Sichere Umgebungen Sicherheit und Audits

Die Sicherung von Infrastrukturen und Diensten ist eines der am meisten unterschätzten Themen in der Informatik, während auf der anderen Seite die Gefahr nie so groß war wie heute. Zero-Day-Exploits, unsichere Kommunikation, einfache Passwörter, offene Firewalls, Cloud-Services und ungeschützte Webseiten sind Einfallstore für Hacker und Spionage-Operationen. Aber nicht nur eine sichere Kommunikation und geschützte Dienste sind wichtig: Sicherheit deckt jeden Aspekt potenziellem Datenverlust, Datenabflüssen und unzuverlässiger Datenintegrität ab. Sicherheit bedeutet:


Wir sind hier, um Transparenz in ihre Organisation und ihr Equipement zu bringen. Wir informieren transparent über unsere Methodik und und Bereiche welche wir abdecken. Wir analysieren Situationen visuell, technisch und aus der Sicht von Prozessen: Das Ausspionieren von Infrastrukturen, um Sicherheitsrisiken zu finden und aufzudecken, ist eine unserer Kernkompetenzen. Wir arbeiten mit Werkzeugen und benutzen hausgemachte Applikationen und Hardware-Appliances (thuWall 2.0). Fühlen Sie sich frei, unsere "Best Practice Guidlines" unten zu lesen und / oder führen ein Gespräch mit unseren Experten über Ideen in ihrem Unternehmen.

Heading text

Audits

Best practice Richtlinien

Sie sitzen auf einem heissen Stuhl, wenn ihre Organisation gehackt wird. Wenn Sie für die Informationssicherheit verantwortlich sind, sollten Sie auf jährlichen Sicherheitsaudits bestehen. In einigen Fällen haben Sie keine Wahl. So müssen beispielsweise externen Prüfern bescheinigen, dass ihr Finanzinstitut Vorschriften wie der Gramm-Leach-Bliley Act (GLBA) einhält. Die Audit-Abteilung ihrer eigenen Organisation kann dies erfordern. Oder potenzielle Partner oder Kunden können darauf bestehen, die Ergebnisse eines Sicherheitsaudits zu sehen, bevor sie mit Ihrem Unternehmen Geschäfte tätigen und ihr eigenes Vermögen gefährden.

Also bringen Sie die Auditoren in's Spiel, aber was ist, wenn die Auditoren ihre Arbeit nicht richtig machen? Sie sind immer noch derjenige, der die Hitze spührt, wenn ein Angreiffer ihre Website lahm legt oder finanzielle Informationen ihrer Kunden klaut.

Dies muss ihnen nicht passieren und wir ihnen nicht passieren, wenn sie wissen wie:

  • Wählen Sie einen guten Auditor.
  • Forumlieren sie ihre Anforderungen.
  • Stellen Sie sicher, dass die Prüfung ordnungsgemäss durchgeführt wird.

Evaluieren sie das ultimative Resultat - der Abschlussbericht des Prüfers. Ein Audit kann alles von einer umfassenden Analyse ihrer Geschäftspraktiken bis hin zu einer Einsicht von Sysadmin Monitoring-Protokolldateien sein. Der Umfang einer Prüfung hängt von den definierten Zielen ab. Der grundlegende Ansatz für die Durchführung einer Sicherheitsbewertung ist es Informationen das Zielobjektes zu sammeln: Sicherheitsbezogene Informationen und Risiken ihrer Plattform. Diese gilt es zu testen, um Expositionen zu bestätigen und schlussendliche alles in einem Bericht zur Risikoanalyse zusammenzufassen. Dies Klingt relativ einfach - es kann jedoch sehr komplex werden.


Wie sie ein erfolgreiches Audit führen

  • Festlegung einer Sicherheitsgrundlage durch jährliche Audits.
  • Formulieren sie ihre Ziele.
  • Wählen Sie einen Prüfer mit "echter" Erfahrung im Sicherheitsbereich.
  • Bereichsleiter früh miteinbeziehen.
  • Stellen sie sicher, dass sich Prüfer auf Erfahrung und nicht auf Checklisten verlassen.
  • Bestehen Sie darauf, dass der Bericht des Abschlussprüfers die Risiken Ihrer Organisation widerspiegelt.


Erstellen von Sicherheitsrichtlinien

Ihre Sicherheitsrichtlinien sind Ihre Grundlage. Ohne festgelegte Grundlage und Standards gibt es keine Richtlinie um das Niveau des Risikos zu bestimmen. Technologie ändert sich viel schneller als Geschäftspolitik und muss öfter überprüft werden. Software-Schwachstellen werden täglich entdeckt. Eine jährliche Sicherheitsbewertung durch einen objektiven Dritten ist erforderlich, um sicherzustellen, dass ihre Sicherheitsrichtlinien eingehalten werden.

Sicherheits-Audits sind nicht ein One-Shot-Deal. Warten Sie nicht, bis ein erfolgreicher Angriff Ihr Unternehmen zwingt einen Wirtschaftsprüfer einzustellen. Die jährlichen Prüfungen legen ihre Sicherheitsrichtlinien fest, mit der Sie die Fortschritte messen und den professionellen Rat des Abschlussprüfers bewerten können. Eine etablierte Sicherheitsposition wird auch dazu beitragen, die Wirksamkeit des Audit-Teams zu messen. Selbst wenn Sie jedes Jahr verschiedene Auditoren zu Rate ziehen sollte das Risiko, welches entdeckt wird, konsistent oder sogar sinkend sein. Es sei denn, es gab eine dramatische Überarbeitung Ihrer Infrastruktur, das plötzliche Auftreten von kritischen Sicherheitsrisiken nach Jahren attestierter Sorglosigkeit wirft einen tiefen Schatten des Zweifels gegenüber früheren Audits.

Wenn Sie nicht über Jahre interne und externe Sicherheitsprüfungen verfügen, welche als Grundlage dienen, sollten Sie zwei oder mehr Auditoren verwenden, die getrennt arbeiten, um die etwaige Ergebnisse zu bestätigen. Es ist teuer, aber nicht annähernd so teuer wie Schäden nach einem schlechten Ratschlag. Wenn es nicht machbar ist parallele Audit-Teams einzusetzen, ersuchen Sie zumindest um eine zweite Meinung zu vorgelegten Prüfungsergebnissen.

Objectives: Know what you want

Spell out what you're looking for before you start interviewing audit firms. If there's a security breach in a system that was outside the scope of the audit, it could mean you did a poor or incomplete job defining your objectives.

Let's take a very limited audit as an example of how detailed your objectives should be. Let's say you want an auditor to review a new firewall deployment on a Red Hat Linux platform. You would want to make sure the auditor plans to:

  • Review and document the security mechanisms configured on thefirewall and the management station.
  • Review the firewall configuration to evaluate possible exposures to unauthorized network connections.
  • Review the OS configuration to harden it against security exposures.
  • Review router configuration and logging procedures.
  • From a security perspective, certify the firewall and OS for production.
  • Document disaster recovery procedures for the firewall and OS and "good housekeeping" procedures.
  • Perform a penetration test once the firewall and OS are in production.


Einen Prüfer einstellen

Sie können in versuchung gerate, sich auf ein Audit durch interne Mitarbeiter zu verlassen. Wiederstehen sie. Ihre Systeme mit Update aktuell zu halten, so dass Betriebssysteme und Anwendungen sicher konfiguriert sind sowie die Überwachung ihrer Abwehrsysteme ist bereits mehr als ein Vollzeitjob. Und egal, wie genau Sie sind, Aussenstehende können auch vor Ort Probleme identifizieren welche sie übersehen haben.

Technische Audits identifizieren Risiken ihrer Technologieplattform, indem sie nicht nur Richtlinien und Verfahren, sondern auch Netzwerk- und Systemkonfigurationen überprüfen. Dies ist ein Job für Sicherheits-Profis. Beachten Sie nachfolgene Punkte in der Einstellung:

Sehen Sie sich die tatsächlichen Referenzen des Audit-Teams an. Lassen Sie sich nicht von einer Alphabetssuppe von Beglaubigungsbriefen beeinflussen. Zertifizierungen garantieren keine technische Kompetenz. Stellen Sie sicher, dass der Abschlussprüfer tatsächliche Berufserfahrung im Bereich der Sicherheit hat, die durch jahrelange Implementierung und unterstützende Technologie erworben wurde.

Résumés der Abschlussprüfer sollten Sicherheitsprojekte - nicht nur die Audits - angeben, an denen sie gearbeitet haben, einschließlich Referenzen. Praxiserfahrung, Umsetzung und Unterstützung von Sicherheitstechnik gibt einem Auditor Einblicke in subtile Fragen, die ernsthafte Sicherheitsrisiken aufdecken könnten. Alle veröffentlichten Arbeiten sollten zum Nachweis der Expertise des Abschlussprüfers aufgenommen werden.


Unvollständige Audits

Im Allgemeinen, wenn wir über Audits - vor allem von externen Auditoren - sprechen, reden wir über eine Sicherheitsbewertung. Eine umfassende Sicherheitsbewertung umfasst Belastungstests von internen und externen Systemen sowie eine Überprüfung der Sicherheitsrichtlinien und -verfahren. Es ist eine kooperative Übung um mehr über Sicherheitsrisiken ihre Systeme zu erfahren und zu lernen und wie diese Risiken zu minimieren sind.

Es gibt andere Arten von Audits, die einen viel schmaleren Fokus haben und weniger Wert sind. In den Worst-Case-Szenarien können sie mehr schaden als nützen.


Black Box Audits

Einige IT-Manager sind in "Black Box" Audits verliebt - ohne Kentniss des interne Designes lassen sie das Netzwerk von aussen angreiffen. Immerhin, wenn ein Hacker digitale Aufklärung betreiben kann um einen Angriff zu starten, warum soll das der der Auditor nicht tun?

Ein Black Box Audit kann ein sehr effektiver Weg sein, um dem oberen Management die Notwendigkeit eines erhöhten Budgets für die Sicherheit zu demonstrieren. Allerdings gibt es einige Nachteile bei der Nachahmung der Aktionen von böswilligen Hackern. Böswillige Hacker interessieren sich nicht um ausgemachte Regeln - sie kümmern sich nur darum, anzugreiffen. Sie haben viel Zeit um Informationen zu sammeln und haben ausschliesslich zum Ziel einzubrechen. Wer besitzt den ersten Router in das Netzwerk, der Kunde oder ein Dienstanbieter? Ein bösartiger Hacker würde es nicht interessieren. Sie könnten versuchen, einen Internet Provider zu hacken um die DNS-Einträge einer Website zu ändern, um in ein Netzwerk einzudringen - und vielleicht erhalten sie bald Besuch vom FBI. Ein Black-Box-Audit ist ein Blick aus einer eigenen Perspektive - er kann effektiv sein, wenn er in Verbindung mit einem internen Audit verwendet wird, ist aber per Se auf sich selbst fixiert.


Überraschungs Inspektionen

Audit-Abteilungen führen gerne einmal "Überraschungen Inspektionen" durch und treffen eine Organisation ohne Vorwarnung. Der Grundgedanke dieses Ansatzes ist es, herauszufinden, welche Antworten die Organisation auf gewisse Fragestellungen bereit hält. In Wirklichkeit ist es in der Regel ein Versuch, jemanden mit heuntergelassener Hose zu erwischen, anstatt eine konstruktive Anstrengung, die Sicherheit ihrer Organisation zu verbessern.

Und seien Sie nicht von Leuten beeindruckt, die sich "ethische Hacker" nennen. Viele so genannte ethische Hacker sind nur Skript-Kiddies mit einer Schnellbleiche als Erfahrungsschatz. Macht eure Hausaufgaben. Treten sie in Kontokt mit Menschen, die sie kennen und in welche sie Vertrauen haben. Finden Sie heraus, was diese über potenzielle Auditoren wissen. Finden sie Kunden welche Vertrauen in die Auditoren hatten, jedoch nicht auf der Referenzliste erscheinen.


Finden Sie das Richtige

Treffen Sie mit einer Reihe Unternehmen ihrer Branche. Evaluieren sie kleine Firmen, die auf Sicherheit spezialisiert sind zusammen mit den Big 4 Firmen, um zu sehen, welche am besten ihren Bedürfnissen entspricht. Ein Auditor muss wissen, ob es sich hierbei um eine umfassende Überprüfung aller Richtlinien, Verfahren, internen und externen Systeme, Netzwerke und Anwendungen oder eine eingeschränkte Überprüfung eines bestimmten Systems handelt.

Kleinere Unternehmen können sich dafür entscheiden, nicht auf ein Grossprojekt zu setzen und grössere Unternehmen wollen sich nicht mit einer Überprüfung eines Systems auseinandersetzen, weil sie zögern, ein System zu zertifizieren, ohne die gesamte Infrastruktur zu betrachten.

Bestehen Sie auf Details. Einige Unternehmen können zögern, ohne Vertrag sehr detaillierten Einblick in ihre Methoden zu gehen. Sie reichen ihnen einfach eine Verkaufs-Broschüre über den Tisch und sagen: "Unsere Referenzen sprechen für sich." Lassen Sie sich davon nicht beeindrucken; Es mag zwar schön sein zu wissen, dass sie kombiniert 200 Jahre Erfahrung im Bereich der Sicherheit vorweisen können, was aber alleine nicht viel darüber aussagt, wie sie planen mit dem Audit umzugehen.

Wenn ein Auditor sich ernsthaft für einen Auftrag interessiert, wird dieser ein statement of work (SOW) vorlegen. Dieses beinhaltet Details, wie sie planen ihre Ziele zu erreichen - eine Erläuterung der Methoden und die erwarteten Ergebnisse des Engagementes. Der Teufel liegt im Detail, eine gute SOW wird viel darüber aussagen was Sie erwarten wird. Das SOW ist die Basis für einen Projektplan.

Das SOW sollte die Methoden des Auditors zur Überprüfung ihres Netzwerkes enthalten. Wenn erwähnt wird, dass diese Informationen proprietär ist, könnte es sich um einen Versuch handelnn, schlechte Audit-Methoden zu verbergen; zum Beispiel einfach ein Scan ohne Analyse. Während Auditoren die Quelle von verwendeten proprietären Tools schützen können, sollten sie in der Lage sein, Auswirkungen zu besprechen welche ein Werkzeug haben wird und wie sie es verwenden möchten. Die meisten guten Auditoren werden es akzeptieren vor ihren Mitarbeitern frei über ihre Methoden zu diskutieren. Die grundlegende Methodik für die Überprüfung von Systemen umfasstdie Grundlagen: Erforschung, Prüfung und Analyse.

Vereinbaren Sie den Zahlungsplan. Die Grundlage für das Angebot ist, wie viel es kostet und was Sie für Ihr Geld erhalten. Einige Auditoren nennen einen Pauschalbetrag als Gegenleistung für einen Bericht, in dem sie ihre Ergebnisse und Empfehlungen darlegen. Andere können die Anzahl der Tage abschätzen, die ein Audit dauert, wobei beide Seiten sich auf eine flexible Kostengrenze einigen sollten.

Für ein komplexes Audit eines ganzen Unternehmens können viele unvorhergesehene Probleme auftreten, die umfassende Einsatzleistungen von den Auditoren erfordert, was eine Flatrate für den Auftraggeber attraktiver macht. Wenn die Organisation eine gute Dokumentation hat oder wenn der Umfang begrenzt ist, kann ein flexibler Preis ökonomischer sein.


Seien Sie bereit, auditiert zu werden

Die Prüfer müssen bestimmte Annahmen treffen, wenn sie sich für ein Projekt bewerben, wie z. B. Zugang zu bestimmten Daten oder Personal sein wird. Sobald der Auditor an Bord ist, stützen sie sich nicht auf annahmen - alles sollte schriftlich festgehalten werden, wie das Aushändigen von Richtlinien oder Systemkonfigurationsdaten. Diese Vorgehensweise sollte von beiden Seiten angenommen und verstanden werden sowie jegliche Informationen der zu prüfenden Systeme beinhalten.

Niemand mag Überraschungen. Ziehen sie die Geschäfts- und IT-Manager der geprüften Systeme frühzeitig mit ein. Dies wird den Prozess vereinfachen und vielleicht einige potenzielle "Gotchas!" verhindern, wie etwa einen Streit über den Zugang des Auditors.

Betrachten Sie den Fall eines vertrauenswürdigen Auditors, welche beantragt Kopien von Kennwörtern und Firewall-Konfigurationsdateien per E-Mail zu senden. Eine zielgerichteten Organisation lehnt dies stillschweigend ab. In der Tat, sie dachten, die Anfrage wäre ein Social-Engineering-Test. Ihre Sicherheitspolitik verbietet die externe Freigabe aller Dateien, die einen privilegierten Zugriff zum Lesen erfordern. Wenn die geprüften Organisationen von Anfang an in den Prozess einbezogen worden wären, könnten solche Probleme vermieden werden.

So, legen sie die Grundsätze im Vorfeld fest:

  • Ihre Manager sollten Beschränkungen wie Tageszeit und Testmethoden angeben, um die Auswirkungen auf die Produktionssysteme zu begrenzen. Die meisten Organisationen räumen ein, dass Denial-of-Service- oder Social-Engineering-Angriffe schwer zu begegnen sind, so dass sie diese aus dem Prüfungsumfang beschränken können.
  • Vergewissern Sie sich, dass die Auditoren ihre Richtlinie zum Umgang mit proprietären Informationen respektieren. Wenn die Organisation die Mitarbeiter daran hindert, sensible Informationen nicht durch verschlüsselte öffentliche E-Mails zu kommunizieren, müssen die Auditoren die Richtlinien respektieren und befolgen. Der Prüfbericht selbst enthält firmeneigene Daten und sollte entsprechend behandelt werden - direkt übergeben und / oder verschlüsselt übergeben werden sofern dieser per E-Mail gesendet wird.
  • Give the auditors an indemnification statement authorizing them to probe the network. This "get out of jail free card" can be faxed to your ISP, which may become alarmed at a large volume of port scans on their address space.
  • Händigen sie den Aditoren eine Vollmacht aus, welche sie berechtigt ihr Netzwerk zu untersuchen. Diese "aus dem Gefängnis-Karte" kann an ihren Internet Anbieter gefaxt werden, welcher eventuell über ein erhöhtes Volumen an Portscans in ihrem Adressbereich alarmiert werden könnte.
  • Im Rahmen dieser Vorbereitungsarbeiten können Auditoren vernünftigerweise auch erwarten, dass Sie grundlegenden Daten und Unterlagen zur Navigation in ihrem Netzwerk sowie Daten ihrer Systeme zur Verfügung stellen. Dies kann je nach Umfang und Art des Audits variieren, wird jedoch typischerweise nachfolgendes Umfassen:
    • Kopien aller relevanter Richtlinien und Prozeduren. Richtlinien können Anwenderrichtlinien sein (Intervalle von Kennwörtern, Virus-Scanning, Verhaltenskodex); Privatsphäre (für interne Benutzer und Kundendaten); Privilegierten Zugriff (Sysadmins) und Störungshandling. Einige der zu prüfenden Verfahren sind Datensicherungen, Disaster Recovery, Incident Response und Systemadministration.
    • Eine Liste der Betriebssystemen.
    • Netzwerktopologie, spezifizierte Ziel-IP-Bereiche.
    • Externe Sicherheitsgeräte (Firewall-Software, IDS).
    • Liste der Anwendungssoftware.


Einsteigen

Der gesamte Prozess der Analyse und anschliessendem Testen der Sicherheit ihrer Systeme sollte Teil eines Gesamtplans sein. Stellen Sie sicher, dass der Auditor diesen Plan vorlegt und im Anschluss auch befolt. Zum Beispiel, in Bezug auf das Check Point / Red Hat Beispiel oben, ein allgemeiner Entwurf über die Analyse und anschliessendes Testen von Schwachstellen würde wie folgt aussehen:

  • Für das Betriebssystem: Verzeichnisstruktur, installierte Anwendungspakete, für das Linux verfügbare Protokollierungsfunktionen und -dienste.
  • Für die Firewall und die Verwaltungskonsole: Systemkonfiguration und Authentifizierungsmechanismen zusätzlich zu Protokollierungsfunktionen und verfügbaren Diensten.

Der Auditor sollte zunächst alle relevanten Richtlinien zur Ermittlung der annehmbaren Risiken überprüfen. Sie sollten auf nicht autorisierte Implementierungen wie unverwaltete drahtlose Netzwerke oder unsanktionierte Nutzung von RAS-Technologien zurückgreifen. Der Auditor sollte als nächstes bestätigen, dass das Equipement dem bekannten Inventarbestand entspricht. Zum Beispiel kann der Kunde gesagt haben alle Server sind auf Linux oder Solaris-Plattform basieren, aber eine Überprüfung zeigt einige Microsoft-Server im Netzwerk. Wenn das Audit-Team für Unix-Experten ausgewählt wurde, sind sie möglicherweise nicht genügen mit Microsoft-Sicherheitsproblemen vertraut. Wenn dies eintreten sollte, seihen sie bemüht, dass der Auditor sein Team mit Microsoft Know-how erweitert. Die Expertise ist ein kritischer Punkt, wenn Auditoren über das definierte Ziel hinausgehen sollten. Auditoren verwenden häufig Sicherheits-Checklisten um bekannte Sicherheitsfragen und Richtlinien für bestimmte Plattformen zu überprüfen. Diese sind gut, sind jedoch nur Orientierungshilfen. Sie sind kein Ersatz für Plattform-Know-how und die Intuition welche mit der Erfahrung kommt.

Der Auditor wird einen seriösen Schwachstellen-Scanner verwenden, um die OS- und Anwendungs-Patch-Levels gegenüber einer Datenbank mit bekannten Sichehitsprobleme zu überprüfen. Die erfordert, dass die Datenbank des Scanners aktuell ist und dass sie auf Schwachstellen in jedem Zielsystem überprüft. Während die meisten Anfälligkeitsscanner eine anständige Arbeit leisten, können die Ergebnisse mit unterschiedlichen Produkten und in unterschiedlichen Umgebungen variieren. Der Auditor sollte mehrere Werkzeuge und Methoden verwenden, um seine Ergebnisse zu bestätigen - vor allem seine eigenen Erfahrungen. Zum Beispiel weiss ein scharfer Auditor durch eigenen Erfahrung, dass viele Sysadmins "temporär" System-Privilegien freigeben, um Dateien zu übertragen oder auf ein System zuzugreifen. Manchmal werden diese Freigaben nicht geschlossen. Ein Scanner könnte dies übersehen, ein cleverer Auditor jedoch würde danach suchen.

Discovering security vulnerabilities on a live production system is one thing; testing them is another. Some organizations require proof of security exposures and want auditors to exploit the vulnerabilities. This can be dangerous. A successful system compromise may be a graphic way to convince management of the dangers of the exposure, but are you prepared to risk compromising or even bringing down a live system?

Das SOW sollte Parameter der Testtechniken spezifizieren. Und der Auditor sollte die Regeln für das Engagement sowohl mit Ihren IT-Mitarbeitern als auch mit den Geschäftsführern für die Zielsysteme koordinieren. Wenn eine tatsächliche Prüfung nicht möglich ist, sollte der Auditor in der Lage sein, alle Schritte zu dokumentieren, die ein Angreifer ergreifen könnte, um die Verwundbarkeit auszunutzen. Wenn z. B. die Systemkennwortdatei von Personen mit bestimmten Gruppenberechtigungen überschrieben werden kann, kann der Prüfer aufzeigen, wie er Zugriff auf diese Rechte erhält, aber die Datei nicht tatsächlich überschreiben. Eine andere Methode, um die Exposition zu beweisen wäre, eine harmlose Textdatei in einem geschützten Bereich des Systems zu hinterlassen. Es kann abgeleitet werden, dass der Auditor kritische Dateien überschrieben haben könnte.


Der Prüfbericht

Das Audit ist fertig und sie betrachten den Abschlussbericht. Ist er das Geld Wert? Wenn das gefundene durch ein paar Standardchecklisten , potenziell Gültig für jedes Unternehmen, abgehandelt wird, dann ist die Antwort 'Nein'. Wenn der Inhalt mittels Berichten von Sicherheitsscannern gefüllt ist, jedoch keine unabhängige Analyse vorliegend ist, dann ist die Antwort nochmals 'Nein'.

Einige kommerzielle Sicherheitsscanner verfügen über excellente Berichtmechanismen, der Auditor sollte durch die Interpretation dieser Resultate basieren auf der Umgebung und basierend auf der Interpretation ihrer Sicherheitsrichtlinien seinen Zusatznutzen rechtfertigen.

Diese Analyse sollte das Risiko in ihrem Unternehmen reflektieren. Tools schächeln in der Fähigkeit gefundene Informationen zu interpretieren und liefen häufig falsche Ergebnisse. Sie sollten Leute engagieren und nicht Tools um ihre System zu auditieren. So, wie wollen sie wissen ob die Risikoanlayse akurate Informationen beinhaltet? Lassen sie ihre internen Informatiker die Analyse und Testmethoden begutachten und lassen sie sich ein schriftliches Feedback geben.

Der Auditor sollte seine Analyse orientierend an den definierten Kriterien vorlegen, welche auf ihre spezifsche Umgebung angewendet werden. The auditor's analysis should follow established criteria, applied to your specific environment. Dies ist der erhoffte Mehrwert und wird helfen, die Mittel mit Investitionsbedarf zu ermitteln. Die Analyse sollte spezifisch hervorheben:

  • Die Quelle der Bedrohung - von internen Benutzern oder dem öffentlichen Internet.
  • Die Wahrscheinlichkeit der Ausbeute. Sind andere Standorte durch diese Exposition potenziell beeinträchtigt?
  • Die Auswirkungen der Exposition. Wie viel Geld - oder Verlust von Reputation, etc. - wird es die Organisation kosten, wenn diese Exposition ausgenutzt wird?
  • Empfohlene Massnahmen zur Behebung von Sicherheitsproblemen.

Ist es eine Änderung der Richtlinien notwendig, die so etwas wie "alle Software muss entsprechend lizenziert werden", Anwendung von Patches und Updates oder ein Redesign der Systemarchitektur? Probleme mit geringem Risiko, wie das Anzeigen von Warnbannern auf Servern, lässt sich praktisch ohne Kosten vermeiden. Eine Anwendung mit einem Verlauf wiederholter Sicherheitsprobleme kann ein höheres Risiko darstellen, aber es kann teurer sein, eine sicherere Anwendung zu integrieren und diese zu ersetzen. Die sicherste Anwendung kann nicht die beste Business-Anwendung sein. Sicherheit ist ein Gleichgewicht zwischen Kosten und Risiko. Können ihre Systeme zu einem Repository für Schmuggelware (zB Kinderpornographie, Raubkopien) werden? Beispielsweise kann ein Webserver eine Exposition aufweisen, die es einem Aussenseiter ermöglichen würde, Dateien an ihn zu senden, jedoch nicht den Inhalt überschreiben? Dies kann nicht wie ein grosses Problem erscheinen, aber Menschen, die mit Schmuggelware handeln, suchen unverfolgbare Speicherorte für ihre Daten. Das Risiko einer Dienstunterbrechung, wie zB ein DoS-Angriff ist ebenfalls erwünschenwert.

Der Prüfbericht des Auditors sollte eine kurze Zusammenfassung enthalten, in der die Sicherheitsposition der Organisation angegeben ist. Eine Executive Summary sollte für jedemann verständlich sein und kein Studium in Informatik Wissenschaften erfordern.

Eine Aussage wie "fingerd wurde auf 10 Systemen gefunden" vermittelt nichts Sinnvolles für die meisten Führungskräfte. Informationen wie diese sollten in den Einzelheiten des Berichts zur Überprüfung durch das technische Personal enthalten sein und das Risiko angeben.

Es kann auch vorkommen, dass Auditoren keine signifikanten Schwachstellen finden können. Wie Tabloid-Reporter auf einem wärend der Sommerflaute, können Auditoren die Bedeutung von trivialen Sicherheitsproblemen aufblasen.

Was sagen, wenn es nichts zu sagen gibt? Anstatt triviale Bedenken aufzublasen, sollten die Auditoren ihre Prüfmethoden detailliert offen legen und eine gutes Sicherheitsniveau anerkennen. Um Wert zu schaffen, könnten sie auf Bereiche für zukünftige Bedenken hindeuten oder Verbesserungsvorschläge für Sicherheitsrisiken vorschlagen.

Es sollte klar sein, dass die Sicherheit des geprüften Systems gut ist und nicht von den Empfehlungen abhängt. Denken Sie daran, der Zweck der Prüfung ist es, eine genaue Momentaufnahme der Sicherheit ihres Unternehmens resp. Organisation zu erhalten und eine Roadmap für verbesserungen. Eröedigen sie Audits richtig und regelmässig und ihre Systeme werden mit jedem Jahr sicherer sein.