Hukum keamanan yang tidak dapat diubah

Hukum asli keamanan yang tidak dapat diubah mengidentifikasi kebenaran teknis utama yang menangkap mitos keamanan yang lazim pada saat itu. Dalam semangat itu, kami menerbitkan serangkaian undang-undang pelengkap baru yang berfokus pada penghancuran mitos yang lazim dalam dunia risiko keamanan cyber di mana-mana saat ini.

Sejak undang-undang asli yang tidak dapat diubah, keamanan informasi telah berkembang dari disiplin teknis menjadi disiplin manajemen risiko keamanan cyber yang mencakup perangkat cloud, IoT, dan OT. Sekarang, keamanan adalah bagian dari struktur kehidupan kita sehari-hari, diskusi risiko bisnis, dan pemilu.

Karena banyak dari kita di industri mengikuti perjalanan ini ke tingkat abstraksi yang lebih tinggi, kita melihat pola mitos umum, bias, dan ketidakpastian muncul pada lapisan manajemen risiko. Kami memutuskan untuk membuat daftar undang-undang baru untuk risiko keamanan cyber sambil mempertahankan hukum asli (v2) apa adanya (dengan sedikit perubahan "orang jahat" menjadi "pelaku jahat" untuk sepenuhnya benar dan inklusif).

Setiap set undang-undang berkaitan dengan berbagai aspek keamanan cyber, merancang solusi teknis yang sehat vs. mengelola profil risiko organisasi kompleks di lingkungan ancaman yang selalu berubah. Perbedaan sifat hukum ini juga menggambarkan sifat sulit menavigasi keamanan cyber secara umum. Elemen teknis cenderung terhadap absolut, sementara risiko diukur dalam kemungkinan dan kepastian.

Karena sulit untuk membuat prediksi, terutama tentang masa depan, kami menduga undang-undang ini mungkin berevolusi dengan pemahaman kami tentang risiko keamanan cyber.

Sepuluh Hukum Risiko Keamanan Cyber

1. Keberhasilan keamanan merusak ROI penyerang - Keamanan tidak dapat mencapai keadaan aman yang sempurna, jadi menghalangi mereka dengan mengganggu dan menurunkan Return on Investment (ROI) mereka. Tingkatkan biaya penyerang dan kurangi pengembalian penyerang untuk aset terpenting Anda.
2. Tidak mengikuti ketertinggalan – Keamanan adalah perjalanan berkelanjutan. Anda harus terus bergerak maju karena akan terus lebih murah bagi penyerang agar berhasil mengendalikan aset Anda. Anda harus terus memperbarui patch keamanan, strategi, kesadaran ancaman, persediaan, alat, pemantauan, model izin, cakupan platform, dan hal lain yang berubah dari waktu ke waktu.
3. Produktivitas selalu menang - Jika keamanan tidak mudah bagi pengguna, mereka mengerjakannya untuk menyelesaikan pekerjaan mereka. Selalu pastikan solusi aman dan dapat digunakan.
4. Penyerang tidak peduli - Penyerang menggunakan metode yang tersedia untuk masuk ke lingkungan Anda dan mengakses aset Anda, termasuk printer jaringan, termometer tangki ikan, layanan cloud, PC, server, Mac, atau perangkat seluler. Mereka memengaruhi atau mengelabui pengguna, mengeksploitasi kesalahan konfigurasi atau proses operasional yang tidak aman, atau hanya meminta kata sandi dalam email phishing. Tugas Anda adalah memahami dan mengambil opsi termampukan, termurah, dan paling berguna, seperti apa pun yang mengarah pada hak istimewa administratif di seluruh sistem.
5. Prioritas kejam adalah keterampilan bertahan hidup - Tidak ada yang memiliki cukup waktu dan sumber daya untuk menghilangkan semua risiko pada semua sumber daya. Selalu mulai dengan apa yang paling penting bagi organisasi Anda atau yang paling menarik bagi penyerang, dan terus memperbarui prioritas ini.
6. Keamanan cyber adalah olahraga tim - Tidak ada yang dapat melakukan semuanya, jadi selalu fokus pada hal-hal yang hanya dapat Anda (atau organisasi Anda) lakukan untuk melindungi misi organisasi Anda. Jika vendor keamanan, penyedia cloud, atau komunitas dapat melakukan yang lebih baik atau lebih murah, minta mereka melakukannya.
7. Jaringan Anda tidak dapat dipercaya seperti yang Anda pikirkan - Strategi keamanan yang bergantung pada kata sandi dan memercayai perangkat intranet apa pun hanya secara marginal lebih baik daripada kurangnya strategi keamanan. Penyerang dengan mudah menghindari pertahanan ini, sehingga tingkat kepercayaan setiap perangkat, pengguna, dan aplikasi harus dibuktikan dan divalidasi terus menerus, dimulai dengan tingkat kepercayaan nol.
8. Jaringan terisolasi tidak secara otomatis aman - Meskipun jaringan yang tersalurkan udara dapat menawarkan keamanan yang kuat ketika dipertahankan dengan benar, contoh yang berhasil sangat jarang terjadi karena setiap simpul harus diisolasi dari risiko luar. Jika keamanan cukup penting untuk menempatkan sumber daya di jaringan yang terisolasi, Anda harus berinvestasi dalam mitigasi untuk mengatasi potensi konektivitas melalui metode seperti media USB (misalnya, diperlukan untuk patch), jembatan antara jaringan intranet dan perangkat eksternal (misalnya, laptop vendor pada lini produksi), dan ancaman orang dalam yang dapat menghindari semua kontrol teknis.
9. Enkripsi saja bukan solusi perlindungan data - Enkripsi melindungi dari serangan di luar band (misalnya, paket jaringan, file, dan penyimpanan), tetapi data hanya seaman kunci dekripsi (kekuatan kunci + perlindungan dari pencurian/penyalinan), dan cara akses resmi lainnya.
10. Teknologi tidak memecahkan masalah orang dan proses - Meskipun pembelajaran mesin, kecerdasan buatan, dan teknologi lain menawarkan lompatan luar biasa ke depan dalam keamanan (ketika diterapkan dengan benar), keamanan cyber adalah tantangan manusia, dan tidak akan pernah diselesaikan oleh teknologi saja.

Referensi

Hukum Keamanan v2 yang Tidak Dapat Diubah

• Hukum #1: Jika aktor jahat dapat membujuk Anda untuk menjalankan program mereka di komputer Anda, itu bukan hanya komputer Anda lagi.
• Hukum #2: Jika aktor jahat dapat mengubah sistem operasi di komputer Anda, itu bukan komputer Anda lagi.
• Hukum #3: Jika aktor jahat memiliki akses fisik yang tidak terbatas ke komputer Anda, itu bukan komputer Anda lagi.
• Hukum #4: Jika Anda mengizinkan aktor jahat untuk menjalankan konten aktif di situs web Anda, itu bukan situs web Anda lagi.
• Undang-undang #5: Kata sandi lemah trump keamanan yang kuat.
• Hukum #6: Komputer hanya seaman administrator yang dapat dipercaya.
• Hukum #7: Data terenkripsi hanya seaman kunci dekripsinya.
• Hukum #8: Pemindai antimalware kedaluarsa hanya secara marginal lebih baik daripada tidak ada pemindai sama sekali.
• Hukum #9: Anonimitas absolut tidak dapat dicapai secara praktis, baik online atau offline.
• Hukum #10: Teknologi bukanlah mujarama.