Ein neuer Artikel in bietet eine gründliche Blick in die berüchtigte Zielverletzung. Obwohl Ziel "best-in-class" hatte Sicherheitstechnologien und eine riesige Informationssicherheit Team, verpasste sie vollständig alle Warnungen und Alarme. Wie kam es dazu, und was uns das über den Zustand der Unternehmenssicherheitsprogramme nicht sagen?

Die Target-Verletzung ist einzigartig unter Verletzung Ereignisse in erster Linie, weil wir es so viel wissen. Ziel verdient ein dickes Lob für diesen Bruch extrem transparent zu sein (obwohl einige argumentieren, können sie keine andere Wahl hatte.) Diese Transparenz bietet nicht nur einen guten Einblick in Ziels Problem, sondern auf der ganzen Welt Sicherheit Praktiker helfen, aus ihren Fehlern lernen. Das ist genau die Art von Zusammenarbeit und die gemeinsame Nutzung der Community Bedürfnisse.

Die Einzelheiten der Verletzung sind eine Menge Fragen zu erzeugen. Insbesondere was sagt die Verletzung über Corporate Information Security im Jahr 2014? Außerdem Welche Lehren können wir aus dieser Veranstaltung lernen?

1. Sicherheitskontrollen sind nur so gut wie ihre Nutzer

Eines der jüngsten Enthüllungen wurde darüber, wie Ziel ihre Sicherheitskontrollen verwendet. Wie viele andere große Unternehmen hatten Ziel stark in vielen Schneide Sicherheitstechnologien investiert. Einer von denen, FireEye, ist eine hoch entwickelte Malware-Erkennung Plattform.

Allerdings implementiert Ziel diese anspruchsvolle Plattform in einer Art und Weise, dass es nicht wirklich etwas zu schützen hat. Es wurde in "Monitor only" -Modus eingesetzt werden, wo es nicht aktiv etwas zurückhalten konnte. (Übrigens Anitian beraten speziell die Industrie gegen diese Praxis in unserem Blog-Eintrag.) In diesem Modus wird die Sicherheitskontrolle meldet lediglich verdächtiges Verhalten per E-Mail oder eine andere Warnmechanismus. Wenn das FireEye Produkt die Malware entdeckt, die den Angriff begann, war es nicht in der Lage, es zu blockieren oder es zu stoppen. Vielmehr ging eine Warnung an ein Team von Menschen, die es im Wesentlichen ignoriert.

Das in Frage stellt den Wert der Ziel Investitionen in FireEye. Wenn es Zeit für die Kontrolle kam, seine Arbeit zu tun, es war nicht die Kontrolle dass nicht, aber die Leute, die es durchgeführt und verwaltet es. Wie viele andere Unternehmen Ziel verfehlt den Punkt der Sicherheitskontrollen. Egal, wie anspruchsvoll oder voran kann eine Technologie sein, die Wirksamkeit einer Kontrolle ist fast ausschließlich davon ab, wie es umgesetzt und genutzt werden.

Ein Teil dieses Problem ergibt sich aus, wie diese Technologien verkauft werden. Hersteller, wie FireEye, verlassen sich auf Netzwerk von Resellern und Distributoren, diese komplexen Sicherheitskontrollen zu fördern und zu verkaufen. Diese Vermittler werden fast ausschließlich konzentriert sich auf das Produkt verkaufen, statt sicherzustellen, es funktioniert einwandfrei. Ebenso ist der Fokus auf die Förderung und verspricht, nicht Integration oder Bildung.

Wie viele große Unternehmen, fiel Ziel Opfer der klassischen "es gesetzt und vergessen" Verkaufsgespräch. Vielleicht, wenn Ziels FireEye Partner richtig die Total Cost of Ownership für die Technologie mitgeteilt hatte, haben Ziel könnten die Ressourcen investiert notwendig, sie richtig einzusetzen. Leider selten Händler tun, weil sie die Kosten für den Kauf aufbläst und legt sie einen Wettbewerbsnachteil mit anderen Anbietern. Technologie Händler wollen nur Gang zu bewegen, sie könnten weniger kümmern, wenn das Getriebe tatsächlich funktioniert. Letztlich sind Unternehmen Setup fehlschlagen, so dass Verletzungen wie eine Zwangsläufigkeit des Ziels.

2. Infosec kämpft für Value von Menschen Unqualifizierte to Value Sicherheit

Ziel des FireEye Produkt korrekt eine Benachrichtigung haben, geschickt, aber die Leute, die diese Warnungen Überwachung ignoriert sie. Warum haben sie das ignorieren? Und warum die FireEye Lösung wurde im Monitor-Modus nur in erster Linie zum Einsatz?

Wie so viele große Unternehmen wir bewertet haben, fehlt es Ziel des Sicherheitsteams, die Autorität, die Fähigkeit oder Bereitschaft zur Veränderung zu beeinflussen. Geschäftsleitung betrachtet die Informationssicherheit ist ein "notwendiges Übel". Sie sind schnell jede Sicherheitskontrolle (oder Person) zu entlassen, wenn es sogar ein Hauch ist es ein Hindernis für Operationen schaffen könnte. Diese Beklemmung von Führung wird in der Regel Unterstützung bei unerfahrenen IT-Mitarbeiter zu finden, die Angst aus der aktiven Verteidigung ablehnen wird es für sie, um zusätzliche Arbeit zu schaffen (oder ihren Arbeitsplatz verlieren.)

Damit sind Sicherheitsexperten in der Defensive gegen die Unternehmensführung. Sie müssen ständig ihren Wert zu beweisen, wer Manager ganz offen die Fähigkeit fehlt, Wert auf Sicherheit zuweisen. Die Geschäftsleitung wird auf die Erfüllung Leistungsziele konzentriert. Aus ihrer Sicht ist die Sicherheit ein potenzielles Hindernis für diese Ziele. Allerdings sollten sie auch wissen, dass eine Verletzung als auch das Unternehmen ruinieren könnte.

Dies führt zu einer "Schizoid Sicherheit", die dieses Blog hat. Menschen Sicherheit zu schätzen, bis er Dinge macht sogar etwas schwieriger, dann werden sie hassen es und wollen es ausgeschaltet. Dies untergräbt das Vertrauen in Sicherheitsteams, die wiederum auch ihre Autorität Veränderung zu beeinflussen erodiert.

Sicherheitsteams kämpfen daher ein harter Kampf gegen eine Vielzahl von kognitiven Verzerrungen, die Menschen beeinflussen Sicherheit ablehnen. Setup große Teams von Menschen Um dem entgegenzuwirken, Sicherheitsteams werden ihre Systeme und bieten Beteuerungen zu verwalten, dass alles unter Kontrolle ist. Dies führt zu einem weiteren großen Hürde: Menschen schlechte Verteidigung sind.

3. Menschen Ponder, Technologie Reagiert

Hatte Ziel ihre FireEye Gerät in-line zum Einsatz, mit der Fähigkeit, Malware automatisch zu blockieren, würde dies Verletzung wahrscheinlich nie geschehen. Stattdessen schickte der Sicherheitskontrolle eine Warnung an ein Team von Benutzern, prallte rund um die Organisation und nicht auf überhaupt weiterverfolgt.

Die Menschen haben einfach nicht die kognitive Fähigkeit, Ereignisse mit der Geschwindigkeit von modernen Netzwerken zu reagieren. Menschenzeit wird in Stunden, Tage und Monate gemessen. Netzwerke arbeiten in Nanosekunden, weit über die Fähigkeit der menschlichen Erkenntnis.

Was die Menschen gut sind erwägt, denken, zu analysieren und zu synthetisieren. Ziel ist ein gutes Beispiel für die falsche Vorstellung, dass Sicherheitsprogramme müssen ein Team von Ingenieuren bei Konsolen Tag und Nacht sitzen, das Geschäft zu schützen. Das ist einfach nicht der Fall. Diese Teams von Menschen werden nie in der Lage sein, schnell genug zu reagieren oder mit entscheidend genug Reaktion die nächste Generation der Angriffe zu stoppen. Kein Mensch oder ein Team von Menschen hat diese Fähigkeit.

Technologie, andererseits hat diese Fähigkeit. Es kann in Echtzeit reagieren und Angriffe zu verhindern. Allerdings muss, dass die Technologie immer noch Menschen zu überwachen und seine Ausgabe zu analysieren.

Was diese Unternehmen brauchen, sind Menschen, die Daten zu analysieren und synthetisieren sie dann in verwertbare Informationen. Dass Intelligenz muss jedoch irgendwo sinnvoll zu gehen, die sich von dieser Verletzung auf die nächste Offenbarung führt.

4. Führung braucht Intelligenz

Die Abfahrt von Beth Jacob, Target CIO zum Zeitpunkt des Verstoßes, legt nahe, Jacob war, auf einer bestimmten Ebene, aus der Schleife auf Informationssicherheit. Unsere eigene Beurteilung Daten sichert diese auch auf. IT-Führungskräfte in der Regel Sicherheit delegieren und haben dann keine Beteiligung an den Tag zu Tag Sicherheitsoperationen. Diese marginalisiert Sicherheit, bis es ein ernstes Problem ist.

Wie bereits erwähnt, muss die IT-Sicherheit die Fähigkeit, Veränderungen in einer Organisation zu beeinflussen. Damit dies geschehen kann, muss es vor der Geschäftsleitung auf einer regelmäßigen Basis. Doch wenn man sich die Sicherheitskontrollen suchen, die Unternehmen investieren in (wie FireEye), ist ihre Leistung viel zu stumpf für die durchschnittliche Exekutive. Diese Kontrollen erzeugen Daten, Metriken und Berichte, die in etwas mehr verständlich für Führungskräfte gemacht werden müssen. In anderen Worten, müssen Führungskräfte Intelligenz, keine Daten.

Wenn der US-Präsident will über die angespannte Situation in der Ukraine zu wissen, hat er nicht eine Liste aller Menschen im Land zu bekommen, die etwas entzündliche letzte Woche gesagt. Er bekommt eine Einweisung von Analysten, die Berichte so zu lesen und die Daten in Intelligenz zu synthetisieren. Die Unterrichtung des Präsidenten ist daher eine Destillation von Daten in etwas praktikabel und umsetzbar.

Geschäftsleitung braucht Sicherheit Intelligenz, nicht mehr Daten. Wir brauchen eine neue Generation von Informationssicherheitsexperten zu pflegen, die Daten zu analysieren und Führung beraten, nicht nur in neue Sicherheits-Appliances anschließen. Wir müssen Führung befähigen, intelligente Entscheidungen über die Sicherheit machen; Entscheidungen, die Veränderung der realen, greifbaren Weise beeinflussen.

Stellen Sie sich vor, wenn Jacobs, Target CIO, eine Intelligenz Briefing am Tag nach der erkannten Malware erhalten. Der Analytiker gesagt haben könnte so etwas wie: "es eine sehr verdächtige Malware-Angriff war, die in von einem Drittanbieter kam. Dies ist eine gemeinsame Taktik Verletzung basierend auf Bedrohungsdaten. Ich schlage vor, wir einen unserer Vorfall Responder zuordnen sofort die betroffenen Systeme zu untersuchen und zu reinigen. "

Jacobs hätte mit real, verwertbare Informationen bewaffnet. Sie hätte das Clean-up rechts, dann autorisiert. Die Verletzung hätte ordnungsgemäß untersucht und gestoppt. Da diese Richtlinie vom CIO kam, Sicherheitspersonal würde zum Handeln gezwungen werden, und nicht nur das Problem zu ignorieren und zu hoffen, es geht weg.

Schlussfolgerung

Es ist sicher zu sagen, dass die Industrie die Zielverletzung seit Jahren zerpflücken werden zu kommen. Es gibt eine Menge über die Informationssicherheit von diesem Vorfall zu lernen. Insbesondere Sicherheitsbeziehung mit Executive Leadership braucht, um zu reifen. Organisationen müssen die schizoide Sicherheit und entwickeln Intelligenz beruhende Antworten zu stoppen, die neuen Technologien zu nutzen. Darüber hinaus müssen die Sicherheitsteams sicher zu stellen, dass Technologien und die Menschen sind nicht die falschen Stellen durchgeführt wird.

Für Target, erscheinen sie wie viele andere große Unternehmen zu sein: Kauf Getriebe sie nicht in vollem Umfang von Resellern verwenden, die nicht kümmern; Verwaltung von Daten, die sie nicht verstehen, von Systemen, die das Unternehmen nicht zu schützen; und ermöglicht Führung abstoßen Sicherheit an jemand anderen, der auch nicht weiß, oder kümmern sich um das Geschäft zu schützen.