Sicherheitsvalidierung ROI: Rechtfertigung von Investitionen in die Cybersicherheit

In einem kürzlich erschienenen Artikel in The Hacker News berichtete Shawn Baird, stellvertretender Direktor für Offensive Security & Red Teaming bei DTCC, wie er dem leitenden Management erfolgreich den ROI der Sicherheitsvalidierung vermittelte und die Finanzierung für eine automatisierte Plattform für Sicherheitstests sicherte.

Da die Sicherheitsbudgets steigen, stehen Unternehmen zunehmend unter Druck, Investitionen in die Cybersicherheit mit greifbaren Geschäftsergebnissen zu rechtfertigen. Sicherheitsverantwortliche müssen über die Compliance-getriebene Sicherheit hinausgehen und einen messbaren Wert nachweisen – Kosteneinsparungen, betriebliche Effizienz und Risikominderung. Baird erläuterte die wichtigsten Strategien, die ihm dabei halfen, die Ergebnisse der Sicherheitsvalidierung in einen finanziellen ROI umzuwandeln und die Zustimmung der Geschäftsleitung für kontinuierliche, automatisierte Tests zu gewinnen.

Der Business Case für die Sicherheitsvalidierung

Baird betonte, dass die Sicherheitsvalidierung nicht nur als ein weiteres Sicherheitsinstrument positioniert werden sollte, sondern vielmehr als eine geschäftskritische Funktion, die die Effizienz steigert, die Abhängigkeit von Drittanbietern reduziert und die Widerstandsfähigkeit gegen moderne Cyber-Bedrohungen stärkt.

„Bei DTCC haben wir schon lange Sicherheitsvalidierungen durchgeführt, aber wir brauchten eine Technologie, die unsere Bemühungen verstärken würde“, erklärte Baird. Anstatt sich ausschließlich auf teure, hochqualifizierte Ingenieure zu verlassen, die manuelle Validierungen durchführen, konnte das Team durch Automatisierung seine Testabdeckung erweitern. Durch die Implementierung einer automatisierten Sicherheitsvalidierungsplattform validierte DTCC kontinuierlich Sicherheitskontrollen, reduzierte die Belastung seines Red Teams und erweiterte Sicherheitstests über Standard-Penetrationstests hinaus, um echte ausnutzbare Schwachstellen und nicht nur theoretische Risiken aufzudecken.

Rechtfertigung der Rendite: Drei Kernbereiche der Wirkung

Das Team von Baird wies eine messbare Rendite der Sicherheitsvalidierung durch Produktivitätssteigerung, Kosteneinsparungen und Risikominderung nach.

Durch die Automatisierung manueller Sicherheitsbewertungen konnten sich die Ingenieure auf komplexe Aufgaben der Bedrohungsjagd konzentrieren und gleichzeitig die Testhäufigkeit ohne zusätzliche Mitarbeiter erhöhen. Die Sicherheitsingenieure verbrachten weniger Zeit mit der Durchführung von Tests und mehr Zeit mit der Analyse von Bedrohungen.

Durch die Verlagerung der Validierung in das Unternehmen wurde auch die Abhängigkeit von externen Penetrationstestfirmen verringert. Das Team verwendete ein vorhandenes Budget für manuelle Pentests für die kontinuierliche Validierung, sodass Analysten mit weniger offensivem Fachwissen hochwertige Sicherheitstests durchführen konnten.

Die kontinuierliche Validierung reduziert die Gefährdung durch reale Cyber-Bedrohungen, indem sie fortlaufende Tests anstelle von regelmäßigen Bewertungen ermöglicht. Die DTCC stärkte ihre Abwehr von Ransomware, indem sie reale Angriffsszenarien sicher testete. Laut dem „Cost of a Data Breach Report 2023“ von IBM konnten Unternehmen, die proaktive Risikomanagementstrategien anwenden, die Kosten für Datenschutzverletzungen um 11 % senken.

Überwindung interner Hindernisse: Umgang mit Sicherheitsbedenken

Eine der größten Hürden bei der Bereitstellung einer automatisierten Sicherheitsvalidierungsplattform war die Genehmigung durch das Architekturprüfungsgremium der DTCC. Die Idee, automatisierte Exploits in einer Produktionsumgebung auszuführen, warf zunächst Bedenken hinsichtlich der Betriebsrisiken auf.

Um dieses Problem zu lösen, entschied sich das Sicherheitsteam für eine schrittweise Implementierung. Zunächst wurden Tests in begrenztem Umfang an nicht kritischen Systemen durchgeführt, um die Sicherheit der Plattform zu demonstrieren. Anschließend wurde die Plattform zusammen mit vorhandenen Tools in Red-Team-Einsätze integriert, um ihre Wirksamkeit zu validieren. Schließlich wurde die Nutzung schrittweise auf kritische Assets ausgeweitet, nachdem sich ihre Zuverlässigkeit bewährt hatte. Durch die Gewährleistung einer strukturierten, risikogesteuerten Einführung gewann DTCC das Vertrauen der Organisation in automatisierte Tests und ebnete den Weg für eine umfassende Einführung.

Budgetierungsstrategie: Wo die Sicherheitsvalidierung passt

Die Sicherung der Budgetgenehmigung erforderte die Positionierung von Pentera als Teil der offensiven Sicherheitsstrategie von DTCC, zusammen mit Red-Teaming-Tools, Schwachstellenscannern und Lösungen für die Simulation von Angriffen und Sicherheitsverletzungen (BAS).

Eine direkte Kosten-Nutzen-Analyse ergab, dass die jährlichen Ausgaben von DTCC in Höhe von 150.000 US-Dollar für Ransomware-Tests in die kontinuierliche Sicherheitsvalidierung umgeleitet wurden. Dies ermöglichte häufigere Tests bei gleichen Kosten und erweiterte die Testmöglichkeiten, ohne die Ausgaben für Cybersicherheit zu erhöhen.

Mehr als nur ROI: Zusätzliche Geschäftsvorteile

Baird hob mehrere langfristige Vorteile hervor, die über den finanziellen ROI hinausgehen. Durch die Automatisierung sich wiederholender Tests wurde das Burnout-Risiko reduziert, sodass sich die Sicherheitsingenieure auf strategischere Aufgaben konzentrieren konnten. Auch die Zusammenarbeit zwischen Red Teams, Blue Teams und SOC-Teams verbesserte sich, was zu schnelleren Reaktionszeiten führte.

Die Umstellung auf eine kontinuierliche Validierung trug zur Straffung von Compliance-Audits bei, indem sie leicht verfügbare Validierungsdaten für Rahmenwerke wie NIST, ISO 27001 und PCI DSS bereitstellte. Darüber hinaus nutzte DTCC die Sicherheitsvalidierung, um seine Prämien für Cyberversicherungen zu senken, was die finanziellen Vorteile der Investition noch verstärkte.

Wichtige Erkenntnisse für Sicherheitsverantwortliche

Unternehmen, die eine Budgetgenehmigung für die automatisierte Sicherheitsvalidierung beantragen, empfiehlt Baird, sich auf Geschäftsergebnisse und nicht nur auf Sicherheitsverbesserungen zu konzentrieren. Die Positionierung von Sicherheitsinvestitionen in Bezug auf Kosteneinsparungen, betriebliche Effizienz und Risikominderung kommt bei den Führungskräften besser an. Sicherheitsverantwortliche sollten auch hervorheben, wie kontinuierliche Tests mit den Compliance-Anforderungen in Einklang stehen, und die Risiken von Untätigkeit betonen, darunter gestohlenes geistiges Eigentum, Betriebsstörungen und Rufschädigung.

Branchenforschung kann dazu beitragen, den Business Case zu stärken. Berichte wie „Cost of a Data Breach“ von IBM, „Hype Cycle for Security Operations“ von Gartner und das MITRE ATT&CK-Rahmenwerk bieten wertvolle Einblicke in die Vorteile einer kontinuierlichen Sicherheitsvalidierung.

Berechnen Sie Ihre Rendite für die Sicherheitsvalidierung

Da Unternehmen immer genauer auf ihre Cybersicherheitsbudgets geprüft werden, müssen Sicherheitsverantwortliche den geschäftlichen Nutzen ihrer Investitionen nachweisen. Die automatisierte Sicherheitsvalidierung bietet einen datengestützten Ansatz zur Rechtfertigung von Sicherheitsausgaben, indem sie Kostensenkungen, eine höhere betriebliche Effizienz und ein minimiertes Risiko von Sicherheitsverletzungen aufzeigt.

Für DTCC führte die Einführung der Pentera-Plattform für die Sicherheitsvalidierung zu erweiterten Tests ohne Erhöhung der Mitarbeiterzahl, zu geringeren Kosten für Tests durch Dritte, zu einer verstärkten Abwehr von Ransomware durch reale Angriffssimulationen und zu einer optimierten Audit-Bereitschaft.

Für Sicherheitsverantwortliche, die ein überzeugendes Geschäftsszenario für eine kontinuierliche Sicherheitsvalidierung erstellen möchten, dient der Ansatz von Baird als bewährtes Modell, um die Genehmigung des Budgets zu sichern und die Rendite der Cybersicherheit zu maximieren. Erfahren Sie mehr darüber, wie Sie die Rendite der Sicherheitsvalidierung nachweisen können – senken Sie die Kosten und sichern Sie sich die Zustimmung der Geschäftsleitung.

Lesen Sie den Originalartikel auf The Hacker News hier.

Messung des ROI in der Cybersicherheit

Quelle: Pentera-Blog