Letzten Monat PagerDuty und Bedrohungsliste trafen sich in Seattle, um gemeinsam einen Workshop auszurichten – „ Krisenmanagement im 21. Jahrhundert Als Senior Director of Operations and Support bei Threat Stack hatte ich das Vergnügen, gemeinsam mit Jonathan Wilkinson, VP of Product bei PagerDuty, über Cloud-Sicherheit und Incident-Management zu sprechen.

Gemeinsamer Nenner beider Gespräche war, wie Unternehmen die richtigen Personen im Falle eines wichtigen Vorfalls schnell und effektiv benachrichtigen können, indem sie die Teams für Betrieb, Sicherheit und Entwicklung enger zusammenarbeiten lassen.

Ähnlich wie Teams benachrichtigt werden, wenn ihre Website ausfällt, gilt dasselbe Verfahren auch bei einem Website-Hack. In der heutigen Sicherheitslandschaft können Unternehmen ihre bestehenden PagerDuty Benachrichtigungsprozesse effektiv auf sicherheitsrelevante Probleme anwenden. Der beste Weg, dies zu ermöglichen, ist der Aufbau einer Sicherheitskultur, die effektive Sicherheitswarnungen, Eskalation und Zusammenarbeit fördert. Dies ist einer der Hauptgründe, warum PagerDuty und Threat Stack kürzlich zusammengearbeitet haben. kündigte eine Integration an Dies ermöglicht es Kunden, Cloud-Sicherheitsvorfälle wie Benutzeranmeldungen, verdächtige laufende Prozesse und Konfigurationsänderungen innerhalb von PagerDuty zu verwalten.

Ein Punkt, in dem wir uns im Workshop alle einig waren, war, dass angesichts der rasant fortschreitenden Bedrohungen von heute eine Sicherheitskultur nicht länger ein nettes Extra, sondern eine absolute Notwendigkeit ist. Bei Threat Stack haben wir uns daher frühzeitig für die Einführung einer solchen Sicherheitskultur entschieden, indem wir unsere Sicherheits-, ITOps- und DevOps-Teams integriert haben. Im Folgenden stellen wir einige unserer Erkenntnisse zum Aufbau dieser Kultur vor und geben einen Einblick in unsere Vorgehensweise.

Die beste Sicherheitskultur ist kollaborativ, nicht vorschreibend.

Das gesamte Team für Sicherheit und Incident Response zu sensibilisieren, ist keine leichte Aufgabe. ITOps- und DevOps-Teams sehen sich nun mit Fragen konfrontiert, mit denen sie sich zuvor noch nie auseinandersetzen mussten – Fragen, die früher ausschließlich als Probleme des „Sicherheitsteams“ galten.

Hier sind einige der am häufigsten gestellten Fragen:

• Wie können wir im Bereich der Anwendungssicherheit proaktiver werden?
• Wie entwickeln wir Systeme, die standardmäßig sicher sind?
• Welche Werkzeuge eignen sich am besten, um all dies zu erreichen?
• Wie kann ich die richtigen Personen mit den richtigen Informationen in kürzester Zeit benachrichtigen?

Sicherheit sollte so integral und kollaborativ wie möglich sein – nicht starr und vorschreibend. Doch was, wenn Sie kein dediziertes Sicherheitsteam haben? Was, wenn Sie ein kleines, ressourcenbeschränktes Startup sind? Fakt ist: Wenn es um Sicherheit geht, leiden wir alle unter denselben Zeit- und Ressourcenengpässen, unabhängig von der Teamgröße, und wir alle wollen dasselbe: mehr Sicherheit. Tatsächlich unterscheidet sich die Einführung moderner Sicherheitsrichtlinien kaum von der Implementierung von DevOps-Praktiken. Durch die Integration von Monitoring in die täglichen Arbeitsabläufe erhalten Sicherheits-, DevOps- und ITOps-Teams die tiefen Einblicke in Dienste, Benutzer und Aktivitäten, die sie benötigen, um die Anwendungssicherheit zu gewährleisten. Viele Unternehmen haben heute bereits Erfahrung damit. Integration von DevOps-Methoden — GE Hauptstadt Macy's, Ziel , Und Nordstrom Sie gehörten zu den allerersten. Angesichts einiger ziemlich mächtiger und festgefahrener Silos beruhte der Erfolg von DevOps in all diesen Unternehmen letztendlich auf der Förderung kollaborativer Kulturen. Dieselben Prinzipien lassen sich auch auf die Implementierung einer Sicherheitskultur anwenden. Ein weiteres hervorragendes Beispiel ist die dreijährige Transformation der Twitter-Infosec-Funktion Das begann mit dem Hack des @BarackObama-Accounts. Es ist eine unglaubliche Geschichte darüber, wie sie Sicherheit in die tägliche Arbeit der Entwicklungs- und Betriebsteams integriert haben, mit dem Hauptziel, diese nicht zu behindern.

Sicherheitsprozesse und Transparenz gehören zusammen

In den letzten Jahren habe ich mit vielen Threat-Stack-Kunden gesprochen, die mehr Transparenz hinsichtlich der Sicherheitsaktivitäten in ihren Systemen benötigen. Auch viele IT-Betriebsmitarbeiter wünschen sich dies – Einblick in die Vorgänge in ihrer IT-Infrastruktur. Doch selbst der beste Einblick nützt nichts, wenn keine definierten Prozesse zur Ereignisbehandlung vorhanden sind.

Viele sagen: „Für euch ist das bestimmt einfach. Ihr könnt Threat Stack ja intern nutzen.“ Das stimmt zwar, und wir tun es auch, aber Tatsache ist: Wenn die interne Kultur und die Prozesse nicht darauf ausgelegt sind, die Daten von Tools wie Threat Stack und PagerDuty zu verarbeiten, kann man sie sich genauso gut sparen (obwohl wir natürlich hoffen, dass ihr sie nutzt). Daher kann man mit Sicherheit sagen, dass der Versuch, veraltete Tools (NIDS, irgendjemand?) in eine moderne, Cloud-native Welt zu integrieren, Unternehmen unnötige Probleme bereiten würde.

Durch die Entwicklung einer Sicherheitskultur, die den Workflow der PagerDuty und Threat Stack-Integration für das Incident-Management und die Incident-Behebung nutzt, konnten wir unsere Reaktionszeit durch die Automatisierung von Warnmeldungen und Daten zu Sicherheitsereignissen deutlich verkürzen. Die schnellstmögliche Zusammenführung der richtigen Personen zur Lagebeurteilung war ein entscheidender Faktor für die Reduzierung der Lösungszeit. So konnten wir uns auf die Reaktion und Behebung von Problemen konzentrieren, anstatt uns in Details zu verlieren.

Wie Threat Stack eine Sicherheitskultur implementierte

Alarmeskalation mit PagerDuty

Wir bei Threat Stack sind riesige PagerDuty Fans. Ich persönlich nutze PagerDuty seit dem Jahr der Markteinführung. Viele denken erst an PagerDuty , wenn ihre Website ausfällt oder ihre Datenbank offline ist. PagerDuty kann aber viel mehr: Es ist ein fantastisches Tool, das wir bei Threat Stack täglich für Produktionsalarme, Systemprüfungen, Analysen und einige andere interessante, individuelle Sicherheitsanwendungen einsetzen. Wir halten es für eines unserer wichtigsten und wertvollsten internen Tools.

PagerDuty unterstützt uns bei Threat Stack auf vielfältige Weise bei der Implementierung kollaborativer und transparenter Sicherheitsprozesse:

• Benachrichtigungen von Produktionssystemen mit hohem Alarmierungsgrad
• Terminplanung und Überschreibungen
• Eskalationsgruppen pro Dienst
• Verdächtige Anmeldungen oder laufende Prozesse

Der höllische Posaunenton weckt unser Team – selbst mitten in der Nacht – und signalisiert uns Probleme in der Cloud. Wir haben eine zwiespältige Beziehung zu diesem berüchtigten Alarmton; er hält uns rund um die Uhr auf Trab, damit wir als Team stets den Überblick behalten und reagieren können, um unsere Anwendungen und Systeme zu schützen.
Offene Kommunikation mit Slack

Ein weiterer Prozess, den wir umgesetzt haben, war die Integration unserer Sicherheitswarnungen in Locker Wir nutzen dasselbe Chat-System wie für alle anderen internen Vorgänge. Sobald eine Sicherheitswarnung ausgelöst wird, sendet Threat Stack eine Nachricht an einen festgelegten Slack-Kanal, sodass alle Kanalmitglieder die Nachricht sehen und reagieren können. Besonders praktisch ist, dass wir in Echtzeit über Slack über das Ereignis diskutieren können. Wurde Code übertragen? Gab es einen versehentlichen Anmeldefehler?

Für das Threat Stack-Team ist die wertvollste Funktion von PagerDuty , dass es eine Plattform bietet, um Gespräche zu beginnen und auf verdächtige Beobachtungen hinzuweisen. Anschließend können wir Slack nutzen, um den Sachverhalt zu bestätigen, zu besprechen und ihn idealerweise schnell zu klären.

Ein etablierter Prozess – selbst ein einfacher – ist besser als gar keiner. Teams können ihren Prozess jederzeit anpassen, insbesondere im Zuge des Unternehmenswachstums. In allen vorherigen Beispielen benötigten wir Tools zur Implementierung von standardmäßig sicheren Systemen, aber auch eine Unternehmenskultur, die es jedem ermöglicht, Sicherheitsprobleme anzusprechen und das Bewusstsein dafür zu schärfen.

Ich ermutige alle Unternehmen, einen ähnlichen Ansatz zu verfolgen, damit wir als Gemeinschaft bessere Cloud-Sicherheitspraktiken demonstrieren können.