변경할 수 없는 보안 법률

원래 변경할 수없는 보안 법은 그 시대의 널리 퍼진 보안 신화를 체포 주요 기술적 진실을 확인했다. 그 정신으로, 우리는 유비쿼터스 사이버 보안 위험의 오늘날의 세계에서 널리 퍼진 신화를 파열에 초점을 맞춘 법률의 새로운 보완 세트를 게시하고 있습니다.

원래 변경할 수 없는 법률 이후 정보 보안은 기술 분야에서 클라우드, IoT 및 OT 디바이스를 포함하는 사이버 보안 위험 관리 분야로 성장했습니다. 이제 보안은 일상 생활, 비즈니스 위험 토론 및 선거의 구조의 일부입니다.

업계의 많은 사람들이 이 여정을 더 높은 수준의 추상화로 이어갔을 때, 우리는 일반적인 신화, 편견 및 불확실성의 패턴이 위험 관리 계층에서 나타나는 것을 보았습니다. 우리는 원래 법률 (v2)을 그대로 유지하면서 사이버 보안 위험에 대한 법률의 새로운 목록을 만들기로 결정했습니다 (완전히 정확하고 포괄적 인 "나쁜 사람"으로 "나쁜 사람"으로 약간 변경됨).

각 법률 집합은 사이버 보안의 다양한 측면을 다루며, 건전한 기술 솔루션을 설계하고 끊임없이 변화하는 위협 환경에서 복잡한 조직의 위험 프로필을 관리합니다. 이러한 법률의 특성의 차이는 일반적으로 사이버 보안 탐색의 어려운 특성을 보여줍니다. 기술 요소는 절대적인 경향이 있지만 위험은 가능성과 확실성으로 측정됩니다.

특히 미래에 대해 예측하기가 어렵기 때문에 이러한 법률이 사이버 보안 위험에 대한 이해와 함께 진화할 수 있다고 의심합니다.

사이버 보안 위험의 10가지 법률

1. 보안 성공은 공격자의 ROI 를 망치고 있습니다. 보안은 완벽한 보안 상태를 달성할 수 없으므로 ROI(투자 수익률)를 방해하고 저하시켜 이를 억제합니다. 공격자의 비용을 늘리고 가장 중요한 자산에 대한 공격자의 수익을 줄입니다.
2. 계속 유지하지 않는 것은 뒤처 지고 있습니다. 보안은 연속적인 여정입니다. 공격자가 자산을 성공적으로 제어할 수 있도록 지속적으로 저렴해지므로 계속 진행해야 합니다. 보안 패치, 전략, 위협 인식, 인벤토리, 도구, 모니터링, 권한 모델, 플랫폼 검사 및 시간이 지남에 따라 변경되는 기타 모든 항목을 지속적으로 업데이트해야 합니다.
3. 생산성이 항상 향상 됩니다. 사용자가 보안이 쉽지 않은 경우 작업을 완료하기 위해 이 작업을 수행합니다. 항상 솔루션이 안전하고 사용할 수 있는지 확인합니다.
4. 공격자는 신경 쓰지 않습니다. 공격자는 사용 가능한 방법을 사용하여 사용자 환경에 들어가 네트워크 프린터, 어항 온도계, 클라우드 서비스, PC, 서버, Mac 또는 모바일 디바이스를 비롯한 자산에 액세스합니다. 사용자에게 영향을 주거나 속이거나, 구성 실수 또는 안전하지 않은 운영 프로세스를 악용하거나, 피싱 전자 메일에서 암호를 요청하기만 하면 됩니다. 사용자 작업은 시스템 전체에서 관리 권한으로 이어지는 모든 옵션과 같이 가장 쉽고 저렴하며 가장 유용한 옵션을 이해하고 없애는 것입니다.
5. 무자비한 우선 순위는 생존 기술 입니다 - 아무도 모든 리소스에 대한 모든 위험을 제거하기에 충분한 시간과 리소스가 없습니다. 항상 조직에 가장 중요하거나 공격자에게 가장 흥미로운 것으로 시작하고 이 우선 순위를 지속적으로 업데이트합니다.
6. 사이버 보안은 팀 스포츠 입니다. 아무도 모든 것을 할 수 없으므로 사용자(또는 조직)만이 조직의 사명을 보호하기 위해 할 수 있는 일에 항상 집중합니다. 보안 공급업체, 클라우드 공급자 또는 커뮤니티가 더 나은 또는 더 저렴한 작업을 수행할 수 있는 경우 이를 수행하게 합니다.
7. 네트워크는 생각 만큼 신뢰할 수 없습니다. 암호에 의존하고 인트라넷 디바이스를 신뢰하는 보안 전략은 보안 전략의 부족보다 약간 더 낫습니다. 공격자는 이러한 방어를 쉽게 회피하므로 각 디바이스, 사용자 및 애플리케이션의 신뢰 수준은 신뢰 수준이 없는 수준부터 시작하여 지속적으로 검증되고 유효성을 검사해야 합니다.
8. 격리된 네트워크는 자동으로 안전하지 않습니다. 대기 간격이 있는 네트워크는 기본 올바르게 달성될 때 강력한 보안을 제공할 수 있지만, 각 노드를 외부 위험으로부터 격리해야 하므로 성공적인 예제는 극히 드뭅니다. 보안이 격리된 네트워크에 리소스를 배치할 만큼 중요한 경우 USB 미디어(예: 패치에 필요), 인트라넷 네트워크와 외부 디바이스 간의 브리지(예: 프로덕션 라인의 공급업체 랩톱) 및 모든 기술 제어를 우회할 수 있는 내부자 위협과 같은 방법을 통해 잠재적 연결을 해결하기 위한 완화에 투자해야 합니다.
9. 암호화만으로는 데이터 보호 솔루션 이 아닙니다. 암호화는 대역 외 공격(예: 네트워크 패킷, 파일 및 스토리지)으로부터 보호하지만, 데이터는 암호 해독 키(키 강도 + 도난/복사로부터 보호) 및 기타 권한 있는 액세스 수단만큼 안전합니다.
10. 기술은 사람을 해결하고 문제를 처리하지 않습니다. 기계 학습, 인공 지능 및 기타 기술은 보안에서 놀라운 도약을 제공하지만(올바르게 적용된 경우), 사이버 보안은 인간의 과제이며 기술만으로는 해결되지 않습니다.

참조

변경할 수 없는 보안 법률 v2

• 법 #1: 악의적인 행위자가 컴퓨터에서 프로그램을 실행하도록 설득할 수 있다면 더 이상 귀하의 컴퓨터만이 아닙니다.
• 법 #2: 악의적인 행위자가 컴퓨터의 운영 체제를 변경할 수 있는 경우 더 이상 컴퓨터가 아닙니다.
• 법 #3: 악의적인 행위자가 컴퓨터에 무제한으로 물리적으로 액세스할 수 있는 경우 더 이상 컴퓨터가 아닙니다.
• 법률 #4: 악의적인 행위자가 웹 사이트에서 활성 콘텐츠를 실행하도록 허용하는 경우 더 이상 웹 사이트가 아닙니다.
• 법 #5: 약한 암호는 강력한 보안을 능가합니다.
• 법률 #6: 컴퓨터는 관리자가 신뢰할 수 있는 만큼만 안전합니다.
• 법률 #7: 암호화된 데이터는 암호 해독 키만큼 안전합니다.
• 법률 #8: 오래된 맬웨어 방지 스캐너는 스캐너보다 약간 더 낫습니다.
• 법 #9: 절대 익명성은 온라인이나 오프라인에서 실질적으로 달성할 수 없습니다.
• 법 #10: 기술은 만병 통치약이 아닙니다.