Wie viele Unternehmen arbeiten wir mit Drittanbietern zusammen, um unsere Geschäftsfähigkeiten zu erweitern. Allerdings bieten Drittparteien nicht unbedingt die gleichen Sicherheitsstandards und Protokolle. Dies macht sie zu einem Hauptziel für Angreifer, die sie als den einfachsten Zugang zum Kernunternehmen betrachten könnten.
Wie meine Kollegin Jen Waugh in ihrem aktuellen Blogbeitrag wie Okta eine Sicherheitskultur fördert schrieb, machen die Daten, die Okta besitzt – sowohl unsere eigenen als auch die unserer Kunden und Partner – und die Bedeutung unserer Produkte uns zu einem Ziel für Cyberangreifer.
Durch die Nähe bedeutet das, dass auch unsere erweiterte Belegschaft ins Visier genommen wird: Auftragnehmer, Berater, Anbieter, Service Provider, übernommene Unternehmen und Partner mit physischem oder logischem Zugriff auf unsere Systeme.
Angreifer könnten diese Gruppe (der Einfachheit halber werde ich „Auftragnehmer“, „Dritte“ oder „erweiterte Belegschaft“ synonym verwenden) als eine vergleichsweise Schwäche in unserer gesamten Angriffsfläche betrachten. Ein Teil meiner Aufgabe ist es sicherzustellen, dass sich unsere Gegner in dieser Annahme irren, indem wir unsere erweiterte Belegschaft mit denselben Sicherheitsvorkehrungen schützen, die für unsere eigenen Mitarbeiter gelten.
Tatsächlich ist das die TL;DR dieses Beitrags: Ich empfehle, dass jedes Unternehmen die gleichen strengen Kontrollen für seine gesamte Belegschaft durchsetzt, sowohl intern als auch extern. Natürlich ist die Definition dieses Ziels nur der erste Schritt, daher werde ich einige Möglichkeiten aufzeigen, wie wir bei Okta daran gearbeitet haben, es zu erreichen.
Bevor ich jedoch auf diese Details eingehe, möchte ich zunächst anmerken, dass jedes Unternehmen auch ein Drittanbieter-Risikoprogramm implementieren sollte, um einen umfassenden Due-Diligence-Prozess bei der Auswahl und Überwachung von Service Providern durchzuführen. Dieses Thema könnte ein eigener Beitrag für sich sein, aber hier möchte ich lediglich erwähnen, dass ein solches Programm Folgendes beinhalten sollte:
- Bewertung der Informationssicherheitskontrollen von Drittanbietern
- Vertragliche Zusicherung für die Sicherheitsverantwortlichkeiten, Kontrollen und Bericht von Dritten
Lassen Sie uns genauer betrachten, wie Okta unsere erweiterte Belegschaft sichert.
Gehärtete und Managed Devices, ohne Ausnahmen.
Einer der schwerwiegendsten und (leider) häufigsten Sicherheitsfehler, den Unternehmen machen, ist es, Drittparteien den Zugriff auf interne Systeme von Geräten zu gestatten, die nicht verwaltet oder gesperrt sind.
Es ist erwähnenswert, dass selbst Unternehmen mit strengen Richtlinien für Geräte in Versuchung geraten können, Ausnahmen zu machen, insbesondere bei dringenden Projekten mit neuen Partnern. „Wir werden einfach vorübergehenden Zugriff gewähren, bis wir ihnen ein gehärtetes Gerät schicken können…“ mag unter dem Druck einer drohenden Frist vernünftig erscheinen, aber ein Riss in der Rüstung ist alles, was ein Angreifer braucht.
Heute können Auftragnehmer nicht auf Okta-Systeme zugreifen, es sei denn, sie tun dies von einem gehärteten Okta-Gerät aus oder (in einer kleinen Anzahl von BYOD-Szenarien) von einem Gerät, auf dem unsere Gerätemanagementsoftware läuft. Zusätzlich zur Phishing-resistenten Authentifizierung stellen diese Geräte sicher, dass zusätzliche Sicherheitspraktiken wie die Verwendung von VPNs und die Bewertung der Sicherheitslage des Geräts eingehalten werden.
Es war jedoch nicht immer so, daher haben viele unserer Bemühungen zur Härtung unserer Angriffsfläche die Umsetzung eines zweigleisigen Ansatzes umfasst:
- Sicherstellen, dass jedem bestehenden Auftragnehmer ein gehärtetes Gerät und ein Offline-Sicherheitsschlüssel (in unserem Fall ein YubiKey) ausgestellt wurde.
- Aktualisierung unserer Onboarding-Prozesse für Auftragnehmer (mehr dazu in einem Moment)
Auch wenn dies eine große Anstrengung sein kann, insbesondere für große Unternehmen wie Okta, lohnt es sich, die Sicherheitslage zu stärken.
Was wir als hilfreich empfunden haben, ist, Sicherheit als ein herausragendes Element unserer Werte einzubeziehen und unser Engagement für Sicherheit durch das Okta Secure Identity Commitment zu verstärken. Indem wir als Unternehmen ernsthaft auf Sicherheit setzen, betrachten wir die Kosten für die Ausstattung unserer gesamten erweiterten Belegschaft mit gehärteten Geräten als Investitionen in unsere Sicherheitslage. Diese Investitionen helfen uns, die finanziellen, rechtlichen und rufschädigenden Auswirkungen von Sicherheitsvorfällen zu vermeiden oder zu minimieren.
Obligatorisches Sicherheitstraining
Im Rahmen des Onboarding-Prozesses sind alle Auftragnehmer, die mit Okta zusammenarbeiten, verpflichtet, unser obligatorisches Training zu absolvieren, einschließlich:
- Allgemeines Sicherheitsbewusstsein, das unter anderem erklärt, wie man unser Unternehmen, unsere Computersysteme, Daten, Personen und andere Vermögenswerte vor Bedrohungen oder Kriminellen schützt
- Datenschutz, der die Bedeutung des Datenschutzes, die Datenschutzprinzipien und die Best Practice für den Umgang mit und den Schutz sensibler Daten umfasst.
- Physische Sicherheit, die die Sicherheit innerhalb unserer Einrichtungen behandelt (da einige Auftragnehmer möglicherweise unsere Büros besuchen müssen) und die Sicherung sensibler Informationen in der physischen Welt gewährleistet
Und das nehmen wir sehr ernst. Auftragnehmer, die ihre Verantwortung vernachlässigen, erhalten von mir eine Benachrichtigung, was wahrscheinlich nicht der Höhepunkt ihres Tages ist. Alle diese Module sind wichtig, aber das allgemeine Sicherheitsbewusstsein Training ist besonders entscheidend.
Mit dem allgemeinen Training zum Sicherheitsbewusstsein wollen wir das erreichen, was im Modultitel steht: ein allgemeines Sicherheitsbewusstsein schaffen. Zusätzlich zu spezifischen Anleitungen – von der Vorsicht beim Zulassen externer Teilnehmer zu einem Meeting bis hin zum Nicht-Hinterlassen von Passwörtern, API-Keys oder Verschlüsselungsschlüsseln in Repositories – versuchen wir auch, das Bewusstsein für die allgemeinen Bedrohungen zu schärfen, denen ein Auftragnehmer begegnen könnte.
Schutz vor Social-Engineering-Angriffen
Zum Beispiel werden Okta-Mitarbeiter regelmäßig von Angreifern ins Visier genommen, die Zugang zu unseren Systemen suchen, und Social Engineering – insbesondere Phishing und Pretexting – ist eine ihrer bevorzugten Methoden. Natürlich sind Angreifer recht geschickt darin, Drittparteien zu entdecken, die mit uns zusammenarbeiten, und dann einzelne Mitarbeiter innerhalb dieser Drittparteien zu identifizieren. Folglich sind diese Personen denselben Social-Engineering-Taktiken ausgesetzt wie unser eigenes internes Team.
Ein Auftragnehmer könnte es nicht als besonders bedeutsam erachten, seinem LinkedIn-Profil einen neuen Punkt hinzuzufügen, in dem er erklärt, dass er mit Okta arbeitet. Und sie denken sich vielleicht nichts dabei, wenn sie eine Kontaktanfrage von einem professionell aussehenden Profil erhalten oder wenn dieser neue Kontakt ihnen eine DM schickt und anfängt, Fragen zu stellen, um sich „auf ein Vorstellungsgespräch vorzubereiten“ oder aus einem anderen plausiblen Grund.
Oder, um ein extremeres – aber leider allzu reales – Beispiel zu nennen: Der typische Mensch wird mit ziemlicher Sicherheit nicht die Zusammenhänge erkennen, wenn er über eine Dating-App mit jemandem in Kontakt tritt, sich persönlich trifft und darüber spricht, was er beruflich macht. Wir wissen, dass Training keine magische Lösung ist, aber es bewirkt, dass Auftragnehmer informiert oder daran erinnert werden, dass sie Ziele sind – nicht nur bei der Arbeit, sondern auch in ihrem Privatleben.
Dieses zusätzliche Bewusstsein könnte zu einem kleinen Lead an Misstrauen führen. Dieses kleine Misstrauen könnte den Unterschied ausmachen, ob Sie Opfer von Social Engineering werden oder die subtilen Punkte verbinden, die zeigen, dass etwas nicht stimmt. Und das Verbinden dieser Punkte könnte es der Zielperson ermöglichen, zu bremsen oder die Bedrohung zu melden, bevor Schaden entsteht.
End-to-End-Phishing-resistenz
Da Phishing eine alltägliche Bedrohung darstellt, haben wir viel Zeit und Mühe investiert, um Phishing-Widerstand im gesamten Auftragnehmer-Lebenszyklus einbetten – vom Onboarding bis zum Offboarding. Zum Beispiel geben wir jedem Auftragnehmer einen YubiKey aus. Dieser Offline-Sicherheitsschlüssel muss aktiviert werden, bevor der Auftragnehmer auf unsere Systeme zugreifen kann, und er wird auch als Teil unseres Identity-Verifizierungsprozesses verwendet, wenn ein Auftragnehmer mit unserem Helpdesk zusammenarbeiten muss.
(Und für alle Leser, die darüber nachgedacht haben, YubiKeys für ihre Belegschaft einzuführen, aber aufgrund des damit verbundenen manuellen Aufwands gezögert haben, hat die native Integration von Okta mit Yubicos FIDO Pre-reg-Angebot den Prozess hochgradig skalierbar gemacht.)
Ähnlich stärken gerätebasierte biometrische Authentifizierung und Tools wie Okta Device Access, Okta FastPass und Okta Verify die Sicherheit, ohne Reibung zu verursachen, die die Bemühungen einer Person bei der Arbeit behindern könnte.
Der beste Zeitpunkt, um anzufangen, war gestern, der zweitbeste Zeitpunkt, um anzufangen, ist jetzt
In der heutigen Bedrohungslandschaft erfordert die Sicherung Ihres Unternehmens die Implementierung wirksamer Kontrollen für Ihre gesamte Belegschaft, einschließlich der langen Liste von Drittparteien, die Zugriff auf Ihre internen Systeme haben.
Es darf wirklich keine Ausnahmen geben.
Natürlich ist es eine Journey, von Ihrem heutigen Standpunkt aus dorthin zu gelangen – aber mit Support Ihres Führungsteams ist es wirklich möglich.
