Av: Christine Vanderpool
september 19, 2019
Jag fick nyligen frågan varför det har varit en ökning av antalet incidentlarm under den aktuella månaden.
När jag gav mitt svar märkte jag att jag fokuserade på orsakerna bakom ”varför” siffrorna hade ökat, och det blev uppenbart för mig att när jag förklarar risker tenderar jag att fokusera på motivet till varför en risk kan inträffa.
Jag tror att det beror på mitt sätt att tänka. Även när jag talar eller ber någon att göra något fokuserar jag på ”vad som ligger i det för dem”, eftersom jag tror att de flesta människor i slutändan behöver motiveras innan de agerar. Det måste finnas ett skäl bakom allting, och om vi förstår skälet kan vi ta itu med de medel och möjligheter som gör att motivet blir en handlingsmöjlighet.
När ett brott begås och bedöms i en rättegång ombeds åklagaren att tillhandahålla medel, motiv och möjligheter för den som misstänks för att ha begått brottet. En persons förmåga att begå ett brott är medlet. Anledningen till att någon begår ett brott är motivet. Chansen eller tillgången till resurser för att brottet ska kunna utföras är möjligheten.
Detta är hur vi som CISO:er tänker på risker och hur vi ska hantera dem. Det betyder inte att ett sätt att tänka är bättre, för för att vara helt effektiv måste man ta hänsyn till alla tre faktorerna, men alla kommer att välja en av de andra två. Om du är en CISO är frågan: är du en CISO för medel, motiv eller möjligheter?
Den ”medel” CISO
Om du är en CISO som fokuserar på ”medel” av en risk, är du troligen en mycket teknisk CISO med en stark teknisk grund och bakgrund. Du kommer att ha en tendens att omedelbart tänka på ”hur” en attack skulle utföras. Du kommer att fokusera på de tekniska metoder med vilka en attack skulle, eller skulle kunna, ske. Ditt tillvägagångssätt kommer att fokusera på de verktyg och processer som kan användas för att skydda sig mot medlen. Om du knyter detta till NIST:s fem områden, kommer ditt huvudsakliga hjulhus, eller var du gillar att fokusera, att vara på områdena ”skydda och upptäcka”. Detta är ett mycket viktigt område att fokusera på, för om någon har motiv och möjlighet, men inga medel för att utföra sitt brott, måste man fråga sig om attacken överhuvudtaget skulle äga rum.
Den ”motiverade” CISO:n
Om det finns en vilja kommer det alltid att finnas ett sätt. Det är så den ”motiverade” CISO:n tänker. Denna typ av tankesätt kommer att fokusera på varför en attack kan ske. En CISO som föredrar att fokusera på ”varför” kommer att koncentrera sig på psykologin bakom en attack. Denna person fokuserar på identifieringsområdet i NIST-modellen. De tittar på varje möjligt ”varför” och fastställer sedan medel och möjligheter för att skydda, upptäcka eller reagera på en sådan attack. Denna person anser vanligtvis att det inte finns något möjligt sätt att känna till alla metoder och möjligheter, så i stället för att försöka stoppa allt, stoppar man det som är mest troligt baserat på vad som skulle vara den mest sannolika orsaken till att en attack genomförs. Om du förstår varför, kommer du att se hur någon skulle kunna iscensätta en attack och blockera deras förmåga att göra det.
Den ”tillfälliga” CISO
När en dörr stängs, öppnar någon annan ett fönster. Detta är tankesättet hos CISO:n med ”möjligheter”. Den här typen av säkerhetsledare kommer att fokusera på idén att det finns mer än ett sätt att flå en katt på. De kommer att fokusera på de risker som inte bara ligger inom deras eget ansvarsområde och kontroll, utan även på de risker som ligger utanför. Fokus kommer att ligga på tillgången till alla resurser som står till angriparens förfogande. Denna CISO kommer att fokusera på andra organisationers svar och återhämtning för att se till att de samlar in alla uppgifter om de olika tillgängliga resurserna eller möjligheterna till en attack. De drar nytta av andras erfarenheter och tillämpar dem för att begränsa de tillgängliga resurserna som kan användas vid en attack. Ta bort någons möjlighet att göra illa och de kommer inte att göra någon skada.
Det perfekta försvaret
I verkligheten finns det inget perfekt brott och omvänt finns det inget perfekt försvar. Alla tre faktorerna måste beaktas när man utvecklar en säkerhetsstrategi och en CISO måste fokusera på alla tre. Det är viktigt att du som säkerhetsledare själv identifierar vilket som är ditt föredragna, eller standardfokus för en risk, eftersom du då kan identifiera var du behöver personal för att fylla ut eller fokusera på de andra två. Det är som en triangel. Det finns ingen rätt eller fel vinkel att se på den. En erfaren CISO kommer att kunna se och identifiera alla tre facetter i utformningen av sin strategi. De kommer att kunna formulera hur programmet behandlar medel, motiv och möjligheter i realistiska och genomförbara termer och på realistiska sätt.
Ett fokus är inte bättre än det andra, de är alla lika viktiga. Det är bara ett sätt att tänka och identifiera det sätt man föredrar att först se på en risk.