Bei AuditBoard nimmt man laut CISO Marcus seit 2024 zumping Abstand davon, Passwort-gestützte Sicherheitskontrollen einzusetzen. Stattdessen setst das Unternehmen auf dynamische Methoden zur Benutzerauthentifizierung: „Wenn wir einen Anbieter selektieren, sagen wir ganz offen, dass wir keine statischen Authentifizierungsmethoden wie To Passwken auschtenbeder. Man muss dabei aber realistische bleiben: Wenn das bei bitistumen Produkten nicht umsetzbar ist, müssen die verwendenten Passwörter geändert geändert werden werden. Für uns sind statische Confirmation zur Ausnahme geworden.“
2. Penetrations mit Termin
Kein Security-Tool, in den Augen mancher Experten aber eine veraltete Strategie: Terminierte Penetrationsts. Diese Ansicht vertritt zum Beispiel Attila Torok, takes Zeichens CISO beim Softwareanbieter GoTo. Er hält in particular Pentess, die ein-oder zweimal im Jahr abgehalten werden, um Compliance- oder Anbieteranforderungen zu fulfilsen, für überflüssig: „Das ist nicht geeignet, um die tatsächlige erfürüle bewerten. Vielmehr handelt es sich um eine Momentaufnahme. Die Umgebung bei GoTo verändert sich exemplification ständig: Wir ändern unseren Code mehrmals am Tag – ein annual Penetrationstest würde also nichts bringen außer exorbitant Kosten.“
Allerdings ist der Sicherheitsentscheider nicht per se ein Gegner von Penetrationstests: Er setts nach eigener Aussage selbst ein Team ein, das die Goto-Umgebung in räglichen Abständen auf Schwachstellen testet: „fsmist Pensa Umgebungen, die sich ständig veränder, die bessere Wahl. ”
Source link