Treffen Sie vom 26. bis 28. Juli Führungskräfte auf der AI & Edge Week von Transform. Hören Sie von Top-Führungskräften, die über Themen rund um AL/ML-Technologie, Konversations-KI, IVA, NLP, Edge und mehr diskutieren. Sichern Sie sich jetzt Ihren kostenlosen Pass!


Ihr Gebäude muss aus Holz gebaut sein – nicht aus Pappmaché.

Das heißt: Bauen Sie Ihr Sicherheitsprogramm von Grund auf auf und lassen Sie es in den Betrieb und den gesamten Entwicklungslebenszyklus einbetten, sagte Stephen Schmidt, Chief Security Officer von Amazon, dem Publikum bei AWS re: Erzwingen in dieser Woche.

„Sie wollen Sichtbarkeit und alle zusammen rudern“, sagte er.

Die jährliche re: Inforce-Veranstaltung unterstreicht – wie der Name schon sagt – die Bedeutung der Sicherheit und bietet Best Practices von Amazon Web Services (AWS) und seinen Partnern.

Die diesjährige Veranstaltung umfasste Bootcamps, Labore und mehrere Führungssitzungen. Diese haben sich auf proaktive Sicherheit konzentriert; „Sicherheitsbewusstsein;“ optimiertes Identitäts- und Zugriffsmanagement; Compliance-, Governance- und Sicherheitsoperationen im großen Maßstab; Kryptografie; und Nutzung von Forschung und Innovation zum Schutz von Kundendaten.

„Obwohl sich diese Veranstaltung an Praktiker richtet, hat mir gefallen, wie Sicherheitsgrundlagen – wie das Sperren des öffentlichen Zugangs und die Verwendung von Multifaktor-Authentifizierung (MFA) – während der Keynote erwähnt und eingestreut wurden, da sie einen umfassenderen Punkt wiederholt: Sicherheit muss Teil von jedem sein Single-Job“, Hauptredner u MongoDB CISO Lena Smart gegenüber VentureBeat.

Erfahrungen als Sicherheitsleiter

In einer Keynote betonte Schmidt die Wichtigkeit des Zugangs (oder dessen Fehlens). Es sei entscheidend, sagte er, festzustellen, wer Zugang zu was hat und warum. Was brauchen Menschen für ihre Arbeit? Benötigen Bauherren beispielsweise Live-Daten zum Testen oder, wie er es ausdrückte, sollten Daten „verschleiert, maskiert und anonymisiert werden, wo immer sie gespeichert sind?“

„Ein zu freizügiges Umfeld garantiert Kopfschmerzen“, sagt Schmidt.

Die Bausteine ​​eines jeden Sicherheitsprogramms erfordern „Überlegung und Strenge“ in jedem Anwendungsfall. Wenn Sie Daten speichern, sollten diese „absichtlich kontrolliert, absichtlich verschlüsselt und absichtlich geschützt werden“, sagte er.

Eine ganze Organisation muss an der Sicherheit zusammenarbeiten, sagte Schmidt und wies darauf hin, dass AWS eine dezentrale Teamumgebung hat. Das AWS-Sicherheitsteam trifft sich auch regelmäßig mit der C-Suite des Unternehmens. Er bemerkte, dass, wenn ein Sicherheitsteam nur sporadisch Zeit mit der C-Suite bekommt, „das ein Problem sein wird“.

Ebenso sind Sicherheitstools immer stärker, wenn sie als Teil einer ganzheitlichen Strategie eingesetzt werden. Sicherheitsteams sollten nicht isoliert sein, sondern ein „intimer Partner“ mit Entwicklungsorganisationen sein. Er unterstrich ein AWS-Prinzip: „Wir sind stärker zusammen.“

Smart stimmte zu und nannte die Mitarbeiter „unser stärkstes Bindeglied und beste Fürsprecher für die Pflege einer starken Sicherheitskultur bei MongoDB“.

„Sie können zwar alle Tools der Welt haben, aber am Ende des Tages sind die Menschen der Schlüssel zu einem robusten und ständig wachsenden Cybersicherheitsprogramm“, sagte Smart gegenüber VentureBeat.

Dies sei durch das „Security Champions“-Programm von MongoDB belegt worden, sagte sie. Es hat weltweit mehr als 90 Mitarbeiter, und Mitglieder stellen ihre Zeit freiwillig zur Verfügung, um als Sicherheitskanäle für ihre einzelnen Teams zu dienen.

„Das Programm gibt uns beispiellose Einblicke in MongoDB und hat uns geholfen, unser Sicherheitsprogramm und unsere interne Zusammenarbeit zu reifen“, sagte Smart gegenüber VentureBeat.

Mehrere Verteidigungsebenen

Ein „eindeutiges Worst-Case-Szenario“, so Schmidt, ist, dass die Daten einer Organisation zugänglich werden. Wenn ein Angreifer Zugriff auf Ihr Netzwerk erhält, benötigen Sie eine effektive Intrusion Detection, sagte er und fügte hinzu, dass ein robustes Verschlüsselungsprogramm eine letzte Verteidigungslinie sein kann.

Zu den Sicherheitsunterscheidungsmerkmalen gehören ein Schema der geringsten Rechte und eine zuverlässige aktive Protokollierung, die von Angreifern nicht gelöscht werden kann. Kontrollen sollten in alle Dienste integriert werden, damit kein einzelner Aspekt eines Sicherheitsprogramms für alles in einem Verteidigungsportfolio gefährdet ist, sagte Schmidt.

Ebenso ist es grundlegend für den Zero-Trust-Prozess, sich gegenseitig ergänzende Dienste zu haben. Er schlug vor, dass Organisationen Systeme so aufbauen sollten, dass mehrere Dinge schief gehen müssen, bevor sie zu einem schlechten Ergebnis führen.

„Die Einzelsteuerungen werden ausfallen“, sagte Schmidt. „Wenn es um Ihr Sicherheitsprogramm geht, müssen Sie mehrere Verteidigungsebenen haben.“

Förderung einer Kultur des Sicherheitsbewusstseins

CJ Moses, Vice President und Chief Information Security Officer von AWS, unterstrich die Bedeutung teamübergreifender Eigenverantwortung, da es bei der Eigenverantwortung nicht nur um Gewinn und Verlust und geschäftlichen Erfolg oder Misserfolg gehen sollte.

„Es ist ein Mechanismus, der unsere Sicherheitskultur stärkt“, sagte Moses. „Das ist die Art von Mentalität, die Sie haben möchten und die Sie weitergegeben haben möchten.“

Es ist ebenso wichtig, einen Besprechungsraum mit mehreren Personen mit unterschiedlichen Ansichten zu haben, sagte er. Dazu gehören sowohl Introvertierte als auch Extrovertierte sowie Menschen mit unterschiedlichen Hintergründen oder Kulturen. Es gehe darum, „mehrere Standpunkte und Hintergründe zu haben, denn Vielfalt bringt Vielfalt“, sagte er.

Außerdem können Neueinstellungen einem Team ein hohes Maß an Klarheit bieten, da sie keine jahrelange Voreingenommenheit oder „Gruppendenken“ haben.

Best Practices laufen letztendlich darauf hinaus, „was auch immer es Ihrer Kultur ermöglicht, die Dinge anders zu betrachten und sich gegenseitig herauszufordern“, sagte Moses.

Tiefgreifende Abwehrmechanismen

Was die Sicherheitstools selbst betrifft: Diejenigen, die automatisiert und eingebettet sind und es den Menschen ermöglichen, das Richtige – und einfach – zu tun, sind von größter Bedeutung, sagte Moses.

„Sie wollen nicht, dass Sicherheit zu etwas wird, das den Menschen mehr Arbeit bereitet“, sagte er. „Sie werden einfach Wege finden, es zu umgehen – wir alle wissen, dass das stimmt.“

Er betonte auch die Bedeutung der geringsten Rechte, der Meldung von Schwachstellen und der Ransomware-Minderung. Der Prozess, den Zugriff auf neue Software zu entziehen – oder administrativen Zugriff zu gewähren – sollte regelmäßig geübt werden.

„Denn jeder allzu freizügige Zugriff ist eine Gelegenheit für einen Gegner“, sagte Moses. „Wenn Sie im Urlaub sind, wäre Ihr Zugang auch.“

Außerdem sollte es interne und externe Möglichkeiten geben, Schwachstellen zu melden, sagte er. Stellen Sie Kunden eine Kontaktplattform zur Verfügung, die automatisch Tickets öffnet, auch wenn sie sich nicht sicher sind, ob es sich um ein echtes Sicherheitsproblem handelt oder nicht. Und wenn es um Ransomware geht, validieren Sie Ihre kritischen Prozesse und führen Sie regelmäßig Übungen durch.

„Sie wollen nicht während eines echten Problems von einem kritischen Fehler im Plan erfahren“, sagte Moses.

Es sei auch wichtig, über ein umfassendes Inventar der Software und ihrer Verwendung zu verfügen, sagte er, während man stets Produkte von Drittanbietern analysiert, um sicherzustellen, dass sie auf die neuesten Versionen und Patch-Level aktualisiert werden.

Auch Moses betonte: „Abholzen, Abholzen, Abholzen, Abholzen – habe ich das Abholzen erwähnt?“

Verschlüsselung und automatisiertes Schließen

Letztendlich bedeutet das Aufkommen von Quantencomputern in den nächsten Jahrzehnten, dass Fachleute im Sicherheitsbereich auch die Verschlüsselung überdenken müssen, bemerkte Kurt Kufeld, Vizepräsident der AWS-Plattform.

„Das Aufkommen von Quantencomputing bedeutet, dass einige Verschlüsselungsalgorithmen unsicher sein werden“, sagte er und fügte hinzu, dass das National Institute of Standards and Technology (NIST) und die kryptografische Gemeinschaft zusammengearbeitet und Standards für die Post-Quanten-Kryptowelt angekündigt haben.

AWS hat auch einen hybriden Post-Quanten-Schlüsselaustausch implementiert und diesen in Open Source verfügbar gemacht, sagte Kufeld. Es bietet quantensichere Algorithmen und Optionen für TLS-Verbindungen (Transport Layer Security). Darüber hinaus arbeitet AWS mit der Internet Engineering Task Force (IETF) zusammen, um eine Quantenschlüsselvereinbarung und Hybridtechnologie zu definieren.

Dieser Bereich der Informatik wendet Argumentation in Form von Logik auf Computersysteme an. Dadurch können Benutzer „nachweisbare Sicherheit“ aktivieren und universelle Aussagen treffen – wie „Ist dieser Eimer für die Öffentlichkeit zugänglich?“

Auf Amazon S3 wurde automatisierte Argumentation angewendet, um sicherzustellen, dass es „stark konsistent“ ist, erklärte Kufeld, und dies enthüllte Grenzfälle, die in der Vergangenheit nicht aufgetaucht waren.

„Die Kraft universeller Aussagen ist erstaunlich, wenn es um Sicherheit geht“, sagte Kufeld.

Verbesserte AWS-Funktionen

Zusätzlich zu seinen erweiterten Sicherheitsfunktionen kündigte AWS während re: Inforce auch mehrere neue Tools an. Diese beinhalten:

  • Amazon GuardDuty-Malware-Schutz: Dieser neue Service hilft bei der Erkennung bösartiger Dateien, die sich auf einer Instance oder einem Container-Workload befinden, der auf Amazon EC2 ausgeführt wird, ohne dass Sicherheitssoftware oder Agenten bereitgestellt werden müssen. Es fügt Dateiscans für Workloads hinzu, die Amazon EBS-Volumes verwenden, um Malware zu erkennen, die Ressourcen gefährden kann. Wenn Probleme erkannt werden, sendet der Service automatisch Sicherheitsergebnisse an AWS Security Hub, Amazon EventBridge und Amazon Detective. Bestehende Kunden können die Funktion in der GuardDuty-Konsole oder über die GuardDuty-API aktivieren.
  • AWS Wickr: Ein neues sicheres Collaboration-Produkt der Enterprise-Klasse, das Ende-zu-Ende-verschlüsseltes (E2EE) Messaging, Dateiübertragung, Bildschirmfreigabe, Standortfreigabe sowie Sprach- und Videokonferenzfunktionen bietet. Es umfasst auch den Ablauf von Nachrichten und Inhalten, Perfect Forward Secrecy, Nachrichtenrückruf und -löschung sowie administrative Kontrollen zur Unterstützung von Information Governance und Compliance.
  • Neue Kategorien von AWS-Sicherheitskompetenzpartnern: Acht zusätzliche Kompetenzkategorien umfassen Identitäts- und Zugriffsverwaltung; Erkennung und Reaktion auf Bedrohungen; Infrastruktursicherheit, Datenschutz; Compliance und Datenschutz; Anwendungssicherheit; Perimeterschutz; und Kernsicherheit. Der Service hilft Kunden dabei, Software- und Servicepartner zu identifizieren, die über Fachkenntnisse in bestimmten Sicherheitskategorien verfügen.
  • AWS Level 1 MSSP-Kompetenzspezialisierungskategorien: Sechs neue Kategorien umfassen die Überwachung des Identitätsverhaltens; Verwaltung von Datenschutzereignissen; moderne Computersicherheitsüberwachung für Container und serverlose Technologien; Managed Application Security Testing; digitale Forensik und Unterstützung bei der Reaktion auf Vorfälle; und Business Continuity und Ransomware-Bereitschaft zur Wiederherstellung nach potenziell störenden Ereignissen. Das Ziel der beiden letztgenannten Rollouts besteht laut Ryan Orsi, Global Partner Practice Team Lead for Security Consulting und MSSP bei AWS, darin, Kunden dabei zu helfen, Partnerlösungen zu entdecken, die von AWS-Sicherheitsexperten validiert wurden, und 24/7-Überwachungs- und Reaktionsdienste bereitzustellen. Dieses neue Tool „zeigt, wie wir darauf abzielen, Kunden dort abzuholen, wo sie stehen, und die Sicherung dieser Umgebungen einfacher zu machen“, sagte Orsi gegenüber VentureBeat. „Wir ermöglichen ein One-Stop-Shop-Erlebnis, bei dem (Kunden) Sicherheitssoftware finden, die speziell auf ihre Bedürfnisse zugeschnitten ist, sowie das Fachwissen, das für die ordnungsgemäße Bereitstellung erforderlich ist.“
  • Einblicke in AWS Marketplace-Anbieter: Ein neues Tool zur Vereinfachung der Risikobewertung von Software von Drittanbietern durch die Zusammenstellung von Sicherheits- und Compliance-Informationen in einem einheitlichen Dashboard. Dies hilft, den Beschaffungsprozess zu rationalisieren, indem Käufern Zugang zu Beweisen gewährt wird, die von AWS Marketplace-Verkäufern in Bezug auf Datenschutz und Wohnsitz, Anwendungssicherheit und Zugriffskontrolle bereitgestellt werden. Käufer können Benachrichtigungen über Sicherheitsereignisse erhalten, wie z. B. den Ablauf des Konformitätszertifikats eines Anbieters, und erhalten ständig Einblick in die Sicherheitslage ihrer Drittanbieterprodukte.

Dies unterstreicht letztendlich das Engagement von AWS für sein „Partner-Ökosystem“ und optimierte Beschaffungsprozesse, sagte Chris Grusz, General Manager von Worldwide ISV Alliances and Marketplace bei AWS.

„Kunden bewegen sich nicht nur ohne Verzögerung durch den Beschaffungsprozess“, sagte Grusz gegenüber VentureBeat, „sondern Partner können mehr und schneller Geschäfte abschließen.“

Die Mission von VentureBeat soll ein digitaler Marktplatz für technische Entscheidungsträger sein, um sich Wissen über transformative Unternehmenstechnologie anzueignen und Transaktionen durchzuführen. Erfahre mehr über die Mitgliedschaft.

Leave a Comment