Les lois immuables de la sécurité

  • Article

Les lois immuables originales de la sécurité ont identifié des vérités techniques clés qui ont mis en évidence les mythes de sécurité répandus de ces époques. Dans cet esprit, nous avons mis à jour ces lois axés sur l’arrêt des mythes dans le monde actuel du risque de cybersécurité omniprésent.

Depuis les lois immuables originales, la sécurité des informations s’est développée d’une discipline technique à une discipline de gestion des risques de cybersécurité qui inclut les appareils cloud, IoT et OT. Maintenant, la sécurité fait partie du tissu de nos vies quotidiennes, des discussions sur les risques commerciaux, des élections, etc.

Comme beaucoup d’entre nous dans l’industrie ont suivi ce parcours vers un niveau plus élevé d’abstraction, nous avons vu des modèles de mythes courants, de préjugés et de taches aveugles émergent à la couche de gestion des risques. Nous avons décidé de créer une nouvelle liste de lois pour le risque de cybersécurité tout en conservant les lois d’origine (v2) comme c’est le cas (avec un simple léger changement de « mauvais gars » à « mauvais acteur » pour être entièrement correct et inclusif).

Chaque ensemble de lois traite de différents aspects de la cybersécurité : conception de solutions techniques saines et gestion d’un profil de risque d’organisations complexes dans un environnement de menace toujours changeant. La différence dans la nature de ces lois illustre également la nature difficile de la navigation dans la cybersécurité en général ; les éléments techniques tendent vers l’absolu alors que le risque est mesuré en probabilité et en certitude

Étant donné qu’il est difficile de faire des prédictions (surtout à propos de l’avenir), nous suspectons que ces lois évolueront avec notre compréhension du risque de cybersécurité.

10 Lois sur le risque de cybersécurité

  1. La réussite de la sécurité ruine le retour sur investissement de l’attaquant - La sécurité ne peut pas atteindre un état absolument sécurisé afin de les dissuader en perturbant et en dégradant leur retour sur investissement (ROI). Augmentez le coût de l’attaquant et réduisez le retour de l’attaquant pour vos ressources les plus importantes.
  2. Ne pas tenir à l’arrière - La sécurité est un parcours continu, vous devez continuer à avancer, car il devient continuellement moins cher et moins cher pour les attaquants de prendre le contrôle de vos ressources. Vous devez continuellement mettre à jour vos correctifs de sécurité, stratégies de sécurité, sensibilisation aux menaces, inventaire, outils de sécurité, hygiène de sécurité, surveillance de la sécurité, modèles d’autorisation, couverture de la plateforme et tout autre élément qui change au fil du temps.
  3. La productivité gagne toujours : si la sécurité n’est pas facile pour les utilisateurs, ils trouvent des solutions de contournement pour accomplir leur travail. Vérifiez toujours que les solutions sont sécurisées et utilisables.
  4. Les attaquants ne se soucient pas : les attaquants utilisent n’importe quelle méthode disponible pour accéder à votre environnement et augmenter l’accès à vos ressources, notamment compromettre une imprimante réseau, un thermomètre de réservoir de poissons, un service cloud, un PC, un serveur, un Mac, un appareil mobile, influencer ou tromper un utilisateur, exploiter une erreur de configuration ou un processus opérationnel non sécurisé, ou simplement demander des mots de passe dans un email de hameçonnage. Votre travail consiste à comprendre et à retirer les options les plus simples et les moins chères ainsi que les options les plus utiles. Ces méthodes incluent tout ce qui peut entraîner des privilèges d’administration sur de nombreux systèmes.
  5. La hiérarchisation sans pitié est une compétence de survie : personne n’a suffisamment de temps et de ressources pour éliminer tous les risques pour toutes les ressources. Commencez toujours par ce qui est le plus important pour votre organisation, le plus intéressant pour les attaquants et mettez à jour en permanence cette hiérarchisation.
  6. La cybersécurité est un sport d’équipe : personne ne peut tout faire, donc toujours se concentrer sur les choses que vous seul (ou votre organisation) pouvez faire pour protéger la mission de votre organisation. Pour les choses que d’autres peuvent faire mieux ou moins cher, faites-les faire (fournisseurs de sécurité, fournisseurs de cloud, communauté).
  7. Votre réseau n’est pas aussi fiable que vous le pensez : une stratégie de sécurité qui s’appuie sur les mots de passe et la confiance de n’importe quel appareil intranet n’est que légèrement mieux qu’aucune stratégie de sécurité du tout. Les attaquants évitent facilement ces défenses, de sorte que le niveau de confiance de chaque appareil, utilisateur et application doit être prouvé et validé en continu à partir d’un niveau de confiance zéro.
  8. Les réseaux isolés ne sont pas automatiquement sécurisés . Même si les réseaux à air gapé peuvent offrir une sécurité forte lorsqu’ils sont gérés correctement, les exemples réussis sont extrêmement rares, car chaque nœud doit être complètement isolé du risque extérieur. Si la sécurité est suffisamment critique pour placer des ressources sur un réseau isolé, vous devez investir dans des atténuations pour résoudre les problèmes de connectivité potentiels via des méthodes telles que les supports USB (par exemple, requis pour les correctifs), les ponts vers le réseau intranet et les appareils externes (par exemple, les ordinateurs portables du fournisseur sur une ligne de production) et les menaces internes susceptibles de contourner tous les contrôles techniques.
  9. Le chiffrement seul n’est pas une solution de protection des données : le chiffrement protège contre les attaques hors bande (sur les paquets réseau, les fichiers, le stockage, etc.), mais les données ne sont pas aussi sécurisées que la clé de déchiffrement (force de clé + protections contre le vol/copie) et d’autres moyens d’accès autorisés.
  10. La technologie ne résout pas les problèmes de personnes et de processus - Bien que l’apprentissage automatique, l’intelligence artificielle et d’autres technologies offrent des sauts étonnants en matière de sécurité (lorsqu’elles sont appliquées correctement), la cybersécurité est un défi humain et ne peut pas être résolu par la technologie seule.

Référence

Lois immuables de la sécurité v2

  • Loi #1 : si un acteur malveillant peut vous persuader d'exécuter son programme sur votre ordinateur, il ne s'agit plus uniquement de votre ordinateur.
  • Loi #2 : si un acteur malveillant peut modifier le système d'exploitation de votre ordinateur, ce n'est plus votre ordinateur.
  • Loi #3 : si un acteur malveillant a un accès physique illimité à votre ordinateur, ce n'est plus votre ordinateur.
  • Loi #4 : si vous autorisez un mauvais acteur à exécuter du contenu actif dans votre site web, ce n’est plus votre site web.
  • Loi #5 : les mots de passe faibles trompent la sécurité forte.
  • Loi #6 : un ordinateur n'est sûr que si l'administrateur est digne de confiance.
  • Loi n°7 : la sécurité des données cryptées dépend de la clé de décryptage.
  • Loi n°8 : un scanneur de logiciels anti-malveillants obsolète n'est que marginalement meilleur que l'absence de scanneur.
  • Loi n° 9 : l'anonymat absolu n'est pas réalisable dans la pratique, que ce soit en ligne ou hors ligne.
  • Loi #10 : la technologie n'est pas une panacée.