Von: Christine Vanderpool
September 19, 2019
Kürzlich wurde ich gefragt, warum es im laufenden Monat einen sprunghaften Anstieg der Vorfallswarnungen gab.
Als ich meine Antwort gab, bemerkte ich, dass ich mich auf die Gründe für den Anstieg der Zahlen konzentrierte, und mir wurde klar, dass ich, wenn ich Risiken erkläre, dazu neige, mich auf das Motiv zu konzentrieren, warum ein Risiko eintreten könnte.
Ich glaube, das liegt an meiner Denkweise. Selbst wenn ich mit jemandem spreche oder ihn auffordere, etwas zu tun, konzentriere ich mich darauf, „was für ihn dabei herausspringt“, weil ich glaube, dass die meisten Menschen letztlich motiviert werden müssen, bevor sie handeln. Hinter allen Dingen muss ein Grund stehen, und wenn wir den Grund verstehen, können wir uns mit den Mitteln und Gelegenheiten befassen, die dieses Motiv zu einer handlungsfähigen Möglichkeit werden lassen.
Wenn ein Verbrechen begangen wird und vor Gericht beurteilt wird, wird der Staatsanwalt gebeten, die Mittel, das Motiv und die Gelegenheit des Verdächtigen, die Straftat zu begehen, darzustellen. Die Fähigkeit einer Person, ein Verbrechen zu begehen, ist das Mittel. Der Grund, warum jemand eine Straftat begeht, ist das Motiv. Die Chance oder die Verfügbarkeit von Ressourcen für die Ausführung der Straftat ist die Gelegenheit.
So denken wir als CISOs über Risiken und deren Bewältigung. Das bedeutet nicht, dass eine Denkweise besser ist, denn um wirklich effektiv zu sein, muss man alle drei Faktoren berücksichtigen, aber alle werden sich auf einen der beiden anderen konzentrieren. Wenn Sie ein CISO sind, stellt sich die Frage: Sind Sie ein Mittel-, Motiv- oder Gelegenheits-CISO?
Der „Mittel“-CISO
Wenn Sie ein CISO sind, der sich auf die „Mittel“ eines Risikos konzentriert, sind Sie höchstwahrscheinlich ein sehr technischer CISO mit einem starken technischen Fundament und Hintergrund. Sie werden sofort an das „Wie“ eines Angriffs denken. Sie werden sich auf die technischen Mittel konzentrieren, mit denen ein Angriff stattfinden würde oder könnte. Ihr Ansatz wird sich auf die Werkzeuge und Prozesse konzentrieren, die zum Schutz gegen die Mittel eingesetzt werden können. Wenn Sie dies mit den fünf Bereichen des NIST in Verbindung bringen, liegt Ihr Hauptaugenmerk auf den Bereichen „Schutz und Erkennung“. Dies ist ein sehr wichtiger Bereich, auf den man sich konzentrieren sollte, denn wenn jemand ein Motiv und eine Gelegenheit hat, aber keine Mittel, um sein Verbrechen auszuführen, muss man sich fragen, ob der Angriff überhaupt stattfinden würde?
Das „Motiv“ CISO
Wo ein Wille ist, gibt es auch immer einen Weg. Das ist die Denkweise des „Motiv“-CISO. Diese Art des Denkens konzentriert sich auf die Frage, warum ein Angriff stattfinden könnte. Ein CISO, der es vorzieht, sich auf das „Warum“ zu konzentrieren, wird sich auf die Psychologie eines Angriffs konzentrieren. Diese Person konzentriert sich auf den Identifikationsbereich des NIST-Modells. Er betrachtet jedes mögliche „Warum“ und bestimmt dann die Mittel und Möglichkeiten, um einen solchen Angriff zu schützen, zu erkennen oder darauf zu reagieren. Diese Person ist in der Regel der Meinung, dass es keine Möglichkeit gibt, alle Methoden oder Möglichkeiten zu kennen. Anstatt also zu versuchen, alles zu verhindern, sollte man das verhindern, was am wahrscheinlichsten ist, basierend auf dem wahrscheinlichsten Grund für einen Angriff. Wenn Sie das Warum verstehen, werden Sie erkennen, wie jemand einen Angriff inszenieren könnte, und seine Möglichkeiten blockieren.
Der „Opportunity“ CISO
Wenn sich eine Tür schließt, öffnet jemand anderes ein Fenster. Das ist die Denkweise des „Opportunity“-CISOs. Diese Art von Sicherheitsverantwortlichen konzentriert sich auf die Idee, dass es mehr als eine Möglichkeit gibt, eine Katze zu häuten. Sie konzentrieren sich auf die Risiken, die nicht nur in ihrem eigenen Verantwortungsbereich und unter ihrer Kontrolle liegen, sondern auch auf die, die darüber hinausgehen. Der Schwerpunkt wird auf der Verfügbarkeit aller Ressourcen liegen, die dem Angreifer zur Verfügung stehen. Dieser CISO wird sich auf die Reaktion und Erholung anderer Organisationen konzentrieren, um sicherzustellen, dass er alle Daten über die verschiedenen verfügbaren Ressourcen oder Möglichkeiten für einen Angriff sammelt. Er schöpft aus den Erfahrungen anderer und wendet diese an, um die verfügbaren Ressourcen einzugrenzen, die für einen Angriff genutzt werden können. Nimm jemandem die Gelegenheit, Böses zu tun, und er wird keinen Schaden anrichten.
Die perfekte Verteidigung
In Wirklichkeit gibt es kein perfektes Verbrechen und umgekehrt auch keine perfekte Verteidigung. Alle drei Faktoren müssen bei der Entwicklung einer Sicherheitsstrategie berücksichtigt werden, und ein CISO muss sich auf alle drei Faktoren konzentrieren. Es ist wichtig, dass Sie sich als Sicherheitsverantwortlicher selbst darüber klar werden, welches Ihr bevorzugter oder Standard-Schwerpunkt bei einem Risiko ist, denn dann können Sie feststellen, wo Sie Personal benötigen, um die anderen beiden Faktoren auszufüllen oder sich darauf zu konzentrieren. Es ist wie ein Dreieck. Es gibt keinen richtigen oder falschen Blickwinkel. Ein erfahrener CISO wird in der Lage sein, alle drei Facetten bei der Entwicklung seiner Strategie zu erkennen und zu identifizieren. Er wird in der Lage sein, darzulegen, wie das Programm Mittel, Motive und Möglichkeiten in realistischer und umsetzbarer Weise anspricht.
Ein Schwerpunkt ist nicht besser als der andere, sie sind alle gleich wichtig. Es ist lediglich eine Art zu denken und die Art und Weise zu identifizieren, mit der Sie ein Risiko zuerst betrachten möchten.