Von Rohdaten zu verwertbaren Informationen: Sichtbarkeit und Beobachtbarkeit

(Di Marco Rottigni)
12/07/21

Es war einmal die traditionelle IT ... In einem klar definierten und begrenzten Unternehmensbereich existierten Server, Router, Switches, Workstations, Laptops, Firewalls und verschiedene andere digitale Einheiten nebeneinander.

Dieses Ökosystem hatte sehr spezifische, bewachte und verteidigte Verbindungen zur Außenwelt. Die Arbeit des Sicherheitsteams und seines Kapitäns (die Figur von Chief Information Security Officer - CISO) sollte Richtlinien und Verhaltensrichtlinien definieren, implementieren und überwachen, um Unfälle, Infektionen und Diebstahl sensibler Daten zu vermeiden; Gleichzeitig wird die operative Kontinuität und Effizienz der das Geschäft unterstützenden Systeme gewährleistet.

In den letzten Jahren haben sich zwei planetare Makrophänomene auf diese digitale Biodiversität ausgewirkt:

Ich rede von digitale Transformation und gesundheitlicher Notfall, eine explosive Kombination, die dieses Ökosystem auf extrem kurze und oft explosive Weise vorangebracht hat und eine beschauliche landwirtschaftliche Provinzstadt in den heterogenen und artenreichen Dschungel Zentralmadagaskars verwandelt hat. Generieren – wie wir oft auf Veranstaltungen und Konferenzen hören – einen Bedarf an digitale Sichtbarkeit; weil Sie nicht verwalten, kontrollieren, überwachen, sichern und schützen können, was Sie nicht wissen oder nicht sehen.

Absolut passendes, wahres, aktuelles Thema… aber unvollständig in seiner Artikulation.

Wenn wir die verschiedenen Umgebungen aufzählen, die heute ein Unternehmen jeder Branche und Größe charakterisieren, finden wir greifbare Beweise für diese bereits erwähnte Artenexplosion: Die traditionelle IT ist sicherlich immer noch ein Teil davon, flankiert von mobilen Einheiten wie Smartphones und Tablets; containerisierte Umgebungen, d. h. auf agilen Plattformen aufgebaut, um die für ihre Nutzbarkeit notwendigen Funktionalitäten zu fragmentieren On-Demand mit einer sich selbst anpassenden Skala basierend auf der Anzahl der Benutzer; Cloud-Projekte, wiederum unterteilt in Infrastruktur als ein Service (IaaS), Plattformen als Service (PaaS) e Software als Dienstleistung (SaaS); traditionelle Anwendungen, die so überarbeitet wurden, dass sie über das Web nutzbar sind; hochspezialisierte Tools, die über das Internet verbunden sind und die die Internet der Dinge und Industrielles Internet der Dinge.

Um die Notwendigkeit von Schnittstellen mit Betriebssystemen (z. B. Windows XP) und Schnittstellen (z. B. RS232 seriell, Centronics parallel ...) Kosten oder durch nicht vorhandene Updates.

Diese unvollständige Liste bietet eine gute Annäherung an die Komplexität der Herausforderung digitale Sichtbarkeit für ein modernes Unternehmen.

Die oft angedachte Lösung ist die Integration zweier Systeme: eine digitale Bestandsaufnahme, die möglichst automatisch aktuell gehalten wird – synchronisiert mit einem Tracking- und Change-Management-System, auch bekannt als Änderungsmanagement-Datenbank oder CMDB.

Das Ziel dieser Plattformen ist es, die gesamte digitale Landschaft sichtbar zu machen, vielleicht eine Kategorisierung von Arten zu ermöglichen – automatisiert oder nicht basierend auf Gruppierungsregeln; die beiden Anwendungsfälle, die normalerweise erfüllt werden, sind die Verteilung von Sensoren zum Sammeln aller Metadaten aus den Ressourcen und die zentral durchgeführte Kategorisierung in logische Perimeter.

Manchmal wird der Spezialisierungsgrad des Sensors selbst erhöht. Es ist nicht möglich, dieselben Techniken für sehr unterschiedliche Umgebungen wie Laptops unterwegs, Anwendungscontainer und SaaS-Umgebungen zu verwenden.

Um diese Sichtbarkeit aufzubauen, bleibt die Aufmerksamkeit darauf, wie die gesammelten Daten – auch wenn sie auf atomare Weise grob und unbedeutend sind – kombiniert sensibel werden und auf eine exponierte Angriffsfläche hinweisen können, von grundlegender Bedeutung; diese Aufmerksamkeit muss auch der Überprüfung des Sicherheits- und Vertraulichkeitsmodells gewidmet werden, mit dem diese Daten in den drei Momenten ihres Bestehens verarbeitet werden: Transit, Rest, Verarbeitung.

Neben der Sichtbarkeit ist jedoch das Konzept der Beobachtbarkeit.

Beobachtbarkeit beginnt dort, wo die Sichtbarkeit endet, verstanden als die Verfügbarkeit der von den Sensoren gesammelten Telemetrie, um ihren Wert zu steigern.

Normalerweise müssen die gesammelten Rohdaten indiziert und normalisiert werden, damit sie von einer Visualisierungsmaschine verarbeitet werden können. Anschließend werden die Ergebnisse im Dashboard abgefragt und organisiert.

Die Beobachtbarkeit ermöglicht es somit, die Rohdaten in Ansichten zusammenzusetzen, um die Informationen zu bilden, die nachverfolgt werden sollen - in dem Format, in dem sie angezeigt werden sollen.

Bei der Auswahl der technologischen Plattformen zur Unterstützung der Prozesse ist es wichtig, sich um diese Funktion zu kümmern und vor allem ihre Flexibilität zu bewerten: Die Aggregation normalisierter Metadaten auf dem digitalen Inventar ermöglicht die Unterstützung unzähliger Geschäftsprozesse: Verifikation der Software- und Hardwareverteilung, Forensik Untersuchungen, Bewertung der Sicherheitslage usw.

Eine letzte Eigenschaft, die eine gute Beobachtbarkeit charakterisiert, ist die Anreicherung des Kontexts einer Metadaten: Ausgehend von den vom Sensor gesammelten Metadaten wird ein Katalog von Informationen kombiniert, die vom Sensor nicht erfasst, aber durch Forschung kuriert werden.

So ist es beispielsweise möglich, die Liste der identifizierten Software mit Informationen zum End-of-Life oder End-of-Support zu kombinieren – und somit Einkaufs- oder Modernisierungsprozesse sowie Folgeinvestitionen oder Modernisierungsprogramme zu unterstützen ...

Oder kombinieren Sie Informationen darüber, wie angreifbar es ist oder sogar wenn es in den letzten Monaten angegriffen wurde, mit einem erkannten Netzwerkdienst – und unterstützen Sie so die Prozesse zur Behebung oder Risikominimierung.

Beteiligte an digitaler Inventarisierung sind zunehmend mit einer zunehmenden Komplexität der Umgebungen und der Vielfalt digitaler Arten konfrontiert.

Die Kombination aus Sichtbarkeit und Beobachtbarkeit erzeugt einen ganzheitlichen Wert in der Effektivität der Abfrage der überwachten Bevölkerung und erhöht die Geschwindigkeit und Agilität bei der Verfolgung und Überwachung aggregierter Informationen, die für die zu unterstützenden Prozesse von Interesse sind.

Damit all dies keine technologische Stilübung bleibt, müssen diese beiden Fähigkeiten mit dem kulturellen Wachstum des Unternehmens in Verbindung gebracht werden - übersetzt in das Bewusstsein des menschlichen Faktors, Teil einer Informationssicherheitskette zu sein: Was in der angelsächsischen Welt? ist als Name für "Wissensmanagement" bekannt.

Tatsächlich müssen Personal- und Unternehmenskultur mit der technologischen Entwicklung zusammenwachsen und die möglichen Risiken und Potenziale verstehen; jeder nimmt seine Rolle mit dem Bewusstsein wahr, in einer zunehmend agilen, komplexen und interferenziellen Umgebung zwischen den verschiedenen Systemen zu arbeiten.

Foto: Autor / Web