Verleihung der it security AWARDS 2023
Die it security Awards wurden am 10.10.2023 auf der IT-Security-Messe it-sa in Nürnberg verliehen.
- Noetic überzeugte in der Kategorie Management Security. Die Lösung erstellt kontinuierlich eine Übersicht aller Assets, Schwachstellen, Nutzer sowie Systeme und stellt ihre Beziehung zueinander dar.
- Die prämierte Lösung von RevealSecurity in der Kategorie Web/Internet Security erkennt Angreifer und Innentäter in Geschäftsanwendungen mithilfe einer sogenannten User-Journey-Analyse.
- SolarWinds nahm den Preis in der Kategorie Cloud Security entgegen. Sie bieten mit ihrem Next-Generation Build Systems eine Sicherheitsinfrastruktur mit einem dreistufigen transformativen Modell für die Softwareentwicklung.
- In der Kategorie Identity & Access Management erhielt Nexis den it security Award. Nexis 4 wurde um die Funktionalität „elektronisches" Berechtigungskonzept erweitert.
Management Security
Noetic: Ständige Überwachung und kontinuierliches Management von Assets
Das Problem: Im Gegensatz zu existierenden Asset-Management-Systemen basiert die Lösung von Noetic auf einer für diesen Zweck spezielle entwickelten Datenbank, die Beziehung zwischen den einzelnen Informationen abbilden kann und auf Basis dieser Beziehungen Analysen und Abfragen ermöglicht. Auch eine grafische Darstellung, in der man navigieren kann, ist möglich.
Die Lösung: Die Software von Noetic kommuniziert über zahlreiche Konnektoren mit vorhandenen IT-Security- und IT-Management-Lösungen, um Informationen über Assets zu sammeln und diese in einer eigenen Graph-Datenbank in Beziehung zu setzen. Dadurch kann man die Informationen, die in vielen Systemen verteilt und überall unvollständig sind, zusammenfassen und so die Qualität vieler IT-Prozesse verbessern.
Für das Incident Management beispielsweise benötigt man schnell und effizient Informationen über die IT, aktuelle Schwachstellen, Systeminformationen aus einer CMDB, Zuständigkeiten von Geschäftsbereichen für IT-Systeme, Data-Owner und vieles mehr. Aber auch schon im Verwundbarkeitsmanagement selbst können Informationen aus verschiedenen Quellen zusammenkommen um die Kritikalität einer Schwachstelle angemessen im Unternehmenskontext zu bewerten.
Fazit: Noetic Security unterstützt Unternehmen dabei, Sicherheitsrisiken für ihre Umgebung besser zu verstehen. Die Lösung erstellt kontinuierlich eine Übersicht aller Assets, Schwachstellen, Nutzer sowie Systeme und stellt ihre Beziehung zueinander dar. Darauf aufbauend können IT-Sicherheitsverantwortliche Risiken und entsprechenden Handlungsbedarf besser erkennen und Entscheidungen sicher treffen.
Web/Internet Security
RevealSecurity: Erkennung von Angriffen auf Unternehmensanwendungen
Das Problem: Bisherige Produkte zur Erkennung von Angriffen oder Kompromittierungen konzentrieren sich meist auf die Arbeitsplätze von Mitarbeitern oder den Datenverkehr im Netzwerk. Ein besonders blinder Fleck sind dabei die Business-Applikationen eines Unternehmens. Wenn die Manipulationen nicht auf Ebene des Betriebssystems, sondern in der Applikation erfolgen, musste man bisher versuchen, Use Cases zur Erkennung für jede Applikation einzeln mit Regeln in einem SIEM zu erstellen.
Die Lösung: Die Lösung von RevealSecurity bietet eine Erkennung auf Basis des Wegs, den die Anwender innerhalb der Applikationen nehmen. Mit maschinellem Lernen werden die normalen Abfolgen von Aktivitäten beziehungsweise Transaktionen innerhalb jeder einzelnen Applikation gelernt. Abweichungen davon können dann Alarme auslösen. So eröffnet die Lösung von Reveal neue Optionen, um mit vertretbarem Aufwand die bisher blinden Flecke in die Erkennung von Angriffen aufzunehmen. Für weit verbreitete SaaS-Applikationen verfügt der Hersteller bereits über Konnektoren, eigene Applikationen können einfach integriert werden, indem Logs bereitgestellt werden.
Fazit: Die Lösung von RevealSecurity erlaubt es, Angreifer und Innentäter in Geschäftsanwendungen mithilfe einer sogenannten User-Journey-Analyse zu erkennen. Dabei werden Aktivitätssequenzen während der Verwendung einer Anwendung analysiert und daraus eine Zeitleiste erstellt. Mit Kontext angereichert ermöglichen diese Sequenzen, Anomalien zu erkennen. Da die Lösung selbst auch als SaaS angeboten wird, ist eine Integration mit minimalem Aufwand verbunden. Die passende Abkürzung wäre ADR für „Application Detection and Response“, wobei dieser Begriff bisher nicht existiert, da es keine anderen Lösungen mit diesem Fokus gibt.
Cloud Security
SolarWinds: Next Generation Build System
Das Problem: Die Cybersicherheitslandschaft ist ständig in Bewegung. Jeden Tag tauchen neue Bedrohungen auf, die den Bedarf an einem sichereren Softwareentwicklungsprozess verdeutlichen.
Aus diesem Grund hat SolarWinds vor kurzem sein Next-Generation Build System vorgestellt, ein transformatives Modell für die Softwareentwicklung. Das Modell ist eine Schlüsselkomponente der Secure by Design-Initiative des Unternehmens, die sich auf Menschen, Infrastruktur und Softwareentwicklung konzentriert, um die Sicherheitsinfrastruktur des Unternehmens zu verbessern.
Das neue Design des Softwareentwicklungsprozesses löst eines der dringendsten Probleme der heutigen Zeit, da die Bedrohung durch Cyberangriffe auf private Unternehmen und staatliche Entitäten immer weiter zunimmt. Der SolarWinds Next-Generation Build System-Softwareentwicklungsprozess bietet eine effektive und neuartige Verteidigung gegen fortschrittliche Cyber-Bedrohungen in der Lieferkette.
Jetzt werden sich manche fragen: Gibt es einen Zusammenhang zwischen dem NIST Secure Software Development Framework (SSDF) und der SolarWinds Secure Software Development Framework (SSDF) und greifen die beiden Ansätze ineinander? Gibt es eine Verbindung oder einen völlig unterschiedlichen Ansatz der beiden Methodiken.
Der SolarWinds Prozess folgt den US-Bundesrichtlinien für sichere Softwareentwicklung, die im National Institute of Standards & Technology Secure Software Development Framework (SSDF) beschrieben sind. Darüber werden die Richtlinien befolgt, die im Enduring Security Framework (ESF) und in der Executive Order on Improving the Nation’s Cybersecurity (EO 14028) beschrieben sind. Viele Konzepte überschneiden sich bei den definierten Methoden, aber im Allgemeinen decken sie die gleichen Best-Practice-Richtlinien für die Entwicklung von Sicherheitssoftware ab.
Next-Generation Software Build ist ein Zusatz zur Standard-Agile/DevOps-Methodik, die die meisten Unternehmen verwenden. Die Cybersicherheitslandschaft unterliegt einem evolutionären Muster, bei dem neue Cyber-Bedrohungen auftauchen und im Gegenzug neue Antworten entwickelt werden, um diesen Bedrohungen zu begegnen. Der Next-Generation Software Build ist eine zusätzliche Reihe von Prozessen, Methoden und Technologien, die Sicherheitsbedrohungen der neuesten Generation, wie etwa Angriffe auf die Lieferkette, abwehren. Unser Ansatz für „Software Builds der nächsten Generation" basiert auf den Agile und DevOps Best Practices und wendet zusätzliche Sicherheitskontrollen an. Es handelt sich also eher um eine Ergänzung als um ein Add-on.
Die Lösung: Das SolarWinds Next-Generation Build System umfasst Softwareentwicklungspraktiken und -technologien, die darauf ausgelegt sind, die Integrität der Build-Umgebung durch einen „parallelen Build“-Prozess zu stärken. So wird sichergestellt, dass SolarWinds-Software in drei sicheren Umgebungen mit separaten Benutzer-Anmeldeinformationen entwickelt wird: eine Standardumgebung, eine Validierungsumgebung und eine Sicherheitsumgebung.
In der Standardumgebung wird jeder Build-Schritt aufgezeichnet, kryptografisch signiert und in einem unveränderlichen Protokoll gespeichert, so dass Auditoren den Prozess detailliert analysieren können, um etwaige Fehler oder Anomalien zu verstehen. Als Nächstes werden diese Build-Aufträge in die Validierungsumgebung verlagert, die nur einem begrenzten Kreis von DevOps-Mitarbeitern zugänglich ist. Schließlich fungiert die Sicherheitsumgebung als dritte Schicht, in der eine Vielzahl von Sicherheitsprüfungen durchgeführt werden, um das Produkt vor der Freigabe zu validieren. Diese Schritte schaffen einen vertrauenswürdigen Build-Pfad zwischen den Gedanken der Entwickler und den im Einsatz befindlichen Binärdateien.
Keine einzelne Person hat Zugang zu allen Pipelines, und die Validierungs- und Produktions-Builds werden vor der endgültigen Auslieferung verglichen. Wenn sie nicht übereinstimmen, wird der Build nicht ausgeliefert. Alle Entwicklungsumgebungen sind außerdem ephemer, das heißt, sie sind kurzlebig und werden jedes Mal neu erstellt, wenn ein Build abgeschlossen ist.
Um den Weg für eine sicherere Softwareentwicklung in der gesamten Branche zu ebnen, hat SolarWinds Anfang des Jahres angekündigt, Komponenten des Next-Generation Build System als Open-Source-Technologie zu veröffentlichen.
Fazit: Das Innovationspotenzial liegt also im Bereich der Sicherheitsinfrastruktur mit einem dreistufigen transformativen Modell für die Softwareentwicklung bei der große Teile der Community als Open Source zur Verfügung gestellt werden.
Identity & Access Management
Nexis: Nexis 4 mit elektronischem Berechtigungskonzept
Das Problem: Banken und Versicherungen müssen aufgrund regulatorischer Vorgaben für alle Applikationen Berechtigungskonzepte erstellen und pflegen. Meistens werden dafür Word- und Excel-Dateien erstellt, manchmal auch Confluence Seiten eingerichtet. Das Problem ist: Diese „ungeliebten“ Dokumente sind in der Regel schlecht gepflegt: Die Beschreibungen der Rollen und Rechte sind wenig aussagkräftig, Veränderungen in den Applikationen werden meistens nicht in den Berechtigungskonzepten nachgepflegt. Bei Prüfungen durch die Bankenaufsicht und/oder die interne Revision sind damit Findings vorprogrammiert.
Die Lösung: Nexis 4 wurde um die Funktionalität „elektronisches“ Berechtigungskonzept erweitert. Dahinter steckt die Idee, dass viele Informationen zu den Applikationen ohnehin in Nexis 4 vorliegen, wenn der Kunden Rezertifizierungen und/oder Rollen- und Berechtigungsmanagement mit dem Produkt macht.
Idealerweise werden dabei die bestehenden und oft in standardisierter Form vorliegenden Stammdaten aus existierenden Berechtigungskonzepten übernommen und durch die von der IGA-Lösung gelieferten Daten ergänzt. Soweit Beschreibungen oder andere Metadaten zur Kritikalität, zu SoD Klassen usw. noch fehlen, können sie durch Workflows bzw. Formulare durch die Applikationsverantwortlichen ergänzt werden.
So wird auch sichergestellt, dass die Berechtigungskonzepte immer dem Ist-Zustand in den Applikationen entsprechen:
- Eine Möglichkeit ist, dass Change-Prozesse direkt in Nexis 4 oder im IGA-System abgewickelt werden und damit sichergestellt wird, dass der Ist-Zustand in den Applikationen immer identisch mit dem Sollzustand ist.
- Die andere Option, die etwa. beim Pilotkunden DZ Bank umgesetzt wurde arbeitet mit Triggern: Immer, wenn die IGA-Lösung beim regelmäßigen Zielsystemabgleich eine Veränderung detektiert, zum Beispiel eine neue Berechtigung, löst das automatisch einen Prozess in Nexis 4 aus. So wird beispielsweise der Applikationsowner aufgefordert:
- Die Veränderung freizugeben
- Ggf. noch fehlende Beschreibungen und Attributierungen zu ergänzen (Kritikalität, SoD-Klassen etc.)
- Die neue Berechtigung ggf. in bestehende Applikations- bzw. Geschäftsrollen aufzunehmen
Fazit: Egal, welche Tools man für das Identitätsmanagement einsetzt oder einsetzen will: Unternehmen klagen oft über fehlende oder oberflächliche Funktionen, kostspielige Anpassungsarbeiten und vor allem über zu wenig Verständlichkeit für nicht-IT Anwender.
Nexis 4 bietet fertige Analysen, Workflows und Endanwender-Funktionen ohne teure Integrations- oder Programmierarbeiten. Eine weitere Stärke ist die Visualisierung von Daten, Strukturen und Abhängigkeiten.
Hinzu kommen jetzt als Alleinstellungsmerkmal das elektronische Berechtigungskonzept. Es gibt zu dieser automatisierten Lösung kein vergleichbares anderes Produkt auf dem Markt.
Die Vorteile liegen auf der Hand:
- Der manuelle Pflegeaufwand der Berechtigungskonzeptdokumente entfällt
- Die Datenqualität wird erhöht – potenziell auf 100 %
- Die Daten sind praktisch „tagesaktuell“ mit dem IST-Zustand in den Applikationen abgeglichen
Weitere Informationen
Die it verlag für Informationstechnik GmbH publiziert das Magazin it management mit dem Supplement it security. Im Online-Bereich stehen mit der News-Portal www.it-daily.net und diversen Newslettern wertvolle Informationsquellen für IT Professionals zur Verfügung. Mit eBooks, Whitepapern und Konferenzen zu Themen der Enterprise IT rundet der Verlag sein Angebot zu News aus der IT-Welt ab.
www.it-daily.net
IT Verlag für Informationstechnik GmbH
Ludwig-Ganghofer-Str. 51
83624 Otterfing
Telefon: +49 (8104) 649426
Telefax: +49 (8104) 6494-22
https://www.it-daily.net
Redaktion it management / it security
Telefon: +49 (8104) 6494-26
Fax: +49 (8104) 6494-22
E-Mail: s.parthier@it-verlag.de