不変のセキュリティの法則

  • [アーティクル]

元の不変のセキュリティ法は、当時の一般的なセキュリティ神話を破った重要な技術的真理を特定しました。 その精神の中で、我々はユビキタスなサイバーセキュリティリスクの今日的な世界で神話を壊すことに焦点を当てたこれらの法律を更新しました。

元の不変の法律以来、情報セキュリティは技術的な規範から、クラウド、IoT、OT デバイスを含むサイバーセキュリティリスク管理規範へと成長しました。 現在、セキュリティは、日常生活、ビジネス リスクのディスカッション、選挙などのファブリックの一部です。

業界の私たちの多くは、この体験をより高いレベルの要約まで追っていたため、一般的な錯覚、偏見、盲点のパターンがリスク管理の層に出現するところを経験しました。 当社は元の法則(v2)を現状維持しながら、サイバーセキュリティ リスクの新しい法則のリストを作成することにしました("悪者"を"悪いアクター"に変えるという 1 つのわずかな変更点を伴って完全に正しくて包括的になるように)。

各法則のセットは、サイバーセキュリティのさまざまな側面を扱います。絶えず変化する脅威環境で健全な技術的ソリューションの設計と、複雑な組織のリスク プロファイルの管理を比較します。 これらの法律の性質の違いはまた、一般的にサイバーセキュリティを移動することの困難な性質を示しています。技術的要素へは絶対に向かう傾向があり、リスクは確率と確実性で測定されます

予測 (特に将来について) を行うのが難しいため、これらの法律はサイバーセキュリティ リスクに対する理解と共に進化すると考えられます。

10 サイバーセキュリティリスクに関する法律

  1. セキュリティの成功は攻撃者の ROIを損ねる - セキュリティは絶対に安全な状態を実現できないため、投資収益率(ROI)を中断して低下させることによって活動を妨害します。 攻撃者のコストを増やし、最も重要なアセットに対する攻撃者のリターンを減らします。
  2. これに追いつけないのは遅れています 。セキュリティは継続的な体験であり、攻撃者がアセットを正常に制御するために、継続的にコストが安くなるため、前進し続ける必要があります。 セキュリティ パッチ、セキュリティ戦略、脅威認識、インベントリ、セキュリティ ツール、セキュリティ検疫、セキュリティ監視、アクセス許可モデル、プラットフォームカバレッジ、および時間の経過と同時に変更するその他もろもろを継続的に更新する必要があります。
  3. 生産性は常に優先されます 。セキュリティがユーザーにとって簡単でない場合は、作業を完了するための回避策を見つけます。 ソリューションが安全で また 使用可能であることを常に確認してください。
  4. 攻撃者は気にしません 。攻撃者は、ネットワーク接続されたプリンター、フィッシュタンク温度計、クラウド サービス、PC、サーバー、Mac、モバイル デバイス、ユーザーへの影響や悪用、構成ミスや安全でない運用プロセスの悪用、フィッシングメールでのパスワードの要求など、利用可能なメソッドを使用して環境にアクセスし、アセットへのアクセスを増やします。 あなたの仕事は、最も簡単で安いオプションだけでなく、最も便利なものを理解し、取り除くことです。 これらのメソッドには、多くのシステムで管理特権につながる可能性のあるものが含まれます。
  5. 冷酷な優先度付けは存続スキル です - 誰もすべてのリソースに対するすべてのリスクを排除するのに十分な時間とリソースを持っていません。 組織にとって最も重要なものと攻撃者にとって最も興味を惹くものから常に開始し、この優先度付けを継続的に更新します。
  6. サイバーセキュリティはチーム スポーツ - すべてこなせる人はいないため、組織のミッションを守るためにユーザー(または組織)だけができることに常に焦点を当てます。 他のユーザーが上手くまたは安いコストでこなせることがある場合、そのユーザーに対応してもらいましょう(セキュリティ ベンダー、クラウド プロバイダー、コミュニティ)。
  7. ネットワークは思うほど信頼性が高くない - パスワードに依存してイントラネット デバイスを信頼するセキュリティ戦略は、セキュリティ戦略を一切使用しない状況とは大して変わりません。 攻撃者はこれらの防御施策を簡単に回避できるため、各デバイス、ユーザー、アプリケーションの信頼レベルは、ゼロトラストレベルから開始して継続的に確認と検証する必要があります。
  8. 分離されたネットワークは安全とは限りらない - エアギャップされたネットワークは正しく保守されていると強力なセキュリティを発揮できますが、各ノードを外部リスクから完全に分離する必要があるため、成功した事例は非常にまれです。 分離されたネットワークにリソースを配置しなければならないほどセキュリティが重要な場合、USB メディア(パッチに必要なものなど)、イントラネット ネットワークのブリッジ、外部デバイス(実稼働ライン上のベンダー ノート PC など)、すべての技術的制御を回避する可能性がある内部関係者による脅威などの方法を介した潜在的な接続に対処するため、軽減策に投資する必要があります。
  9. 暗号化だけではデータ保護ソリューションではありません。暗号化は帯域外攻撃 (ネットワーク パケット、ファイル、ストレージなど) から保護されますが、データは解読キー (キー強度 + 盗難/コピーからの保護) やその他の認可されたアクセス手段と同じくらい安全です。
  10. テクノロジは人を解決したり、問題を処理したりしません 。機械学習、人工知能、その他のテクノロジはセキュリティの飛躍的な進歩を提供しますが (正しく適用される場合)、サイバーセキュリティは人間の課題であり、テクノロジだけでは解決できません。

リファレンス

不変なセキュリティの法則 v2

  • 法則 #1 悪いアクターがユーザーのコンピューターに自分のプログラムを実行するように勧誘できる場合、そのコンピューターは完全にユーザーのものではなくなります。
  • 法則 #2 悪いアクターがユーザーのコンピューター上のオペレーティングシステムを変更できる場合、そのコンピューターはユーザーのものではなくなります。
  • 法則 #3 悪いアクターがユーザーのコンピューターに対して無制限に物理的なアクセスを行える場合、そのコンピューターはユーザーのものではなくなります。
  • 法則 #4 悪いアクターが Web サイト上でアクティブコンテンツを実行することを許可する場合、その Web サイトはユーザーのものではなくなります。
  • 法則 #5 脆弱なパスワードは強力なセキュリティより優れています。
  • 法則 #6 コンピュータの安全性は管理者の信頼性と同等に過ぎません。
  • 法則 #7 暗号化されたデータの安全性は復号化キーと同等に過ぎません。
  • 法則 #8 古いマルウェア対策スキャナーは、スキャナーを一切使用しない状態とは大して変わりません。
  • 法則 #9 絶対的匿名性は、オンラインでもオフラインでも、実質的には実現できません。
  • 法則 #10 テクノロジは万能の解決策ではありません。