Vulnerability Management im Fokus: Der CISO, der ARM Beine machte

Foto: megaflopp – shutterstock.com

Die weltumspannende WannaCry-Attacke im Jahr 2017 war ein Weckruf für den Chiphersteller ARM. Mehr als zwei Wochen brauchte das Unternehmen, um die Ransomware loszuwerden. Die Reaktionszeit machte jahrelange Unzulänglichkeiten in Sachen Schwachstellen-Management offensichtlich. CISO Tim Fitzgerald formuliert seine Aufgabenstellung: “Die Reaktionsfähigkeit des Unternehmens war beeinträchtigt. Die Herausforderung bestand darin, dass die Kernsysteme ständig auf Hochtouren liefen. Jede Ausfallzeit für Patches war für die IT-Abteilung ein Problem. Meine Aufgabe war es, das zu beheben.”

Fitzgerald kam im September 2017 als erster CISO zu ARM. Die Position wurde nach Einschätzung des Managers geschaffen, weil das Unternehmen erkannt habe, dass sowohl in Sachen Reaktionsfähigkeit als auch Security Operations allgemein Optimierungspotenzial vorhanden war. Der CISO und sein Team haben unter dieser Maßgabe messbare Erfolge erzielt, wobei das Vulnerability Management das Aushängeschild darstellt.

Fokus auf Patching

Fitzgerald begann damit, sich zunächst auf die Sicherheitsgrundlagen zu konzentrieren: “Wenn die Grundlagen richtig umgesetzt werden – was schwieriger ist, als es scheint – beseitigt das einen großen Teil des Risikos. Die Security kann sich dann auf den verbleibenden Teil konzentrieren, der speziellere Fähigkeiten und Strategien erfordert.” Vor diesem Hintergrund versuchte der CISO zunächst, das Patching-Programm von ARM transparenter zu gestalten und die Prozesse zu optimieren. “Aufgaben wie diese stellen oft eine Herausforderung dar – aber bei ARM war diese aufgrund der Geschäftsziele und der technischen Umgebung besonders schwierig umzusetzen”, erzählt der Manager.

Der Chiphersteller stützt sich auf eine hochkomplexe Hochleistungs-Recheninfrastruktur, die mehrere hunderttausend CPUs umfasst und kontinuierlich zu mehr als 95 Prozent ausgelastet ist. “Es gibt dort eine Menge Systeme, die gewartet werden müssen, und zwar zusätzlich zur Unternehmensinfrastruktur. Diese Systeme sind für die Prüfung und Validierung unserer Produkte von entscheidender Bedeutung – es gibt also keine Toleranz für Ausfallzeiten”, erklärt Fitzgerald.

Foto: Arm

Das führte dazu, dass das Patching immer wieder verzögert wurde – das Unternehmen verfolgte einen Business Case, bei dem die strengen Produktentwicklungsanforderungen über die Patch-Zeitpläne gestellt wurden. Doch das hatte seinen Preis: Der Fokus auf Hochverfügbarkeit nahm dem Unternehmen die Fähigkeit, Risiken und Schwachstellen schnell und effektiv zu managen und führte darüber hinaus zu wachsenden technischen Schulden und mangelnder organisatorischer Belastbarkeit. Die Bedrohung durch WannaCry brachte die ganze Ineffizienz der Prozesse ans Licht: “Wir sind mehr Risiken eingegangen, als wir wollten, und haben viele Ressourcen verbrannt, weil wir nicht über die richtigen Prozesse verfügten”, fasst Fitzgerald zusammen.

Davon abgesehen stieß der CISO auf weitere Probleme: Das Security Team hatte nur einen unzureichenden Einblick in die IT-Infrastruktur und zwischen den Fachbereichen herrschten Spannungen. Zeitgleich verzeichnete ARM – wie alle anderen Unternehmen – eine steigende Zahl von Angriffsversuchen. Fitzgeralds Vision: “Sicherstellen, dass wir alle Systeme in unserer Umgebung kennen, dass wir sie patchen und gleichzeitig in Betrieb halten können.”

Akzeptanzerzeugung

Anfang 2018 begann der CISO damit, diese Vision umzusetzen. Dabei habe er sich zuerst mit dem Faktor Mensch befasst, so der Manager. “Es ging darum, die Mitarbeiter einzubinden, die mit den richtigen Tools auszustatten und die Teams zur Zusammenarbeit zu motivieren.”

Dabei merkt der CISO an, dass er der Unternehmensleitung seine Vision von der Operational Excellence verkaufen musste, obwohl diese das Verbesserungspotenzial erkannt hatte: “Es war sehr viel Engagement und Einflussnahme erforderlich. Insbesondere war Überzeugungsarbeit nötig, dass Operational Excellence erreicht werden kann, ohne die Verfügbarkeit zu beeinträchtigen.”

Security und Engineering gingen die Probleme und deren Lösungen gemeinsam an und entwickelten dabei auch ein gemeinsames Interesse und ein gemeinsames Verantwortungsgefühl. Anschließend wurden die Prozesse so umgestaltet, dass die Security Patches einspielen kann, ohne die Umgebung vom Netz zu nehmen – eine Schlüsselkomponente für den Erfolg dieser Initiative.

“Die Lösung konnte nicht darin bestehen, das Patching zu beschleunigen. Wir mussten uns überlegen, wie wir diese Aufgabe bewältigen, ohne die Umgebung herunterzufahren. Wir mussten das System also so umgestalten, dass wir on the fly patchen können. Nun verfügen wir über eine neu gestaltete Struktur, die ein iteratives Patching ermöglicht. Darin liegt die eigentliche Innovation.”

Erfolgssammlung

Fitzgerald stellte auch neue Mitarbeiter ein. Sein Sicherheitsteam wurde von drei auf 35 Mitarbeiter aufgestockt, während das Team für Bedrohungs- und Schwachstellenmanagement von einem auf fünf Mitarbeiter wuchs. Um die Workloads stemmen zu können, zog der CISO die Teams für Engineering, Produktentwicklung und Security zusammen – zudem investierte er in eine Vulnerability-Management-Plattform, die dem Security Team bei ARM einen ganzheitlichen Blick auf das Unternehmen – und damit eine Priorisierung der Security Tasks – ermöglicht. “Die neue Plattform lieferte dem Team auch gleich einen Erfolgsnachweis – die Vulnerability Scores liegen inzwischen in einem akzeptablen Bereich”, erzählt der Sicherheitsentscheider.

Die Initiative des CISO führte zu weiteren, messbaren Verbesserungen:

• die technische Ausfallzeit für Patches sank von 100 Prozent auf 0 Prozent,

• die Zeit für die Behebung kritischer Schwachstellen sank von durchschnittlich 14 Tagen auf 72 Stunden, und

• die Transparenz der Assets innerhalb der IT-Infrastruktur stieg um 50 Prozent auf 100 Prozent.

Gleichzeitig gelang es dem Sicherheitsteam, 748.097 Schwachstellen in mehr als 26.000 Assets zu beheben. Durch diese Verbesserungen ist das Unternehmen widerstandsfähiger geworden: Die ungeplanten Ausfallzeiten haben sich nahezu halbiert. Darüber hinaus habe der Erfolg des Vulnerability-Management-Programms für ein Umdenken bei ARM gesorgt, so der CISO: “Die Initiative hat uns zum Business Enabler gemacht. Die Security-Abteilung wird nun als starker Partner wahrgenommen.” (fm)

Dieser Beitrag basiert auf einem Artikel unserer US-Schwesterpublikation CSO Online.