Orca Security deckt Kostenfallen auf

An welchen Kosten Security-Projekte scheitern

12. Mai 2022, 15:03 Uhr | Wilhelm Greiner | Kommentar(e)
Leidwährung Dollar
© flydragon - AdobeStock

Die größte Herausforderung bei der Auswahl einer Sicherheitslösung besteht laut Orca Security nicht darin, Anbieter angeblicher „Wundermittel“ auszusortieren. Es gehe vielmehr darum, Lösungen zu erkennen, die das Unternehmen zwar sicherer machen, deren versteckte Kosten aber zu hoch sind.

1. Agents: Viele Sicherheitsprodukte beruhen auf der Installation eines Agents. Das klingt unbedeutend, ja sogar trivial, aber es kann alles andere als das sein. Wenn eine völlig homogene Umgebung vorliegt, dann ist die Integration von Agents wahrscheinlich kein großes Problem. Die meisten Umgebungen sind jedoch heterogener. Windows-Server stehen Seite an Seite mit Linux-Servern, und diese gibt es in einer ganzen Reihe verschiedener Distributionen, während Anwendungen in den verschiedensten Umgebungen laufen.

Ein Agent muss in der Lage sein, in jeder dieser Umgebungen sicher zu arbeiten, um die Abdeckung zu gewährleisten. Geht während der Bereitstellungsphase etwas schief, gilt oft der Agent als verantwortlich dafür, ob zu Recht oder nicht. Dann werde er als Teil der Reaktion auf den Vorfall deaktiviert, und nach dem Vorfall müsse man darum streiten, dass er wieder aktiviert wird, so Orca.

Agents verbrauchen zudem Ressourcen auf dem Rechner. Auf die Frage nach dem Performance-Overhead geben Sicherheitsanbieter wahrscheinlich eine vage Antwort wie „Oh, nicht sehr viel, nur ein paar Prozent“. Doch die Frage laut: Ein paar Prozent wovon? Anbieter testen Agents auf Systemen im Leerlauf und messen die CPU-Auslastung. Entscheidend ist jedoch oft, wie der Agent bei Spitzenlast mit dem System interagiert. Die meisten Unternehmensanwender kennen wahrscheinlich eine Horrorgeschichte über einen Laptop, der sie wegen eines Antiviren-Scans aufhielt, als sie gerade eine wichtige Präsentation vorbereiten wollten.

Weitverbreitete Agents sind auch ein Vektor für Angriffe auf die Lieferkette. Ein Beispiel dafür ist der Vorfall bei Solarwinds, bei dem ein überall installierter IT-Management-Agent einen Weg zur Kompromittierung eröffnete. Die Sicherheitsrisiken der eigenen Tools sind ein Kostenfaktor, den die meisten Sicherheitsteams nicht berücksichtigen, der aber laut Orca in jede Bewertung einfließen sollte.

2. Unverständliche Warnungen: Jeder, der schon einmal naiv ein neues Sicherheitsprodukt verwendet hat, um Probleme in seiner Umgebung zu finden, sah sich mit einer Flut undurchschaubarer Warnmeldungen konfrontiert. Die Herausforderung bei der Definition von Warnmeldungen in Sicherheitsprodukten besteht laut Orca darin, dass die Anreize zwischen dem Anbieter und dem Käufer völlig unausgewogen sind: Der Anbieter will die gefürchteten falsch-negativen Warnungen (also nicht erkannte Angriffe) ausschließen, während der Käufer versucht, bedeutungslose (falsch-positive) Warnmeldungen zu vermeiden, da sie keinen Nutzen bringen.

Es ist sehr schwierig, den Wert einer Warnung im Voraus zu definieren. Manchmal ist er kontextabhängig. Vielleicht kann ein Angreifer alle Dateien auf einem Web-Server lesen. Ist das ein Problem? Möglicherweise schon, denn dieser Server könnte Zugangsdaten zur Produktionsdatenbank haben. Es könnte aber auch weniger interessant sein, wenn der Server nur eine Website mit Broschüren verwaltet.

Viele Sicherheitsteams sind nicht einmal die eigentlichen Nutzer der Warnmeldungen. Die Warnungen werden an die Geschäftsabteilung weitergeleitet, und das Sicherheitsteam wird oft ignoriert, so Orca. Oder das DevOps-Team fordert eine Priorisierung, während das Sicherheitsteam Maßnahmen verlangt. Beide Teams haben zwar Recht, aber die wertvolle Sicherheitsarbeit bleibt unerledigt.

Der Kern des Problems liegt laut Orca-Angaben in der Diskrepanz zwischen der Zielgruppe, für die das Produkt implizit entwickelt wurdem und der Zielgruppe, die das Produkt tatsächlich nutzt. Leider, so der Anbieter weiter, verfüge der Großteil der Tools nicht über den architektonischen oder organisatorischen Kontext, um eine erste Priorisierung vorzunehmen und den Analysten dabei zu helfen, die Sicherheit schnell zu verbessern.

3. Komplexe Implementierungen und organisatorische Reibungsverluste: Wann immer es gilt, ein komplexes Projekt in mehreren Unternehmen einzuführen, will kein Unternehmen das erste sein, denn es trägt die Last der Probleme bei der Integration. Und die meisten Projektleiter haben diese Erfahrung schon gemacht: Kollegen, die den Erfolg eines anderen sehen wollen, bevor sie selbst das Nötigste tun, sowie überraschende Hindernisse, die ein Projekt zum Entgleisen bringen, das ohnehin schon sehr langsam vorankam. Wenn ein Projekt zu lange zu langsam vorankommt, wird es implizit „entpriorisiert“: Wenn es in den letzten drei Jahren nicht vollendet wurde, warum ist es jetzt wichtig genug, um es dieses Jahr durchzudrücken?

Viele Sicherheitsprodukte enden nach Erfahrung von Orca Security als Ladenhüter oder Teilimplementierungen, weil bei ihrer Einführung solche Fallstrick auftraten. Es gelte in jedem Fall, rechtzeitig auf versteckte Kosten zu achten.

Anbieter zum Thema

zu Matchmaker+

Verwandte Artikel

WEKA FACHMEDIEN

IT-Security

Matchmaker+