Le leggi immutabili della sicurezza

Le leggi originali immutabili della sicurezza identificavano le verità tecniche chiave che sconvolse miti di sicurezza prevalenti di quei tempi. In questo spirito, stiamo pubblicando un nuovo insieme complementare di leggi incentrate sul busting prevalenti miti nel mondo odierno del rischio di cybersecurity onnipresente.

Dal momento che le leggi originali non modificabili, la sicurezza delle informazioni è cresciuta da una disciplina tecnica di gestione dei rischi per la cybersecurity che include dispositivi cloud, IoT e OT. Ora, la sicurezza fa parte del tessuto della nostra vita quotidiana, delle discussioni sui rischi aziendali e delle elezioni.

Come molti di noi nel settore hanno seguito questo percorso verso un livello superiore di astrazione, abbiamo visto modelli di miti, distorsioni e incertezza comuni emergono a livello di gestione dei rischi. Abbiamo deciso di creare un nuovo elenco di leggi per il rischio di cybersecurity mantenendo le leggi originali (v2) così com'è (con un unico leggero cambiamento di "cattivo" a "cattivo attore" per essere completamente corretto e inclusivo).

Ogni serie di leggi riguarda diversi aspetti della cybersecurity, la progettazione di soluzioni tecniche valide e la gestione di un profilo di rischio di organizzazioni complesse in un ambiente di minaccia in continua evoluzione. La differenza nella natura di queste leggi illustra anche la natura difficile di navigare nella cybersecurity in generale. Gli elementi tecnici tendono verso l'assoluto, mentre il rischio viene misurato in probabilità e certezza.

Poiché è difficile eseguire stime, soprattutto in merito al futuro, si sospetta che queste leggi possano evolversi con la comprensione del rischio di cybersecurity.

Dieci leggi sul rischio di cybersecurity

1. Il successo della sicurezza sta rovinando il ROI dell'utente malintenzionato: la sicurezza non riesce a ottenere uno stato sicuro perfetto, quindi scoraggiarli interrompendo e riducendo il ritorno sugli investimenti (ROI). Aumentare il costo dell'utente malintenzionato e ridurre il ritorno dell'utente malintenzionato per gli asset più importanti.
2. Non stare al passo è in ritardo : la sicurezza è un percorso continuo. È necessario continuare a spostarsi in avanti perché sarà continuamente più economico per gli utenti malintenzionati assumere correttamente il controllo delle risorse. È necessario aggiornare continuamente le patch di sicurezza, le strategie, la consapevolezza delle minacce, l'inventario, gli strumenti, il monitoraggio, i modelli di autorizzazione, la copertura della piattaforma e qualsiasi altro elemento che cambia nel tempo.
3. La produttività vince sempre: se la sicurezza non è facile per gli utenti, è possibile aggirarla per svolgere il proprio lavoro. Assicurarsi sempre che le soluzioni siano sicure e utilizzabili.
4. Gli utenti malintenzionati non sono interessati : gli utenti malintenzionati usano qualsiasi metodo disponibile per accedere all'ambiente e accedere agli asset, tra cui stampanti in rete, termometri del serbatoio di pesce, servizi cloud, PC, server, Mac o dispositivi mobili. Influenzano o ingannano gli utenti, sfruttano errori di configurazione o processi operativi non sicuri o semplicemente chiedono password in un messaggio di posta elettronica di phishing. Il tuo lavoro è comprendere e togliere le opzioni più semplici, più economiche e più utili, come qualsiasi cosa che porta a privilegi amministrativi in tutti i sistemi.
5. La priorità spietata è una competenza di sopravvivenza: nessuno ha abbastanza tempo e risorse per eliminare tutti i rischi per tutte le risorse. Iniziare sempre con ciò che è più importante per l'organizzazione o più interessante per gli utenti malintenzionati e aggiornare continuamente questa definizione di priorità.
6. Cybersecurity è uno sport di squadra: nessuno può fare tutto, quindi concentrarsi sempre sulle cose che solo l'utente (o l'organizzazione) può fare per proteggere la missione dell'organizzazione. Se i fornitori di sicurezza, i provider di servizi cloud o la community possono fare meglio o meno, farlo.
7. La rete non è affidabile come si ritiene : una strategia di sicurezza che si basa sulle password e l'attendibilità di qualsiasi dispositivo Intranet è solo marginalmente migliore della mancanza di strategia di sicurezza. Gli utenti malintenzionati evase facilmente queste difese, quindi il livello di attendibilità di ogni dispositivo, utente e applicazione deve essere dimostrato e convalidato continuamente, a partire da un livello di attendibilità zero.
8. Le reti isolate non sono automaticamente protette : mentre le reti air-gapped possono offrire una sicurezza assoluta quando vengono mantenute correttamente, gli esempi riusciti sono estremamente rari perché ogni nodo deve essere isolato dal rischio esterno. Se la sicurezza è sufficientemente critica da inserire risorse in una rete isolata, è necessario investire in mitigazioni per risolvere potenziali problemi di connettività tramite metodi quali supporti USB (ad esempio, necessari per le patch), bridge tra la rete Intranet e i dispositivi esterni (ad esempio, portatili fornitore su una linea di produzione) e minacce interne che potrebbero aggirare tutti i controlli tecnici.
9. La crittografia da sola non è una soluzione di protezione dei dati: la crittografia protegge da attacchi fuori banda (ad esempio, pacchetti di rete, file e archiviazione), ma i dati sono protetti solo come la chiave di decrittografia (forza della chiave + protezione dal furto/copia) e altri mezzi di accesso autorizzati.
10. La tecnologia non risolve i problemi di persone e processi: mentre l'apprendimento automatico, l'intelligenza artificiale e altre tecnologie offrono incredibili passi avanti nella sicurezza (se applicati correttamente), la cybersecurity è una sfida umana e non verrà mai risolta solo dalla tecnologia.

Riferimento

Leggi non modificabili della sicurezza v2

• Legge n. 1: Se un cattivo attore può convincere a eseguire il loro programma sul computer, non è più il tuo computer.
• Legge n. 2: Se un cattivo attore può modificare il sistema operativo nel computer, non è più il computer.
• Legge 3: Se un cattivo attore ha accesso fisico illimitato al computer, non è più il computer.
• Legge n. 4: se si consente a un cattivo attore di eseguire contenuti attivi nel sito Web, non è più il sito Web.
• Legge n. 5: Le password deboli superano la sicurezza avanzata.
• Legge n. 6: un computer è sicuro come l'amministratore è attendibile.
• Legge 7: I dati crittografati sono sicuri come la chiave di decrittografia.
• Legge n. 8: uno scanner antimalware non aggiornato è solo marginalmente migliore di nessun scanner.
• Legge n. 9: l'anonimato assoluto non è praticamente raggiungibile, online o offline.
• Legge 10: La tecnologia non è una panacea.