1.000.000$ für Security-Team
Richard Beijtlich hat sich in seinem Blog TaoSecurity dem Thema gewidmet, was man in Sachen Security mit 1.000.000$ anfangen kann. Zunächst hat er in seinem Beitrag Black Hat Budgeting die Angreiferseite unter die Lupe genommen (1.000.000$ für Angreifer-Team). Im Blog-Beitrag White Hat Budgeting betrachtet er nun die Seite der Verteidiger.
Und so sieht die Projekt- und Ressourcenplanung aus:
Eckdaten:
Name des Projekts: Project Intrusion Prevention
Ziel des Projekts: Informationsdiebstahl verhindern
Budget: 1.000.000$
Personalplanung:
Anteil am Gesamtbudget: 850.000$
Das sind 100.000$ mehr als im Angreifer-Team
Team-Leiter (120.000$):
Erfahrung in der Verteidigung von Enterprise-Systemen. Sollte sich mit allen Fachgebieten des Teams auskennen. Aufgabe: Vision für das Team entwickeln, Management und Strategie-Planung.
3 Incident-Response-Experten (110.000$)
Einer mit Schwerpunkt Windows Betriebssystem, einer für Unix und einer für die Aspekte der Netzwerkinfrastruktur.
Security-Operator (80.000$)
Entwicklung und Anwendung von Gegenmaßnahmen. Steht den anderen Team-Mitgliedern für Unterstützung zur Verfügung.
Bedrohungs-Analyst (120.000$)
Reverse Engineering von Schadsoftware und Überwachung von Aktivitäten in der Angreifer-Szene. Wissensmanagement innerhalb des gesamten Teams.
2 Analysten (200.000)
Zwei Analysten spielen in simulierten Umgebungen Angriffe auf die genutzten Systeme durch.
Materialplanung:
Anteil am Gesamtbudget: 100.000$
Kostenlose Add-Ons: Bei diesem knappen Budget geht kein Weg daran vorbei, auf alle verfügbaren On-Board-Mittel zurückzugreifen und nur an den Stellen zu investieren, wo keine Tools zur Verfügung stehen.
Open-Source: An den Stellen, an denen keine On-Board-Mittel mitgeliefert werden muss zunächst auf Open-Source zurückgegriffen werden.
Hardware: Ein gewisser Anteil des Budgets muss zunächst in Hardware fließen – da geht kein Weg vorbei. Möglicherweise können Teile der Datenhaltung auf kostenlosen Speichern ausgelagert werden. So bleibt mehr Geld für andere Hardware.
Die Materialplanung muss mit wenig Geld zurecht kommen – Know How ist wichtiger!
Sonstiges:
50.000$ stehen für Schulungen, Reisekosten, Team-Boni etc. zur Verfügung.
“Mit so einem kleinen Team gibt es keine Möglichkeit für eine 27/7-Schichtfähigkeit. Eine 40-Stunden-Woche ist alles was man bekommen kann. Die Fähigkeit des Teams Angriffe zeitnah zu entdecken und darauf zu reagieren sinkt proportional zum Wachstum der Firma. Ein Team aus acht Verteidigern kommt an seine Grenzen, wenn die Firma mehr als 10.000 Mitarbeiter hat”, schreibt Richard Beijtlich zu den Fähigkeiten des zusammengestellten Teams.
Stellt man die beiden Ansätze für ein Security-Team und für ein Angreifer-Team nebeneinander, fällt schnell auf: Die Angreifer schöpfen scheinbar aus dem Vollen und können sogar Gewinne erzielen, während die Verteidiger schnell an die finanziellen Grenzen stoßen. Wenn die Verteidiger 99% der Schwachstellen schließen und 1% übersehen, dann waren sie erfolglos. Wenn die Angreifer 99% der Schwachstellen übersehen und nur 1% ausnutzen, haben sie ihr Ziel erreicht. Wenn nicht beim einen Unternehmen, dann eben bei einem anderen.
—
Der Frage der wirtschaftlichen Betrachtung von Informationssicherheit habe ich mich schon in diesen Beiträgen gewidmet:
- Ihr Berufseinstieg als Hacker (644.000$ Jahresgehalt) gepostet am 23.07.2009
- Bestandteile des Business Case Information Security gepostet am 11.07.2009
- 1.000.000$ Budget für ein Angreifer-Team gepostet am 02.07.2009
- Was kostet die Verteidigung? gepostet am 01.07.2009
- Neues für die Cybercrime-Preisliste: GOLDEN CA$H, gepostet am 19.06.2009
- Für 55 Millionen Dollar kostenlos telefonieren, gepostet am 17.06.2009
- Was kostet denn nun ein Angriff? gepostet am 15.06.2009
- Manuskript zum Business Case Information Security fertiggestellt, gepostet am 21.05.2009
