke, richtig, also, es ist, es ist das, es ist die Operationalisierung, es ist der Menschen-, Prozess- und Technologie-Aspekt, und das ist es, wo man, ähm, diese Beziehungen im Voraus mit Ihrem Firewall-Team aufbauen muss, um zu sagen, kann ich einfach eine Regel haben, die leer ist, aber wenn es nötig wäre, würde ich eine IP-Adresse dort reinschreiben, die im gesamten Unternehmen blockiert wird. Hier sind die Szenarien, in denen ich es einsetzen würde, weil wir aktiv angegriffen werden oder [unhörbar 00:22:25], richtig? Diese Art von Szenario wird uns wahrscheinlich betreffen oder hat uns bereits betroffen, und wir werden hoffentlich über Tabletop-Übungen sprechen, aber als Ergebnis dieser Fehlschlag- oder Pre-Mortem-Analysen oder dieses so genannten Red-Team-Denkens denken wir, dass dies der wahrscheinlichste Ort ist, an dem sich diese Bedrohung realisieren wird. Großartig. Die besten Informationen über Bedrohungen sind die, die tatsächlich zu Veränderungen führen.
Garrett O'Hara: Auf jeden Fall. Sie haben es gerade erwähnt, also lassen Sie uns, lassen Sie uns über Tabletop-Übungen sprechen, und, ähm, und irgendwie darauf eingehen. Äh, eigentlich ist es Nick Abrahams, ein lokaler, ähm, Futurist, äh, Redner, ein sehr cooler Typ, wir haben über Web3 gesprochen, und Sie wissen schon, ziemlich, ziemlich cooles Zeug. Aber er ist auch stark in Cybersicherheit und Technologie im Allgemeinen involviert, aber er hat viel Zeit damit verbracht, mit Gremien zu arbeiten, und nutzt Simulationen oder Tischübungen, um ihnen klar zu machen, wo sie stehen, wenn es um Lösegeldzahlungen geht, und ob sie zahlen oder nicht. Offensichtlich haben Sie aufgrund Ihres Hintergrunds und der Tatsache, dass Sie sie gerade erwähnt haben, viel Zeit damit verbracht und wahrscheinlich viele Tabletop-Übungen durchgeführt. Können Sie uns erläutern, was Sie getan haben, und welchen Nutzen haben Ihre Teams oder das Unternehmen im Allgemeinen aus diesen Übungen gezogen?
Neil Clauson: Ja. Ich meine, noch einmal, das ist das Klischee vom Zug, wie man kämpft und kämpft, wie man trainiert, ähm, was bedeutet, dass alle, jeder, alle Ihre Interessenvertreter, nicht nur die Leute an der Front, Ihre Analysten und Ingenieure, sondern Ihre, Ihre Rechtsabteilung, Sie wissen schon, Ihr PR-Team. Letztendlich haben wir viele Übungen gemacht, viele Workshops, und die können schnell sein. Meine generelle Empfehlung ist also, dass es nicht, du weißt schon, ähm, ich erinnere mich daran, wie ich als Kind Dungeons & Dragons gespielt habe, und es gab achtstündige Kampagnen, so ähnlich ist es auch, aber es sollte einfach ein schneller Hit sein, der, ähm, gut und beständig ist. Wir haben einige Workflows mit unserem Wiki und Ticket-Management-System eingerichtet, so dass wir ein Backlog erstellen können, ähnlich wie bei der Software-Entwicklung, einfach ein Backlog von In-Scope-Übungen, basierend auf den Ereignissen, die wir sehen, basierend auf unseren Unternehmensinitiativen oder -projekten, oder einfach auf den Ergebnissen der letzten Schulung, "Hey, wir haben es letztes Mal gut gemacht, aber wir müssen vielleicht diese, diese verschiedenen Variationen durchführen." Wiederholbarkeit ist also wirklich der Schlüssel.
Und mit diesen Vorlagen, ähm, einfach Word- und PowerPoint-Vorlagen haben Sie den, ähm, den Leitfaden für Ihren Koordinator, haben Sie Ihren Leitfaden für die Teilnahme des Publikums, richtig? Es sollte also nicht nur eine Person sein, die das machen kann, sondern jeder sollte in der Lage sein, mitzumachen, diese Vorlagen zu haben, die Szenarien durchzuspielen, die Leute auf Trab zu halten, und noch einmal, einfach früh und oft mitzumachen, es muss nicht sein, die Leute haben nicht den ganzen Tag Zeit, um diese 30, 45 Minuten durchzugehen. Die Verwendung des Ticketsystems hilft auch bei der Nachverfolgung und Prüfung. Die Leute, die nach der Gewissheit suchen, dass Sie Ihre Teams tatsächlich ausbilden, lieben die Beweise, die sie in einer Reihe von geschlossenen Tickets in einem Tool wie Jira sehen.
Äh, aber dann auch mit diesem Ticketingsystem, um die Aufgaben und Verbesserungsbemühungen zu verbinden, die sich aus diesen, ähm, Trainingsübungen ergeben haben, richtig? Es geht also darum, zu beobachten, wie Ihr Team und Ihre Mitarbeiter, Prozesse und Technologien in einem bestimmten Bedrohungs- oder Fehlerszenario reagieren würden. Und auch, dass man das Meer nicht kocht. Das hat nichts mit... jedes Mal ein kleines Stückchen Fortschritt zu zeigen, halte ich für die größte Sache, die ich gesehen habe. Das ist wie ein Besuch im Fitnessstudio, oder? Man hebt nicht an einem Tag tausend Pfund. Man hebt ein paar Tage lang tausend Pfund, und es geht darum, das immer wieder zu wiederholen, um Muskeln aufzubauen, und sicherzustellen, dass alle Leute wissen, dass es Spaß machen kann, dass es eine gute Möglichkeit ist, neue Szenarien auszuprobieren, und auch für die Leute, die sie durchgehen müssen, Beweise und Beobachtungsmöglichkeiten zu liefern, d.h. "Hey, uns fehlt ein kompletter Satz von Kontrollen für dieses Bedrohungsszenario, richtig?" Sie können damit also Finanzmittel und andere Ressourcen beschaffen, die Sie benötigen, wenn es Lücken gibt.
Garrett O'Hara: Wie ist die Kadenz? Sie haben also erwähnt, dass Sie tausend Pfund heben können, ich weiß nicht, wie viel das in Kilo ist, für die nicht-kaiserlichen [lacht] Gewichtsmessungs-Zuschauer. Aber, ähm, genau, das ist eines der Dinge, die wir immer wieder hören. Es ist wie mit der Wiederholung: Man beherrscht sie, aber man kann auch ermüden, wenn man sie immer wieder macht. Was ist Ihrer Meinung nach eine gute Kadenz für die Art von Übungen oder Tischübungen, die Sie durchführen?
Neil Clauson: Ja. Ich meine, das könnte, das wird von der täglichen Arbeitsbelastung des Teams abhängen und davon, wie viele Lücken Sie dafür haben. Manchmal muss man also drängen, und manchmal muss man sich etwas zurücknehmen, wenn viel los ist. Ich würde sagen, einmal pro Woche ist wahrscheinlich zu viel für ein Team, in dem schon viel los ist. Ich würde sagen, nicht weniger als einmal im Monat und sicherlich mehr als einmal im Quartal. Ähm, und das wiederum könnte so aussehen, dass wir einmal pro Halbjahr eine umfassende Übung durchführen, an der alle Interessengruppen beteiligt sind, aber einmal pro Quartal machen wir jeweils eine, richtig? Und dann haben wir vielleicht einmal im Monat neue Szenarien oder neue Situationen mit Dritten eingebracht.
Garrett O'Hara: Ja. Nein, auf jeden Fall. Und, und, wissen Sie, in Bezug auf Situationen oder Szenarien, äh, eignen sich alle Szenarien irgendwie für Tabletop-Übungen, oder gibt es einige, von denen Sie herausgefunden haben, dass diese wirklich gut funktionieren, wissen Sie, diese bestimmte Art von Szenario funktioniert wirklich gut für Tabletop?
Neil Clauson: Äh, ich meine, noch einmal, vor allem, wenn man gerade erst anfängt, möchte man die machen, die am wahrscheinlichsten von einer FAIR-Risikobewertung sind, die, die entweder die größte Häufigkeit von Bedrohungsereignissen und/oder die schwächste, äh, Kontrollabdeckung haben, richtig? Also, erzähl mir von den Dingen, die mich in den Hintern beißen werden, und, und, und tu etwas dagegen. Denn auch hier gilt: Manchmal sind es nicht nur die Tische selbst, sondern auch die Metapunkte? Es ist die Reflexion an die Führung, wie "Hey, wir brauchen hier Hilfe." Dabei geht es nicht nur um die technische Seite, sondern auch darum, dass wir nicht wissen, was die PR-Abteilung tun würde und wie wir uns im Falle eines Ransomware-Ereignisses mit der Rechtsabteilung auseinandersetzen sollten. Ich denke, es sind diejenigen, die für Sie spezifisch sind. Ich denke, die schwierigeren sind die, bei denen man das tut, bei denen man die Bemühungen mehrerer Teams braucht, und die, bei denen es schwieriger ist, entweder die Technologie oder den Prozess zu umhüllen.
Garrett O'Hara: Ja, auf jeden Fall. Und für diejenigen, die es interessiert: Neil hat gerade FAIR erwähnt. Wir hatten Marco vor ein paar Wochen hier, und wir haben lange darüber gesprochen, FAIR. Wenn Sie also eine kurze Einführung in dieses Thema suchen, sollten Sie sich Marcos Folge ansehen. Was die Tabletop-Übungen angeht, Neil, wen beziehen Sie da mit ein? Sie erwähnten gerade die PR, aber was ist der "Sweet Spot" in Bezug auf die Anzahl der Teilnehmerinnen und Teilnehmer? Ich meine, ich weiß, dass es zu Ihren Aufgaben als Führungskraft und Manager im Sicherheitsbereich gehört, dafür zu plädieren, dass die Leute aus ihren alltäglichen Aufgaben herausgezogen werden und möglicherweise andere Teams einbezogen werden. Und das ist mit Kosten verbunden, die man jeweils rechtfertigen muss. Wie haben Sie das geschafft? Und, und, und, wissen Sie, was ist der Sweet Spot in Bezug auf die Teams, die beteiligt sind, die Anzahl der Menschen?
Neil Clauson: Ja, absolut. Ich meine, ich bin ein großer Fan dieser Tree-MORT- und MORT-Fehlerszenario-Analyse. Für diese Teams ist das ein Teil ihrer täglichen Arbeit, oder? Sie verwalten und überwachen die Infrastruktur, die uns intern und unseren Kunden Sicherheiten bietet. Ich finde es toll, wie Netflix seinen Chaos-Affen macht, oder? Sie setzen Tools ein, die in der Umgebung immer wieder kaputt gehen, denn die Dinge müssen so konzipiert sein, dass sie belastbar sind. Daher halte ich die Zusammenarbeit mit den IT-, Technik-, Cloud- und anderen Infrastruktur-Teams von Drittanbietern für entscheidend. Die anderen Leute sind die Rechtsabteilung, die PR-Abteilung, die Kundenkommunikation, die Leute, die sozusagen Ihr Sprachrohr sein werden, während Sie mit dem Kopf nach unten auf den Vorfall reagieren. Ich denke, das sind die beiden Schlüsselteams, die sicherstellen müssen, dass sie verstehen, was sie tun müssen, wenn der große rote Knopf kommt.
Garrett O'Hara: Jepp. Nein, auf jeden Fall. Und es ist, es ist irgendwie benachbart zu diesem, aber, ähm, wissen Sie, lila Teaming ist die, die Art von nächsten, ähm, es war das nächste Thema, das ich gerne mit Ihnen heute irgendwie berühren wollte. Und ich denke, wir haben wahrscheinlich genug Zeit, um ein vernünftiges Gespräch zu führen. Wir, wir könnten, ähm, ich habe mit Neil geplaudert, bevor wir auf den großen Aufnahmeknopf gedrückt haben, äh, weil es hier so viel zu behandeln gibt, könnten wir das am Ende in zwei Episoden aufteilen, aber mal sehen, wie es läuft. Ähm, wissen Sie, Purple Teaming ist eines der Dinge, mit denen sich, glaube ich, viele Menschen langsam vertraut machen. Die Leute kennen sicher rotes und blaues Teaming, aber können Sie uns erklären, was lila Teaming aus Ihrer Sicht ist?
Neil Clauson: Sicher. Eine Sache, die es zum Glück noch nicht gibt, ist ein Produkt, oder? Eins sind wir, wir sind großartig.
Garrett O'Hara: Gib dem Ganzen Zeit. Es wird früher in einer Broschüre erscheinen.
Neil Clauson: Ja, ja. Wir sollten ein paar Domänennamen registrieren lassen. Es handelt sich also um einen von Bedrohungsdaten gesteuerten und koordinierten Ansatz zur Bewertung der Risikoexposition. Das ist sozusagen die Quintessenz, aber letztendlich ist es Teil einer guten und umfassenden Test- und Validierungsstrategie, die Ihre Erkennung und Reaktion ergänzt und ausgleicht. Nicht jeder wird ein internes rotes Team haben, aber es ist ein Konzept, eine Art von Simulationswerkzeug für den Gegner zu nutzen, um herauszufinden, wo ich Lücken habe. Wie viele Erkennungen kann ich erstellen? Wie schnell kann ich reagieren, wenn diese Entdeckungen auftreten? Ich denke also, dass die Unterstützung von drei Zielen aus taktischer Sicht in Bezug auf violettes Teaming es Ihnen ermöglicht, Ihre Ressourcen auf diese prioritären Bedrohungen zu konzentrieren, so dass Sie die Entscheidungsträger rechtzeitig mit Informationen versorgen können. Das erinnert an die Drohung und das Verraten, nicht wahr? Es ist eine Bedrohung auf der einen Seite, man testet sie, und dann kommt man zurück und sagt: Ja, wir haben die Fähigkeit, diese aktive Bedrohung zu erkennen oder auf sie zu reagieren, oder nicht.
Letztendlich geht es wieder um das unvermeidbare Risiko. Wenn ich ein unvermindertes Risiko habe, übersteigt es dann meine Bedrohung und meine Risikobereitschaft? Purple Teaming wird Ihnen helfen, dies in quantitativer Hinsicht zu verstehen. Ähm, und um das wirklich zu verstehen, funktionieren meine Kontrollen wie erwartet? Das ist es, worauf ich schaue, denn oft verteidigt uns das blaue Team: "Ich habe ein SIEM, ich speichere all diese Protokolle, ja, das Leben ist gut. Ja, aber schießen die Regeln auch wirklich? Und wenn ja, gibt es genügend Beweise und macht es Sinn, oder erzeugen Sie nur falsch positive Ergebnisse, richtig? Der taktische Aspekt des Purple Teaming sollte also wirklich darin bestehen, dies zu einem Teamsport zu machen und sicherzustellen, dass sich jeder auf tatsächliche Risiken und tatsächliche Entdeckungen konzentriert und nicht nur auf Wahrnehmungen. Und aus operativer Sicht hilft lila Teaming dabei, sicherzustellen, dass das Sicherheitsteam als Ganzes arbeitet, dass jeder involviert ist und weiß, was die Bedrohungen sind, wie sie sich auf die Organisation auswirken können und, was am wichtigsten ist, was wir dagegen tun, richtig?
Wenn Sie ein violettes Team haben, bedeutet das, dass Sie sich Gedanken machen und versuchen, Ihr Risiko so weit wie möglich zu reduzieren. Auf strategischer Ebene geht es vor allem um die Datenfusion und die Verbesserung des Situationsbewusstseins, um die Schleifen zu schließen und die Angriffsfläche zu verringern. Also, ähm, lila Teaming ist, es muss nicht unbedingt ein Haufen Leute sein, es gibt, von einer automatisierten Sichtweise aus gesehen, Simulations-Tools für Einbrüche und Angriffe, es gibt, es gibt Open-Source-Tools wie CALDERA, und dann gibt es voll bezahlte Anbieter, die Sie ausführen können, oder Sie könnten mit Ihrem MSP zusammenarbeiten, um zu sagen, "Hey, ja. Anstatt nur einmal im Jahr ein rotes Team einzuschalten, das einmal im Quartal mit diesem Angriff kommt und ihn durch meinen Endpunkt und meine Firewall-Lösung laufen lässt, können Sie mir sagen, wie effektiv sie gegen diese kleinen TTPs ausgerichtet sind. Geben Sie mir also einen quantitativen Beweis." Das ist ein wirklich großer Wert. Und wenn man dann in diesem Stapel nach unten oder nach oben geht und weniger automatisiert und mehr kundenspezifisch vorgeht, hat man seine TTXs, sein Schwachstellenmanagement und seine Bedrohungsjagd und seine lila Teaming-Aktivitäten. Es ist also eine Art Denkweise, es zu betrachten, denke ich.
Garrett O'Hara: Und fließt das, so wie Sie es beschreiben, in eine der unteren Ebenen des FAIR-Modells ein? Zum Beispiel Dinge wie die Reaktionsfähigkeit. Sie fangen an, Daten zu sammeln, mit denen Sie einschätzen können, wie gut Sie auf Dinge reagieren können, und letztlich das Risiko auf einer höheren Ebene ermitteln können.
Neil Clauson: Auf jeden Fall. Ja, ja. Ich meine, das ist das Beste an FAIR, dass es wirklich von quantitativen oder zumindest halbquantitativen Fingerabdrücken profitiert, im Gegensatz zu nur, ich, denke ich, richtig? Jemand, den ich kenne, ihr Name ist Renee Murphy von Forrester, hat ein Zitat: "Vertrauen ist keine Kontrolle und Glück ist keine Strategie." Und ich habe immer die Einstellung gelebt, dass man nicht einfach davon ausgeht, dass die Kontrollen das tun, was man sagt, was ein Anbieter sagt, dass sie das tun, sondern dass man tatsächlich die Reifen prüft und sieht.
Garrett O'Hara: Und probieren Sie sie. Ich vermute, dass jemand eine T-Shirt-Firma für Cybersicherheit gründen wird, und weil es eine Menge T-Shirt-Zitate gibt, die, so vermute ich, eine riesige Menge Geld einbringen. Ja, ja.
Neil Clauson: Ja.
Garrett O'Hara: Nächste Cyber-Sicherheitskonferenz in Black Hat könnte die, könnte der Markt sein-
Neil Clauson: Ganz genau. Das war's, Innovation.
Garrett O'Hara: Ja, absolut. Was das Purple Teaming angeht, und das ist wahrscheinlich die letzte Frage, für die wir heute Zeit haben, was sind die Probleme? Ja, ich meine, es hört sich wunderbar an und liefert Daten und all die Dinge, die Sie gerade beschrieben haben, aber gibt es irgendwelche Probleme oder Dinge, auf die die Leute achten sollten, wenn sie damit anfangen?
Neil Clauson: Auf jeden Fall. Ich denke, wie bei allem im Sicherheitsbereich ist die anfängliche Aufregung groß, und es kann leicht passieren, dass man sich zu sehr ablenken lässt. Ich sage immer, dass mein ADHS meine Zwangsneurose unter Kontrolle hält, oder? Aber es geht [lacht] darum, sich auf die wichtigsten Risiken und die entsprechenden Wege zu konzentrieren. Es geht nicht darum, sich von einer unwahrscheinlichen Taktik oder einem wirklich seltsamen Fall oder einem Vektor ablenken zu lassen, wenn die Eingangstür weit offen steht, oder? Wenn die Haustür weit offen steht, dann hören Sie auf, sich über diese sehr kleinen, ähm, möglichen Dinge Gedanken zu machen, sondern konzentrieren Sie sich auf das Wahrscheinliche. Ähm, und dieser Kontext, diese Zusammenarbeit und das Tempo sind entscheidend, also nicht zu viel auf einmal abbeißen, richtig? Sagen wir, wir konzentrieren uns nur auf dies und das, und versuchen Sie nicht, zu viele verschiedene Aktivitäten abzudecken, denn dann kommt zum Burnout noch ein Burnout hinzu.
Ähm, und noch einmal, man muss nicht viel Geld in die Tools investieren, es geht nur um diesen Prozess. Es ist eine Arbeitsweise, und es geht darum, intelligenter zu denken und in der Lage zu sein, quantitative Beweise vorzulegen. Das ist der Punkt, an dem ein Programm wirklich zu glänzen beginnt und Reife zeigt, wenn man quantitativ arbeiten kann und nicht nur mit den Händen wedelt und sagt: "Wir, äh, ich denke, wir sind sicher." Richtig? In der Lage sein und in der Lage sein, Ihre Lieferanten zur Verantwortung zu ziehen. Wenn Ihr Endpunktlieferant bei all Ihren Simulationswerkzeugen für Sicherheitsverletzungen und Angriffe oder bei den häufigsten oder berichtenswertesten Ereignissen versagt, können Sie zurückgehen und den Käfig ein wenig besser schütteln, ihn vielleicht auswechseln oder einen besseren Anbieter wählen, einen besseren Preis erzielen, aber in der Lage sein, quantitativ zu arbeiten.
Garrett O'Hara: Ich denke, vieles von dem, was Sie heute beschrieben haben, besteht darin, den Menschen zu helfen, diese Frage zu stellen oder zu beantworten, die meiner Meinung nach für Sicherheitsverantwortliche sehr frustrierend ist, wenn der Vorstand oder die Geschäftsleitung fragen: Sind wir sicher? Und, wissen Sie, die... wie lautet die Antwort darauf, aber, äh, ja, man kann zumindest damit beginnen, einige Daten oder, Sie wissen schon, die Grundlagen für eine Antwort auf diese massive Frage zu schaffen.
Neil Clauson: Nun, ich sage immer, dass man kein Metrikprogramm braucht, was mich irgendwie aufhorchen lässt. Es gibt ein Konzept namens Goal Question Metric. Sie brauchen wirklich ein Zielprogramm. Was sind die Ziele, die wir auf hohem Niveau zu erreichen versuchen? Was sind die Fragen, die ich und meine Führungskräfte stellen werden, um festzustellen, ob wir diese Ziele erreichen oder nicht? Dann finden Sie die Kennzahlen, die Ihnen helfen, diese Fragen zu beantworten, richtig? Machen Sie also nicht einfach diesen Schrotflinten-Ansatz, wie "Oh, wir werden all diese Statistiken und Prozentsätze und so weiter sammeln." Seien Sie vorsichtig, was Sie messen, ähm, und messen Sie nur die Dinge, die Ihnen helfen, Ihr Programm voranzutreiben, ähm, oder die Ihnen Beweise dafür liefern, Sie wissen schon, führende oder nachlaufende Indikatoren. Ich denke an die Qualität, Quantität und Konsistenz dieses Programms, an die Qualität, Quantität und Konsistenz der Warnungen, der Ereignisse, meiner Aufdeckungsfähigkeit, meiner Reaktionszeit und meiner Abdeckung von TTPs.
Garrett O'Hara: Neil, es war mir ein großes Vergnügen, heute mit Ihnen zu sprechen. Es gibt auf jeden Fall eine zweite, dritte, vielleicht vierte oder fünfte Folge, wer weiß? Es gibt hier so viel zu besprechen. Ich bin Ihnen wirklich dankbar für Ihre Zeit heute. Vielen Dank, dass Sie sich uns angeschlossen haben.
Neil Clauson: Auf jeden Fall. Ich danke Ihnen.
Garrett O'Hara: Vielen Dank an Neil, dass er sich uns angeschlossen hat. Wie immer vielen Dank, dass Sie sich den Podcast Get Cyber Resilient angehört haben. Stöbern Sie in unserem Episodenkatalog, abonnieren Sie uns und hinterlassen Sie uns bitte eine Bewertung. Bis dahin, bleiben Sie sicher, und ich freue mich darauf, Sie in der nächsten Folge wiederzusehen.