Die Panik und das eigentliche Problem

Ihre Organisation wird in Panik geraten. Die gesamte IT-Sicherheitsbranche ist in heller Aufregung wegen Zero-Day-Schwachstellen, Mikrosegmentierung und Zero Trust.

Ich wette, die sind alle so beschäftigt, herumzurennen, und wenn man davon ausgeht, dass ihr EA-Team langsam arbeitet, hat noch niemand auch nur einen Moment Zeit gehabt. um Hilfe gebeten.

Tsunamiwarnungen sind ein gutes Beispiel für dieses Muster. Sie werden frühzeitig herausgegeben – nicht um Panik zu schüren, sondern um Ihnen Zeit zum Handeln zu geben. Dort, wo ich lebe, Victoria, BC, Ich habe dieses Jahr bereits drei solcher Warnungen gesehen, jede mit 8–12 Stunden Vorwarnzeit. Falls Sie also noch nicht dazu aufgefordert wurden, sollten Sie sich beeilen. Wir haben nicht viel Zeit, und Sie müssen nicht warten. Es gibt mehrere Punkte im TOGAF ADM wobei die formale Methode eine unterstützt Selbstverfasste Anfrage für Architekturleistungen. Ich schätze den Pragmatismus, der dem Kern der TOGAF.

Wir stießen sofort auf die erste kritische Herausforderung unserer Methodik – welches Problem wollen wir analysieren? Phase A des ADM unterschied die 'Anfrage' (Anfrage für Architekturarbeiten) vom eigentlichen architektonischen Problem (Beschreibung der architektonischen Arbeit).

Nehmen wir uns eine Minute Zeit, um das in Phase A gewonnene Wissen weiterzuentwickeln.

Wir beginnen damit, die Realität unmissverständlich darzulegen.

Glasswing ist ein Reinraum. Die Angreifer haben keinen konkreten Plan für Zero-Day-Schwachstellen. KI-gestützte Code-Tools sind zwar hilfreich, benötigen aber dennoch viel Zeit, um den Quellcode des Universums zu durchsuchen. Insbesondere, wenn diese Durchsuchung vor dem Systemadministrator des LLM-Anbieters durch lokale Ausführung verborgen bleiben muss. Wir können davon ausgehen, dass die etablierten Angreifer auf den Patch warten.

Ein Hauptanbieter – derjenige, der die Kernbibliotheken und -systeme herstellt, die jeder nutzt – veröffentlicht einen Patch, und damit ist der Startschuss gefallen. KI-gestützte Entwicklung verkürzt die Zeitspanne zwischen Patch-Veröffentlichung und Ausnutzung einer Sicherheitslücke erheblich. Besonders dann, wenn zahlreiche Patches einen regelrechten Pfad zur begehrten Schwachstelle öffnen.

Wir können eher mit vagen "Sicherheitsupdates" als mit CVEs rechnen. Zumindest die faulsten Schadsoftware-Anbieter haben keine vorgezeichnete Roadmap. Allerdings müssen wir damit rechnen, im Dunkeln zu tappen. Wir werden weder Risiken einschätzen noch Prioritäten setzen können.

Dann gibt es noch die Sekundäranbieter. Diese gehören nicht zum Glasswing-Konzern und nutzen die Produkte des Hauptanbieters, um ihre eigenen Produkte zu entwickeln. Dazu gehören kommerzielle Anbieter, Plattformanbieter, Bibliotheksanbieter und die wirklich gefährlichen Anbieter – jene, die IT-Betriebssysteme bereitstellen. Unsere Sekundäranbieter starten zeitgleich mit den „Badnicks“.

Mindestens einige unserer Anbieter werden nicht in der Lage oder bereit sein, ihre Daten zurückzuportieren. Wir werden Benachrichtigungen erhalten, die sich insgesamt auf … belaufen. Die alte Version ist hoffnungslos kompromittiert, Sie müssen ein Update durchführen, das die Kompatibilität beeinträchtigt..

Wir werden also mit kaskadierenden Patches in unserer gesamten Systemarchitektur konfrontiert sein. Erinnern Sie sich an Log4J? Jeder musste ein Log4J-Update erhalten. Stellen wir uns nun 10 Log4J-Installationen gleichzeitig vor. Oder 100.

Wir stehen vor synchronisierte Belichtung, garantierte Verspätung, und die kaskadierende, schichtübergreifende Patchverteilung. Selbst wenn wir einen Angreifer in einer maßgeschneiderten Legacy-Umgebung mit Maschinengeschwindigkeit übertreffen könnten, besteht das erste Problem darin, dass wir latente Schwachstellen haben werden, da die Patches kaskadierend durch die Schicht verteilt werden. Unser kritisches Problem ist nicht Wie man schneller patcht. Das Problem besteht darin, eine garantierte Verzögerung zu überstehen.

Dies ist kein Problem des Schwachstellenmanagements mehr – es ist ein Architekturproblem, das durch Zeit, Verzögerung und das Überleben unter asymmetrischer Geschwindigkeit definiert ist.

Keine Fehlkorrekturen

Wir müssen Anleitungen zum Überleben bewaffneter... garantierter Lag.

Phase B, Phase C, und Phase D Alle beginnen mit dem gleichen Schritt: Man muss herausfinden, welche Architekturmodelle und Referenzmodelle einem helfen, das Problem zu verstehen und einen Ausweg zu finden.

Um ehrlich zu sein, war meine Tafel am ersten Morgen mit dem Standard gefüllt. Sicherheitsarchitektur Materialien. Ich hatte NIST-, MITRE ATT&CK- und OWASP10-Unterlagen. Ich hatte Kritzeleien und Notizen.

Dann schaute ich genauer hin Überlebende bewaffnete Verzögerung. Ich schüttelte den Kopf. In jedem Workshop zum Engagement von Interessengruppen Ich fordere unseren Kunden mit der Frage heraus: 'Wer hat das gesagt?“ die Priorität'?

Ich ließ mich vom Hype mitreißen. Weil ich einen Tsunami voraussah, nahm ich an, wir müssten alle in Panik geraten. Ich projizierte meine Annahmen, Prioritäten und Vorlieben auf andere.

Also habe ich meine SABSA-Unterlagen herausgeholt und sie mir angesehen. Risiko. Konkret haben wir uns mit der Risikobereitschaft und den wichtigsten Risikoindikatoren (KRIs) befasst. Wir mussten den Kernfehler der meisten Risikoanalysen überwinden, uns auf die Risikobereitschaft der Stakeholder zu konzentrieren und stattdessen die KRIs zu betrachten. KRIs sind zukunftsorientiert. Der Punkt, an dem wir uns befinden werden, und raten Sie uns, die notwendigen Maßnahmen zu ergreifen, um im Rahmen der Risikobereitschaft bleiben.

Nicht in Sicherheit bringen. Sich in Sicherheit bringen. Risikobereitschaft.

Es ist ein subtiler Punkt, aber genau an diesen subtilen Punkten liefern etablierte Best-Practice-Frameworks wie SABSA, DAMA und TOGAF ihre Stärken. bewährte Vorgehensweise.

Wir akzeptieren ein hohes Risiko Geschäfte machen. Wir verkaufen an Kunden auf Kredit. Wir stellen Leute ein, die wir noch nie getroffen haben. Wir setzen uns für Projekte ein. Jeden Tag fahre ich mit dem Fahrrad durch eine stark frequentierte Touristenzone.

Mehr Sicherheit

Woran können wir erkennen, ob wir sicherer sind? Lesen Verizons DBIR, Mandiant und Microsoft Digital Defense Report 2025 hat uns drei Tests abgestraft sicherer. Wir kamen zu dem Schluss, dass die Sicherheit pragmatisch verbessert wird durch:

1. Reduzierung des unbefugten Zugriffs
   Angreifer verschaffen sich durch kompromittierte Zugangsdaten und Fehlkonfigurationen Zugang.
2. Reduzierung der unbefugten Verweildauer
   Unentdeckter Zugriff und unbefugte Berechtigungen schaffen ein latentes, sich verstärkendes Risiko
3. Verringerung des potenziellen Wirkungsradius unbefugten Zugangs
   Zusätzlicher Zugang (seitlicher Wechsel) wird üblicherweise durch das Auffinden von mehr Zugriff während Wohnung.

Zugang und Verweildauer wirkten sich verstärkend aus. Die laterale Bewegung scheint in IT-Betriebssystemen besonders empfindlich auf kompromittierte Zugangsdaten zu reagieren.

Unsere Risikobereitschaft

So, da sind wir nun. Der erste Bericht, den ich gelesen habe, lautete: Zero Trust! Es ist an der Zeit, das Thema Mikrosegmentierung ernst zu nehmen. Im Ernst. Wir haben ein Tsunami-Signal. Wir haben keine Ahnung, wie stark die Flutwelle sein wird oder wann sie eintrifft. Der Rat lautet, einen Weg weiterzuverfolgen, auf dem wir in einem Jahrzehnt der Bemühungen keine nennenswerten Fortschritte erzielt haben.

In jeder Tirade eines Fachexperten steckt der Kern einer guten Idee. Doch diese gute Idee muss mit der Realität in Einklang gebracht werden.

Zunächst zu unseren Webanwendungen. Sie kennen sicher die unzähligen Port-443-/HTTPS-Verbindungen, die es Fremden ermöglichen, Befehle an unsere Unternehmenssoftware zu senden. Oder die etwas beunruhigenderen internen Verbindungen, bei denen unsere Mitarbeiter ihre Laptops anschließen und... interne Webanwendungen die eine implizite Identität haben. Ja, implizite Identität, weil die Firmenlaptop Wird genutzt. Sie kennen doch diesen Laptop, der die ganze Woche über WLAN-Hotspots durchstöbert und wahllos Webanwendungen aufgerufen hat. Schauen Sie sich Zscalar oder Phishing-Berichte an – diese Laptops tauchen immer wieder bei Fremden auf. Und doch bilden sie die Grundlage der Unternehmensidentität.

Zweitens, das Altlasten-Segment. Die 30 Jahre alten, individuell angepassten Altsysteme mit ihrer hohen Entropie. Das ist, als würde man unsere Sicherheitsleute anweisen, Kriminelle anhand der Überwachungskameras am Bahnhof Tokio zu finden. Man darf nicht vergessen, dass 5.000 Menschen zufällig … Mit jemandem zusammenstoßen für jeden Taschendiebstahl.

Nun, sehen wir der harten Realität ins Auge – was ich eben beschrieben habe, ist innerhalb unserer Risikotoleranz. Vielleicht ist es so Gelb, in den KRI-Begriffen von SABSA. Wahrscheinlich, Das ist Grün!

SABSA Mathematik & Stakeholder-Entscheidung

Im letzten Jahrzehnt haben die meisten Unternehmen Kompromisse gemacht und in ... gelebt. Orange Für Sicherheit und Ausfallsicherheit. Bestehende Systeme generieren Gewinne. Reparaturen beeinträchtigen diese fragilen Einnahmequellen. Vorgeschlagene Lösungen bringen uns tatsächlich nicht weiter. Grün. Stattdessen treiben sie unsere Risikobereitschaft im Bereich der Resilienz auf Rot. Niemand wählt Rot. Niemand.

Meine erste Frage lautet also: Hat der Glasswing-Schock unsere Sicherheitslage mit voller Wucht in die falsche Richtung gelenkt? RotLiegen wir außerhalb unserer Risikotoleranz? Meine SABSA-Schulung ist eindeutig. Die Regel ist unumstößlich: Man kann nicht bewusst im roten Bereich bleiben. Man muss alles stehen und liegen lassen und direkt in den grünen Bereich stürmen.

Du bist zu risikofreudig. Ich fahre vielleicht Fahrrad. durch Victorias Touristenzone und eine Hauptstraße entlang mit einem markierter Radweg. Ich mache das nicht zur Hauptverkehrszeit. Während der Hauptverkehrszeit versucht jeden Tag jemand unabsichtlich, mich umzubringen. Ich nutze den Vorteil, dass ich in der Pazifikzeit wohne und in der Ostküstenzeit arbeite. Wenn ich um 14:30 Uhr (17:30 Uhr Ostküstenzeit) nach Hause fahre, gibt es nur einen einzigen Mordversuch an mir. einmal pro Woche. Und das ist innerhalb meiner Risikobereitschaft.

An diesem Punkt verliert die Analyse ihren Wert – nur noch eine innerhalb der Risikobereitschaft liegende Empfehlung ist noch sinnvoll.

Na und bringt uns zu Grün?

Wir haben drei Maßnahmen empfohlen:

• Installieren Sie eine automatisch aktualisierte WAF auf jeder Weboberfläche im Legacy-Bereich
  Die kommerziellen WAF-Anbieter befinden sich im Reinraum. Wir gehen davon aus, dass sie Aktualisierungen im Minutentakt koordinieren werden.
• Leiten Sie jede API, die mit Geschäftspartnern interagiert, über ein API-Gateway.
• Setze einen Kanarienvogel in jedes Perimeter—ein System ohne jeglichen legitimen Nutzen, das uns unwiderlegbar etwas Schlechtes mitteilen wird auf der Suche nach Zugang Indem sie einfach nach Zugriff suchen. Selbst wenn sie kompromittierte Administratoranmeldeinformationen verwenden oder eine implizite Laptop-Identität auf einen Canary-Test stoßen, ist es unbestreitbar – ein Angreifer versucht, sich unbemerkt in veraltete Systeme einzuschleichen.

Wir haben zwei schwierige Fragen gestellt:

• Ist es in Ordnung, wenn ältere Anwendungen nicht mehr funktionieren, wenn bekannte unrechtmäßige Unterschriften Werden diese für normale Transaktionen verwendet, und die automatisch aktualisierte WAF blockiert sie?
• Werden Sie die sofortige Sperrung der Netzwerkrechte für jedes System anordnen, das sich als potenzieller Angreifer erweist? Unser schlimmster Fall wäre ein lauernder Angreifer, der vom stillen Spion zum Zerstörer wird, sobald er sich entdeckt fühlt.

Da bist du ja. zurück in Grün. Ich fahre ruhig mit dem Fahrrad zur Arbeit und akzeptiere einen Mordversuch pro Woche.

Sobald wir wieder im grünen Bereich sind, können wir uns anderen Maßnahmen zur Verbesserung unserer Sicherheitslage und Anwendungsstabilität widmen. Schließlich wollen wir, dass diese anfälligen Legacy-Systeme weiterhin Einnahmen generieren. Wir stehen vor realen geschäftlichen Herausforderungen – Zölle, Wettbewerb, Verbrauchervertrauen – und benötigen die Mittel. Es sind Änderungen geplant, die unsere Wettbewerbs- und Kostenposition verbessern und Sicherheit und Ausfallsicherheit schrittweise erhöhen werden.

Fazit zur Gestaltung des Glasswing Shock

In TOGAF-Begriffen ausgedrückt sind wir einfach von Architekt dies zu einem empfohlenes Ziel. Genau wie Claude Mythos urteilen wir nicht moralisch. Sie schildern mir den Kontext Ihres Unternehmens, Ihre Ziele, Leistungserwartungen, Einschränkungen und Risikobereitschaft und ich werde basteln Ihr bestes Ziel. Das ist Best Practice EA—Unsere Stakeholder tragen sowohl das Gewinn- als auch das Verlustrisiko. Als Enterprise-Architekt Ich gebe hervorragende Ratschläge. Ich spreche auch unangenehme Wahrheiten aus. Wenn sie sich entscheiden, stehe ich voll und ganz hinter ihrer Entscheidung, als wäre es meine eigene. Schließlich ist ihre Entscheidung die maßgebliche Entscheidung des Unternehmens, getroffen von einem autorisierten Entscheidungsträger.

Ich hoffe, Ihnen hat die Reise gefallen. Mein Team hat das in ein paar Tagen geschafft. Unterwegs mussten wir immer wieder zurückrudern. urteilsfrei. Ja, ich habe eines Tages Überstunden gemacht und bin mitten im Berufsverkehr Rad gefahren. Ich habe sogar die Aufnahmen meiner Fahrradkamera von den darauf folgenden Mordversuchen. Im Ernst, auf dem Radweg zu fahren ist gefährlich!

Hier ist also deine Herausforderung. Ich weiß, du willst der Beste sein. Enterprise-Architekt In Ihrem Unternehmen. Ich weiß, Sie wünschen sich die beeindruckenden Erfolgsgeschichten, von denen ich immer erzähle. Ehrlich gesagt, sie warten nur darauf, dass Sie die Best Practices unserer Branche anwenden. Packen Sie es an! Sagen Sie Ihren Stakeholdern die Wahrheit. Ich weiß, das erfordert persönlichen Mut.

Wenn man die Rechnung aufstellt, bleiben die fanatischen Fachexperten und Cassandras Vor dem Büro des Chefs. Kassandras, die auf das Chaos hinweisen, arbeiten kostenlos im Internet. Ihre Aufgabe ist es, die Zahlen zu berechnen und eine Empfehlung abzugeben, die Ihr Unternehmen in eine bessere Position bringt. Könnte sein zurück zu Grün. Möglicherweise erschließen sie einen neuen Markt.

Glaub mir. Sie warten auf gute Ratschläge.

Zum Schluss werfen wir einen Blick nach vorn. Wenn Claude Mythos Das Gut im Lesen von Code und im Entwickeln funktionierender Systeme – sich durch unerwartete APIs navigieren und funktionalen Code ohne jegliche Skrupel schreiben … verdammt, ich will auch so etwas! Ich will diese KI an meiner Seite. Ich würde ihr gerne noch ein paar weitere Einschränkungen auferlegen und sie Sicherheit, Ausfallsicherheit und Modularität demonstrieren lassen. Ich will eine moderne, hochperformante, automatisch getestete CI/CD-Pipeline. KI-gestützte Entwicklung verändert die Spielregeln für Testen und Ausfallsicherheit für immer. Meine nächste Generation digitaler Produkte wird … wiedergeboren sicher.

Rechnen Sie es durch. Lenken Sie den Wandel.

Ich wünsche ihnen einen wunderbaren Tag!

Grüße,

Dave

Dave Hornford
Conexiam

PS: Falls Sie es eilig haben, schauen Sie sich doch mal unsere Workshop zur Architektur-Governance Oder lasst uns über die Erstellung eines dynamischen Fahrplans sprechen. Die Eindämmung muss nicht lange dauern.