Erzwingen Sicherheitsprofis zu brechen

Eine Gruppe von Wissenschaftlern behauptet, dass typische Service Level Agreements (SLAs) für verwaltete Sicherheitsdienste, die den Anbieter für Sicherheitslücken entschädigen müssen, die Anbieter davon abhalten können, Sicherheitslücken zu melden, die von Managed Security Services Providern (MSSPs) verwaltet werden Abgelehnt.

Unter dem Titel “Outsourcing Information Security: Contracting Issues and Security Implikationen” wurde der Forschungsbericht (PDF) im Rahmen des Workshops zum Thema Ökonomie der Informationssicherheit (WEIS) 2010 Anfang dieses Monats vorgestellt. Mit Hilfe der mathematischen Analyse gelangten die Autoren zu dem Schluss, dass MSSPs im Rahmen des traditionellen Modells der Herausforderung, sowohl Präventions- als auch Nachweisanstrengungen gleichermaßen gerecht zu werden, begegnen, ohne dass Anreize bestehen, Verstöße aufzudecken.

Das Trio schlug zwei alternative Modelle, die sie glauben, würde die Situation zu beheben. Die erste war, die MSSP zu bestrafen, wenn der Kunde derjenige ist, der die Verletzung aufdeckt, aber den Anbieter belohnt, wenn er die Verletzung zuerst erkennt. Ein weiteres Modell ist für den Kunden, einen 2-MSSP-Ansatz zu übernehmen, wo man für die Bereitstellung der Sicherheitsdienste und ein weiteres für Überwachung und Verletzung Erkennung verantwortlich ist.

Asunur Cezar, führen Autor und Professor an der Middle East Technical University sagte in einem E-Mail-Interview, dass es ein großes Wachstumspotenzial für die Managed Security Services-Markt und wie die Branche entwickelt, erwartet er Nutzer dieser Dienste, um die empfohlenen Vertragsmodelle empfohlen In der Zeitung.

Die Website Australiens Schwester-Website die Website Asien kontaktiert MSSPs, die auf einige Fehler in der Prämisse und vorgeschlagene Modelle in der Forschungsarbeit Punkt.

Benjamin Mah, General Manager von e-Cop Singapore, hob das Vertrauen als ein wichtiger Faktor bei der Vertragsgestaltung Managed Security Services Provider. “Wenn Sie jemandem vertrauen, es ist mehr als nur ein Dollar-und-Cent-Gespräch – es geht um das Versprechen, das geehrt werden muss”, sagte er in einer E-Mail.

Lim Kay Heng, Direktor der IT-Sicherheit bei BT Frontline bemerkte in einer E-Mail, dass seriöse MSSPs besser wissen, als zu vermeiden, einen Verstoß zu melden, nur weil es keinen Anreiz gibt, dies zu tun, da das Überleben ihres Unternehmens “letztlich auf den vertrauensvollen Beziehungen aufgebaut wird “Im Laufe der Jahre mit verschiedenen Kunden etabliert.

Sollte die Tat entdeckt werden, wird der Schaden an der Marke der MSSP “zu hoch” sein, wies er darauf hin.

Sicherheit, FBI verhaftet angebliche Mitglieder von Crackas mit Attitude für Hacking US gov’t Beamten, Security, WordPress fordert die Nutzer jetzt zu aktualisieren kritische Sicherheitslücken, Sicherheit, White House ernennt erste Bundes-Chief Information Security Officer, Sicherheit, Pentagon für Cyber ​​kritisiert -Notfall Reaktion durch die Regierung Watchdog

Kunden engagieren sich ein MSSP auf der Grundlage, dass die Kunden nicht über die notwendigen internen Know-how und die Tiefe und Breite der Sicherheit Wissen um ständig wechselnde Sicherheitsbedrohungen zu behandeln “, sagte Lim.” Daher werden die Kunden wählen Sie eine MSSP, dass sie glauben Um die notwendigen Fähigkeiten zu haben, die Sicherheitsbedrohungen für sie zu verwalten.

Die wenigsten ihrer Bedenken sollte die MSSP sein, die eine Sicherheitsverletzung vor ihnen verbirgt.

Laut Lim, das vorgeschlagene Modell der Belohnung des Anbieters, wenn es die Partei, die den Bruch “ist wie ein Festpreis auf das Vertrauen” und Marke der MSSP.

In Asien, in dem Unternehmen auf Beziehung und Vertrauen aufgebaut sind, wird dieses Modell noch weniger wirksam sein.

Das zweite Modell zur Trennung der Präventions- und Detektionsfunktionen, so Lim, kann wirksam sein, wenn eine Echtzeit-Brucherkennung angewendet wird. Kunden, die sich für diesen Ansatz entscheiden, müssen klar definieren, Rollen und Zuständigkeiten zwischen den beiden MSSPs und bereit sein, für zusätzliche Ausrüstung, um ihre Umgebung hinzugefügt werden.

Die Kosten werden jedoch abschreckend sein.

“In Asien, wo einer der Hauptgründe für das Outsourcing von Managed- und Monitoring-Services für MSSPs langfristig eine Kostensenkung ist, wird es eine Herausforderung sein, die Kunden dieses 2-MSSP-Modells zu überzeugen”, so Lim.

E-Cops Mah fügte hinzu: “Die Kunden suchen nach einem einzigen vertrauenswürdigen Sicherheitsspezialisten, der ihr aktuelles Team erweitert und nicht zwei oder mehr Sicherheitsteams hat, die in einem Spiel von Warcraft zu verwalten sind Die nächste bessere Security-Service-Idol. ”

James Loo, Chief Information Officer von Logistik und Supply Chain Management-Unternehmen YCH Group, teilte in einer E-Mail, dass die Tochtergesellschaft des Unternehmens Y3Technologies, von denen er der Chief Operating Officer ist, “bereits alle Sicherheitsverletzungen gemeldet und korrigiert, wann immer für die Gruppe mit oder gebraucht Ohne Anreize oder Sanktionen “.

Unternehmen in der Supply-Chain-Management-Branche, sagte er, können nicht verlassen Sicherheit völlig an eine ausgelagerte Partei “aber müssen einige Verantwortlichkeiten zu tragen und haben einige Kontrolle”. Sie müssen auch nicht in Sicherheitsmaßnahmen aus Sicherheitsgründen, sondern um sicherzustellen, Kunden ihre Inventar und Produkte sind sicher in ihrer Obhut.

Es wird kein Ende der Polizei und … Sie können nicht wirklich von der Belohnung eines “Dieb” zu versuchen, in Ihr Haus Alltag zu brechen, um die Sicherheit zu testen profitieren “, sagte er.” Wählen Sie, welches Modell, das zu Ihren eigenen Sicherheitsziele passt Und verbringen und implementieren Sie Ihre Strategie für das Unternehmen.

Cathy Huang, Industrie-Analytiker bei Frost & Sullivan, fügte hinzu, dass es “unmöglich für MSSPs, die vollständige Haftung zu übernehmen” in der Outsourcing von Sicherheitsdiensten. Um dies zu umgehen, muss die Industrie “einen Konsens über ein gemeinsames Risiko- und Belohnungssystem finden”, sagte sie.

Über die Website Asia

FBI verhaftet angebliche Mitglieder von Crackas mit Haltung für das Hacken US gov’t Beamte

WordPress fordert Benutzer auf jetzt zu aktualisieren kritische Sicherheitslücken zu aktualisieren

White House ernennt ersten Chief Information Security Officer

Pentagon kritisiert für Cyber-Notfall-Reaktion durch die Regierung Watchdog