변경할 수 없는 보안 법률

원래 변경할 수없는 보안 법은 그 시대의 널리 퍼진 보안 신화를 체포 주요 기술적 진실을 확인했다. 그 정신으로, 우리는 유비쿼터스 사이버 보안 위험의 오늘날의 세계에서 신화를 파열에 초점을 맞춘 이러한 법률을 업데이트.

원래 변경할 수 없는 법률 이후 정보 보안은 기술 분야에서 클라우드, IoT 및 OT 디바이스를 포함하는 사이버 보안 위험 관리 분야로 성장했습니다. 이제 보안은 일상 생활, 비즈니스 위험 토론, 선거 등의 구조의 일부입니다.

업계의 많은 사람들이 이 여정을 더 높은 수준의 추상화로 이어갔을 때, 우리는 일반적인 신화, 편견 및 사각지대의 패턴이 위험 관리 계층에서 나타나는 것을 보았습니다. 우리는 원래 법률 (v2)을 그대로 유지하면서 사이버 보안 위험에 대한 법률의 새로운 목록을 만들기로 결정했습니다 (완전히 정확하고 포괄적 인 "나쁜 사람"으로 "나쁜 사람"으로 약간 변경됨).

각 법률 집합은 사이버 보안의 다양한 측면을 다룹니다. 즉, 건전한 기술 솔루션을 설계하고 끊임없이 변화하는 위협 환경에서 복잡한 조직의 위험 프로필을 관리합니다. 이러한 법률의 특성의 차이는 일반적으로 사이버 보안을 탐색하는 어려운 특성을 보여줍니다. 기술적 요소는 절대적인 경향이 있지만 위험은 가능성과 확실성으로 측정됩니다.

예측하기 어렵기 때문에(특히 미래에 대해) 이러한 법률이 사이버 보안 위험에 대한 이해와 함께 진화할 것으로 예상합니다.

사이버 보안 위험의 10 법률

1. 보안 성공은 공격자 ROI 를 망치고 있습니다. 보안은 절대적으로 안전한 상태를 달성할 수 없으므로 ROI(투자 수익률)를 방해하고 저하시켜 이를 억제합니다. 공격자의 비용을 늘리고 가장 중요한 자산에 대한 공격자의 수익을 줄입니다.
2. 뒤처 지지 않음 – 보안은 연속적인 여정이며, 공격자가 자산을 성공적으로 제어할 수 있도록 지속적으로 저렴하고 저렴해지므로 계속 진행해야 합니다. 보안 패치, 보안 전략, 위협 인식, 인벤토리, 보안 도구, 보안 위생, 보안 모니터링, 권한 모델, 플랫폼 검사 및 시간이 지남에 따라 변경되는 기타 모든 항목을 지속적으로 업데이트해야 합니다.
3. 생산성이 항상 향상 됩니다. 사용자가 보안이 쉽지 않은 경우 작업을 완료하기 위한 해결 방법을 찾습니다. 항상 솔루션이 안전하고 사용할 수 있는지 확인합니다.
4. 공격자는 신경 쓰지 않음 - 공격자는 사용 가능한 방법을 사용하여 사용자 환경에 들어가 네트워크 프린터, 어항 온도계, 클라우드 서비스, PC, 서버, Mac, 모바일 디바이스, 사용자에게 영향을 주거나 속이거나, 구성 실수 또는 안전하지 않은 운영 프로세스를 악용하거나, 피싱 전자 메일에서 암호를 요청하는 등의 자산에 대한 액세스를 증가합니다. 가장 쉽고 저렴한 옵션과 가장 유용한 옵션을 이해하고 제거해야 합니다. 이러한 방법에는 여러 시스템에서 관리 권한으로 이어질 수 있는 모든 것이 포함됩니다.
5. 무자비한 우선 순위는 생존 기술 입니다 - 아무도 모든 리소스에 대한 모든 위험을 제거하기에 충분한 시간과 리소스가 없습니다. 항상 조직에 가장 중요한 것부터 시작하여 공격자에게 가장 흥미롭고 이 우선 순위를 지속적으로 업데이트합니다.
6. 사이버 보안은 팀 스포츠 입니다. 아무도 모든 것을 할 수 없으므로 사용자(또는 조직)만이 조직의 사명을 보호하기 위해 할 수 있는 일에 항상 집중합니다. 다른 사용자가 더 좋거나 더 저렴하게 할 수 있는 작업을 위해 보안 공급업체, 클라우드 공급자, 커뮤니티)를 만듭니다.
7. 네트워크는 생각 만큼 신뢰할 수 없습니다. 암호에 의존하고 인트라넷 디바이스를 신뢰하는 보안 전략은 보안 전략보다 약간 더 낫습니다. 공격자는 이러한 방어를 쉽게 회피하므로 각 디바이스, 사용자 및 애플리케이션의 신뢰 수준이 제로 신뢰 수준으로 시작하여 지속적으로 검증되고 유효성을 검사해야 합니다.
8. 격리된 네트워크는 자동으로 안전하지 않습니다. 공극이 있는 네트워크는 기본 올바르게 얻을 때 강력한 보안을 제공할 수 있지만, 각 노드를 외부 위험으로부터 완전히 격리해야 하기 때문에 성공적인 예제는 극히 드뭅니다. 보안이 격리된 네트워크에 리소스를 배치할 만큼 중요한 경우 USB 미디어(예: 패치에 필요), 인트라넷 네트워크에 대한 브리지, 외부 디바이스(예: 프로덕션 라인의 공급업체 랩톱) 및 모든 기술 제어를 우회할 수 있는 내부자 위협과 같은 방법을 통해 잠재적 연결을 해결하기 위한 완화에 투자해야 합니다.
9. 암호화만으로는 데이터 보호 솔루션 이 아닙니다. 암호화는 대역 외 공격(네트워크 패킷, 파일, 스토리지 등)으로부터 보호하지만, 데이터는 암호 해독 키(키 강도 + 도난/복사로부터 보호) 및 기타 권한 있는 액세스 수단만큼 안전합니다.
10. 기술은 사람을 해결하고 문제를 처리하지 않습니다 - 기계 학습, 인공 지능 및 기타 기술은 보안에서 놀라운 도약을 제공하지만 (올바르게 적용되면), 사이버 보안은 인간의 도전이며 기술만으로 해결할 수 없습니다.

참조

변경할 수 없는 보안 법률 v2

• 법 #1: 악의적인 행위자가 컴퓨터에서 프로그램을 실행하도록 설득할 수 있다면 더 이상 귀하의 컴퓨터만이 아닙니다.
• 법 #2: 악의적인 행위자가 컴퓨터의 운영 체제를 변경할 수 있는 경우 더 이상 컴퓨터가 아닙니다.
• 법 #3: 악의적인 행위자가 컴퓨터에 무제한으로 물리적으로 액세스할 수 있는 경우 더 이상 컴퓨터가 아닙니다.
• 법률 #4: 악의적인 행위자가 웹 사이트에서 활성 콘텐츠를 실행하도록 허용하는 경우 더 이상 웹 사이트가 아닙니다.
• 법 #5: 약한 암호는 강력한 보안을 능가합니다.
• 법률 #6: 컴퓨터는 관리자가 신뢰할 수 있는 만큼만 안전합니다.
• 법률 #7: 암호화된 데이터는 암호 해독 키만큼 안전합니다.
• 법률 #8: 오래된 맬웨어 방지 스캐너는 스캐너보다 약간 더 낫습니다.
• 법 #9: 절대 익명성은 실질적으로 달성 할 수 없습니다, 온라인 또는 오프라인.
• 법 #10: 기술은 만병 통치약이 아닙니다.