Tools zur Erfüllung und Aufrechterhaltung der SOC 2-Konformität
Die Einhaltung von System- und Organisationskontrollen (SOC) 2 ist mehr als nur ein einfacher Prozess, der einmalig implementiert wird, um ein Audit zu bestehen. Permanente Verfahrensänderungen sind mühsam und zeitaufwändig, aber sie sind notwendig, um sicherzustellen, dass das Unternehmen ein SOC-2-Audit bestehen kann. Es geht um mehr als nur darum, einem Wirtschaftsprüfer einen Papiernachweis zu liefern. Sie müssen über die richtigen Kontrollen und Tools verfügen, um die Konformität dauerhaft aufrechtzuerhalten, sonst riskieren Sie einen Verstoß gegen die Konformitätsstandards. Der Verlust der SOC-2-Konformität ist für die meisten Unternehmen keine Option, doch mit den richtigen Tools können Sie die Konformität aufrechterhalten und die kontinuierliche Einhaltung bei künftigen Audits erleichtern.
Inhalt
- Ein kurzer Überblick über SOC 2
- Erfüllung der SLA-Standards
- Nachverfolgung von Metriken zur Feststellung der Konformität
- KPIs, die sich auf andere Metriken auswirken
- Tools zur Einhaltung von Vorschriften
- Schlussfolgerung
Ein kurzer Überblick über SOC 2
Für Unternehmen, die sich mit der Einhaltung der SOC-Richtlinien befassen, kann die Menge der zu berücksichtigenden Informationen überwältigend sein. Es könnte den Anschein erwecken, dass alles überarbeitet werden muss. Die meisten Organisationen arbeiten auf SOC 2 oder SOC 3 Konformität. Der Hauptunterschied zwischen SOC 2- und SOC 3-Konformität besteht darin, dass die SOC 3-Auditberichte öffentlich zugänglich gemacht werden. Die Anforderungen für beide Arten sind die gleichen, aber SOC 3 wird in der Regel auf der Website des Anbieters öffentlich zugänglich gemacht. Die Cloud-Plattform von Google ist beispielsweise SOC-3-konform und die Berichte können auf folgender Website eingesehen werden ihrer Website.
SOC-2-Audits konzentrieren sich auf die Fähigkeit Ihres Unternehmens, Daten zu sichern, und auf die Kontrollen, die zur Gewährleistung der ständigen Verfügbarkeit und Integrität Ihrer Kundendaten eingesetzt werden. Die fünf wichtigsten Grundsätze eines Audits sind:
- Datenschutz: Sichert Ihr Unternehmen den Datenschutz durch Zugriffskontrollen, Multi-Faktor-Authentifizierung (MFA) und Verschlüsselung?
- Sicherheit: Verhindern Sie mit Firewalls, Intrusion Detection und MFA den Zugriff von Angreifern auf Daten?
- Verfügbarkeit: Beinhaltet Ihre Infrastruktur Leistungsüberwachung, Disaster Recovery und die Fähigkeit, Vorfälle zu verwalten?
- Integrität der Verarbeitung: Umfassen Ihr Softwareentwicklungszyklus (SDLC) und Ihre Änderungskontrolle Qualitätssicherung und Prozessüberwachung?
- Vertraulichkeit: Beinhaltet die Datenspeicherung Verschlüsselung, Zugangskontrollen und Firewalls zum Schutz vor unbefugten Benutzern?
Beachten Sie, dass die SOC 2-Konformität keine Zertifizierung wie andere Konformitätsstandards ist. Es handelt sich um eine Prüfung Ihrer aktuellen Verfahren und Infrastruktur, um sicherzustellen, dass Sie einen hohen Standard an Datensicherheit und -verfügbarkeit erfüllen.
Erfüllung der SLA-Standards
In der Eile, mit der die Cybersicherheitsinfrastruktur überprüft und erweitert wird, werden die Standards für Service Level Agreements (SLA) oft übersehen. SLAs sind die Versprechen, die Sie Ihren Kunden geben, und diese Versprechen sind vertraglich bindend und müssen eingehalten werden. Wenn Sie Ihren Kunden beispielsweise eine 5-tägige Lösungszeit für ein mittelschweres Problem versprechen, muss es innerhalb dieses Zeitrahmens gelöst werden, sonst verpassen Sie Ihr SLA-Ziel.
Unter KernelCaresind wir sowohl Kunde als auch Anbieter. Wir erbringen Dienstleistungen für Kunden, aber unsere internen IT-Mitarbeiter müssen interne Mitarbeiter unterstützen und SLAs einhalten, die durch unsere eigenen Standards und Versprechen an interne Mitarbeiter festgelegt wurden. Da wir sowohl Kunde als auch Anbieter sind, wissen wir, wie wichtig die Einhaltung von SLAs ist und wie wichtig es ist, angemessene Erwartungen zu setzen.
SLAs können zwar ausgehandelt werden, aber sobald der Vertrag unterzeichnet ist, müssen sich die Unternehmen unbedingt um die Einhaltung der SLA-Anforderungen bemühen. SLA-Anforderungen und -Kennzahlen werden in der Regel in internen Anwendungen wie Ticketing-Systemen nachverfolgt. Eine solche SLA-Anforderung ist die Betriebszeit und deckt den SOC-2-Prüfungsgrundsatz für die Verfügbarkeit ab.
Nachverfolgung von Metriken zur Feststellung der Konformität
Für Unternehmen, die sich um die Einhaltung der Vorschriften bemühen, besteht einer der ersten Schritte darin, Berichte zu erstellen und Kennzahlen in Form von Key Performance Indicators (KPIs) zu sammeln. Mit Hilfe von KPIs werden mehrere verschiedene Metriken für alle IT-Systeme gemessen. Anhand von KPIs können Sie feststellen, wo Sie überragende Leistungen erbringen und wo es Verbesserungspotenzial gibt. Sie können Ihnen auch sagen, wo Sie sich auf bessere Strategien konzentrieren und Engpässe beseitigen müssen.
Ein gängiger KPI, der bei der Einhaltung von SOC 2 verwendet wird, ist die Messung der Betriebszeit. Betriebszeit (oder Systembetriebszeit) ist die Zeit, die ein System das ganze Jahr über verfügbar ist. Bei dem System kann es sich um einen Server, eine Netzwerkausrüstung oder einen Speicher handeln. Jede Ausfallzeit wirkt sich auf diese Kennzahl aus, einschließlich geplanter Wartungsarbeiten, die den Dienst offline nehmen und einen Neustart erfordern.
Um eine hervorragende Bewertung der Betriebszeitverfügbarkeit zu erreichen, streben die Anbieter eine Anzahl von Neunen. Je mehr Neunen der Prozentsatz der Betriebszeit beträgt, desto besser ist die Qualität der Betriebszeit und Verfügbarkeit, die ein Anbieter seinen Kunden bieten kann. Ein Unternehmen, das beispielsweise nur 52,60 Minuten Ausfallzeit pro Jahr versprechen kann, hat eine Verfügbarkeit oder Betriebszeit von 99,99 % oder vier Neunen. Je geringer die Ausfallzeit ist, desto höher ist der Prozentsatz der Betriebszeit. Alle Unternehmen streben 100 % an, aber in der Realität treten immer wieder Probleme auf, die einen Dienst unerwartet ausfallen lassen, und sei es nur für ein paar Millisekunden, und die Überwachung, die Warnmeldungen und die Reaktion der Mitarbeiter sind entscheidend für die Behebung der SLAs.
Die Betriebszeit ist nicht die einzige Kennzahl, die bei der Überprüfung der Einhaltung der Vorschriften verwendet wird. In der Regel haben Organisationen mehrere KPIs, die sie verfolgen, um die Wirksamkeit der aktuellen Verfahren zu bestimmen. Dazu gehören auch einige andere Metriken:
- Die Anzahl der Anwendungen, die für CVEs (Common Vulnerability Exposures) anfällig sind, getrennt nach Schweregrad (z. B. Hoch, Mittel, Niedrig).
- Durchschnittliche Zeit, die benötigt wird, um anfällige Software einschließlich des Betriebssystems zu patchen
- Verfügbarkeit nach Dienst
- Host- oder Netzlast und Latenzzeit
KPIs, die andere Metriken beeinflussen
In einigen Fällen kann es vorkommen, dass Sie widersprüchliche KPIs haben, die das Wasser trüben und es schwierig machen, zu bestimmen, was vor sich geht. Ein gängiger KPI ist die berüchtigte "Schwachstellenlücke", d. h. die Zeit, die benötigt wird, um ein System zu patchen, sobald eine Überprüfung ergibt, dass die Software anfällig oder veraltet ist. Diese Lücke vergrößert sich mit jeder Stunde, die verstreicht, während das System nicht gepatcht ist.
Unternehmen, die das Patching verzögern, könnten diese Kennzahl als zu hoch für die Einhaltung der Vorschriften empfinden. In der Regel wird das Patching für einen bestimmten Tag im Monat (oder möglicherweise jede Woche) geplant. Das Problem ist, dass Schwachstellen inzwischen öffentlich bekannt sind und einige mit Exploit-Code angekündigt werden. Durch die Verzögerung von Software-Updates bleibt der Server anfällig und offen für Angriffe. Im Jahr 2019 werden 60 % der Datenverletzungen durch Sicherheitslücken verursacht, für die ein Patch verfügbar war.
Eine KPI-Kennzahl kann sich auf eine andere auswirken und mehrere Ziele vereiteln. So können beispielsweise die Sicherheitslücke und die durchgeführten Patches die Betriebszeit beeinträchtigen, wenn der Server neu gestartet werden muss. Da täglich neue CVEs bekannt gegeben und Patches bereitgestellt werden, kann es für Unternehmen schwierig werden, Schritt zu halten und einen Neustart zu vermeiden, der dann zu Ausfallzeiten führt, die die SLAs beeinträchtigen. Wenn Sie beispielsweise ein System innerhalb von 30 Tagen patchen müssen und jede geplante Patch-Sitzung einen Neustart erfordert, sinkt Ihre Betriebszeitquote.
Tools zur Einhaltung von Vorschriften
Eine gute Strategie zur Einhaltung der Compliance und zur Einhaltung der SLA-Anforderungen ist die Automatisierung. Durch Automatisierung können viele Probleme erkannt werden, bevor sie zu kritischen Verstößen gegen die Vorschriften führen. Sie können auch zur Behebung einiger Probleme eingesetzt werden, z. B. beim Patching. Automatisierte Tools für die Patch-Verwaltung lassen sich gut mit vielen der auf dem Markt erhältlichen Tools zum Scannen von Sicherheitslücken integrieren, so dass sie zusammen eingesetzt werden können, um die Sicherheitslücke zu schließen.
Wenn Schwachstellen manuell gepatcht werden, kann dies für Administratoren eine große Belastung darstellen. Sie müssen Berichte lesen, die richtige Softwareversion bestimmen, die Patches testen und dann in der Produktion einsetzen. In einem Unternehmen mit Hunderten von Servern würde dies ein ganzes Team erfordern, das sich Vollzeit um das Patching kümmern würde. Dieses System wäre eine Verschwendung von Ressourcen für das Unternehmen, wenn Automatisierungstools zur Verfügung stehen. Anstatt manuell zu patchen, sparen Automatisierungstools Zeit und Ressourcen.
Hier sind einige Tools, die KernelCare verwendet, um die SOC 2-Konformität zu erfüllen und die Sicherheit auf jedem Server zu verbessern:
- Tenable Nessus: Nessus ist einer der beliebtesten Schwachstellen-Scanner auf dem Markt. Er scannt Ihr Netzwerk und findet Schwachstellen, einschließlich nicht gepatchter Software.
- Ivanti: Ivanti erkennt Assets und verwaltet die Patching-Automatisierung.
- KernelCare: Wir verwenden unser eigenes Produkt, um Software, einschließlich Bibliotheken von Drittanbietern und den Linux-Kernel, mit Patches zu versorgen. Zusätzlich zum automatischen Patchen von Software ist KernelCare eine Lösung ohne Neustart, d. h. die Server müssen nach dem Patchen nicht neu gestartet werden. Mit diesem Service können wir die Betriebszeit so hoch wie möglich halten, ohne dass wir aufgrund von Reboot-Ausfallzeiten Prozentpunkte verlieren.
Schlussfolgerung
Die Aktualisierung von Servern mit den neuesten Patches für Sicherheitslücken ist eine Voraussetzung für die Einhaltung von Vorschriften, aber auch für die Einhaltung von SLAs für die Betriebszeit. Dieser Konflikt kann es für Unternehmen schwierig machen, die richtigen Tools zu finden und Verfahren zu entwickeln, die allen Anforderungen gerecht werden. Durch Automatisierung, einschließlich Rebootless Patching, können Unternehmen einen hohen Prozentsatz an Betriebszeit einhalten und gleichzeitig anfällige Systeme innerhalb von 30 Tagen patchen. Das Ergebnis ist, dass diese Tools Sie nach einem Audit der SOC-2-Konformität ein gutes Stück näher bringen.