Impuls

Cybersicherheitsexperte plädiert für Sicherheit in der Masse

G3 war bestrebt, sich die Köpfe von Jay Kaplan von Synack anzuhören, und befragte den Cyber-Sicherheitsexperten über die Bestrebungen seines Unternehmens hin zu proaktiver Cybersicherheit und die Notwendigkeit, einen Schlüsselbestandteil von Synacks Arsenal – Crowdsourcing-Sicherheit – vollständig zu verstehen

Sind wir in Bezug auf Cybersicherheit paranoid genug?

Nein. Cybersicherheit ist das größte Geschäftsrisiko des 21. Jahrhunderts – wir müssen damit umgehen. Allerdings ermutige ich Unternehmen immer dazu, sich nicht auf die Weltuntergangshaltung einzulassen, die manchmal im Zusammenhang mit Cyber-Verstößen in den Medien herrscht. Verfolgen Sie stattdessen einen pragmatischen Ansatz zur Verwaltung und Minimierung von Cyber-Risiken. Die Sicherheitsbranche entwickelt sich weiter und erfindet die Sicherheitsabwehr neu. Unternehmen können die Cybersicherheit in den Griff bekommen, aber dazu sind kontinuierliche, konzertierte Anstrengungen erforderlich.

Ist eine Daten-/Sicherheitsverletzung unvermeidlich?

Ja. Wir können das Risiko eines Verstoßes nicht zu 100 Prozent ausschließen. Der heutige Gegner ist hochentwickelt und verfügt über eine Fülle von Daten und Werkzeugen. Allerdings können wir die Wahrscheinlichkeit eines Verstoßes verringern, indem wir a) den Widerstand der Angreifer gegen digitale Assets erhöhen, b) Maßnahmen ergreifen, um die Auswirkungen zu verringern, indem wir den Umfang hochwertiger Online-Ziele begrenzen, und c) darauf vorbereitet sind, forensisch und durch a strategischen Kommunikationsplan, falls und wann dieser umgesetzt wird.

Was ist Crowdsourcing-Sicherheit?

Crowdsourcing-Sicherheit ist ein moderner Ansatz für eine effektivere und effizientere Sicherheit. Die größte Herausforderung für moderne Sicherheitsteams ist die Größe – Sicherheitstalente sind Mangelware, Schätzungen zufolge werden bis 3.5 insgesamt 2021 Millionen Cyber-Stellen unbesetzt sein. Anstatt Zyklen damit zu verbringen, nach Talenten zu suchen, die es einfach nicht gibt, machen Unternehmen Crowdsourcing zur Lösung. Gartner schätzt, dass bis 50 mehr als 2022 Prozent der Unternehmen Crowdsourcing und damit verbundene Automatisierungstechnologien nutzen werden.

Crowdsourcing-Sicherheit nutzt einen vielfältigen Talentpool, um nach Schwachstellen in einem System zu suchen. Die meisten Crowdsourcing-Sicherheitsprogramme bieten dieser Gruppe von Sicherheitsforschern (auch ethische Hacker genannt) einen Anreiz, nach Schwachstellen zu suchen, indem sie sie für das, was sie finden, bezahlen (ein „Kopfgeld“). Dies motiviert sie, einen strengeren Test durchzuführen, als Sie ihn von einem Berater erhalten würden, für den Sie Zeit und Material bezahlen.

Die Crowdsourcing-Plattform für Penetrationstests von Synack skaliert eine Crowd mit proprietärer Automatisierungstechnologie und Datenwissenschaft, um Kunden dabei zu helfen, Schwachstellen zu finden und zu beheben, durch neue Erkenntnisse sicherer zu werden und Compliance (z. B. PCI, NIST) für Prüfer zu erreichen.

Value Center versus Kostenbelastung – wie quantifizieren Sie die Sicherheitskosten, wenn das beste Ergebnis darin besteht, dass nichts passiert?

Bis zu 5.2 Billionen US-Dollar im globalen Wert sind in den nächsten fünf Jahren durch Cyberkriminalität gefährdet – aber die weltweiten Ausgaben für Informationssicherheit und Risikomanagement werden bis 188.4 voraussichtlich nur 2023 Milliarden US-Dollar erreichen. Wir haben ein Missverhältnis zwischen dem globalen Sicherheitsrisiko und den globalen Sicherheitsinvestitionen .

Die besten Sicherheitsführer ermöglichen das Geschäft und bauen eine Marke auf. Die Marke jedes Unternehmens gibt seinen Kunden ein Versprechen. Um dieses Versprechen einzuhalten, müssen Kunden darauf vertrauen können, dass eine Marke hält, sei es, dass sie Online-Glücksspiele unterbrechungsfrei zur Verfügung stellt oder ein durchweg positives Casino-Erlebnis bietet. Um dies zu erreichen, muss Sicherheit in ein Unternehmen integriert werden, um die Verfügbarkeit von Diensten, den Schutz von Kundendaten und die Integrität von Transaktionen sicherzustellen.

Gute Sicherheit bedeutet nicht, dass nichts passiert – es bedeutet, dass das Geschäft ohne Unterbrechung abläuft.

Bestimmte Branchen sind besser geschützt als andere. Welches sind die besten und schlimmsten Straftäter und warum?

Synack veröffentlicht einen jährlichen Vertrauensbericht, der unsere proprietäre Datenbank mit Tausenden von Crowdsourcing-Penetrationstests nutzt und analysiert und bewertet, wie resistent Branchen gegenüber Angriffen sind. Finanzdienstleistungen sowie Fertigung und kritische Infrastruktur sind die zwei Branchen mit dem höchsten Vertrauen. Beide Branchen sind aufgrund des Wertes ihrer finanziellen Vermögenswerte und ihres geistigen Eigentums ein großes Ziel von Cyberkriminellen. Daher mussten sie einen proaktiven Ansatz verfolgen, um Sicherheitslücken zu finden, sie zu beheben und Sicherheit in ihre Entwicklungszyklen zu integrieren.

Auf der anderen Seite hinken Branchen wie der E-Commerce, die einen massiven digitalen Wandel durchlaufen, hinterher. Immer wenn die Digitalisierung voranschreitet und neue digitale Assets online gehen, steigt das Risiko von Schwachstellen und Verstößen. Die Unterhaltungs- und Gaming-Branche befindet sich im gleichen Boot, wobei der durchschnittliche Angreifer-Resistenzwert auf einer Skala von 57 bis 0 leicht unter dem Gesamtdurchschnitt von 100 liegt (wobei 0 die geringste Resistenz und 100 die größte Resistenz bedeutet).

Warum sollten Unternehmen Synack vertrauen? Es ist voller Hacker ...

Ihr Unternehmen wird bereits gehackt. Warum sollten Sie nicht mit einem Netzwerk von Hackern zusammenarbeiten, die Ihnen helfen wollen, sicherer zu werden, anstatt sich von den Bösewichten bestehlen zu lassen?

Das Konzept des ethischen Hackings ist eigentlich nicht neu. Synack unterscheidet sich dadurch, dass es Vertrauen in den Vordergrund stellt und Funktionen in unsere Crowdsourcing-Plattform für Penetrationstests einbaut. Unsere Plattform bietet unseren Kunden vollständige Transparenz, Überprüfbarkeit und Kontrolle. Wir überprüfen außerdem jeden ethischen Hacker, der unsere Plattform betritt, sowohl auf Integrität als auch auf seine Fähigkeiten – wir haben ein sehr elitäres Synack Red Team mit einer wettbewerbsfähigen Akzeptanzquote von 12 Prozent.

Warum sollten Sie sich für kontinuierliche Penetrationstests anstelle von Point-in-Time-Tests entscheiden? Kontinuierliche Geräusche sind teurer…

Die Dynamik moderner digitaler Umgebungen bedeutet, dass wir das Testen einfach nicht mehr auf einen Zeitpunkt beschränken können. Entwicklungsorganisationen erstellen und veröffentlichen mehrmals am Tag Codes! Wenn wir nur jährlich oder vierteljährlich testen, überlegen Sie, wie viele Änderungen und potenzielle Schwachstellen zwischen den Tests auftreten könnten. Unsere Daten zeigen, dass Unternehmen, die kontinuierliche Crowdsourcing-Penetrationstests durchführen, über 40 Prozent resistenter gegen Cyberangriffe sind als Unternehmen, die sich auf punktuelle Sicherheitstests verlassen.

Wie machen Sie Sicherheit zum Kern Ihrer Marke?

Es beginnt mit gegenseitigem Verständnis. Unternehmensleiter müssen sowohl die Risiken als auch die Chancen der Sicherheit verstehen, und Sicherheitsverantwortliche müssen verstehen, wie sie das Unternehmen voranbringen können. Führungskräfte müssen der Sicherheit Priorität einräumen und einen kontinuierlichen Sicherheitslebensstil in die Kultur einer Organisation integrieren.

Was stellt die größte Schwachstelle dar: Menschen oder Technologie?

Menschen. Letztlich bauen Menschen Technologie und Menschen sind hin und wieder anfällig für Fehler (auch wenn wir das nicht gerne zugeben). Aus diesem Grund ist das Testen durch Dritte und der Einsatz eines Crowdsourcing-Ansatzes so wichtig – wenn wir unsere eigenen Tests bewerten, geben wir uns immer eine Eins. Um sicherer zu werden, benötigen wir vielfältige Fähigkeiten, die aus verschiedenen Perspektiven nach Schwachstellen suchen. Oftmals ist die schädlichste Sicherheitslücke ein einfacher Fehler oder ein Logikfehler, der unbemerkt bleibt. Ein kreativer Gegner wird das finden. Deshalb brauchen wir ebenso kreative Abwehrmaßnahmen. Und das ist auch der Grund, warum Menschen niemals durch eine rein technische Sicherheitslösung ersetzt werden könnten. Die beste Verteidigungslösung nutzt Mensch und Maschine, um sowohl die Kreativität des menschlichen Geistes als auch die Größe einer Maschine zu nutzen.

Wie hoch ist der Prozentsatz der Verstöße, die nicht öffentlich gemacht werden und bei denen eine Zahlung erfolgt? Und ist das eine praktikable Strategie?

Die zunehmende Regulierung von Sicherheitsverletzungen zwingt Unternehmen dazu, Sicherheitsverletzungen offenzulegen. Da Sicherheit von zentraler Bedeutung für Vertrauen ist, ist die Offenlegung einer Sicherheitsverletzung ein wichtiger Schritt zur Aufrechterhaltung des Vertrauens bei Kunden und Stakeholdern. Dennoch werden viele Cyber-Sicherheitsverstöße, insbesondere bei kleineren Unternehmen und in weniger regulierten Branchen, aus Angst vor geschäftlichen Auswirkungen weiterhin nicht gemeldet.

Und schließlich: Nehmen Unternehmen die Sicherheit erst dann ernst, wenn sie verletzt wurde?

Damit ein Unternehmen die Sicherheit ernst nimmt, braucht es keine Sicherheitsverletzung – Sicherheit ist von unschätzbarem Wert. Unsere Daten zeigen, dass Unternehmen, die Crowdsourcing-Penetrationstests seit zwei oder mehr Jahren nutzen, bis zu doppelt so stark gegen Cyberangriffe sind als Unternehmen, die Crowdsourcing-Tests nicht oder erst seit weniger als einem Jahr durchführen. Ja, ein Verstoß verursacht eine Vielzahl von Kosten, darunter Anwaltskosten, Reaktion auf Vorfälle, Öffentlichkeitsarbeit usw. Der Wert der Sicherheit liegt jedoch nicht nur in der Abwesenheit von Kosten, sondern auch im daraus resultierenden zusätzlichen Markenwert Das Vertrauen der Kunden in die Fähigkeit des Unternehmens, zuverlässig und integer zu arbeiten. Das ist der Wert proaktiver Sicherheit.