De onveranderbare wetten van beveiliging

De oorspronkelijke onveranderbare wetten van beveiliging identificeerden belangrijke technische waarheden die de gangbare beveiligingsmytheken van die tijd verpakkerden. In die geest hebben we deze wetten bijgewerkt, gericht op het busten van mythen in de huidige wereld van alomtegenwoordige cyberbeveiligingsrisico's.

Sinds de oorspronkelijke onveranderbare wetten groeide informatiebeveiliging van een technische discipline in een discipline voor cyberbeveiligingsrisicobeheer die cloud-, IoT- en OT-apparaten omvat. Nu maakt beveiliging deel uit van de infrastructuur van ons dagelijks leven, discussies over bedrijfsrisico's, verkiezingen en meer.

Zoals velen van ons in de branche deze reis naar een hoger abstractieniveau hebben gevolgd, zagen we patronen van veelvoorkomende mythen, vooroordelen en blinde vlekken op de laag voor risicobeheer. We besloten om een nieuwe lijst met wetten voor cyberbeveiligingsrisico's te maken, terwijl de oorspronkelijke wetten (v2) behouden blijven, zoals is (met één kleine wijziging van 'slechterik' in 'slechte actor' om volledig correct en inclusief te zijn).

Elke set wetten heeft betrekking op verschillende aspecten van cyberbeveiliging: het ontwerpen van goede technische oplossingen versus het beheren van een risicoprofiel van complexe organisaties in een steeds veranderende bedreigingsomgeving. Het verschil in de aard van deze wetten illustreert ook de moeilijke aard van het navigeren in cyberbeveiliging in het algemeen; technische elementen hebben de neiging tot het absolute terwijl risico's in waarschijnlijkheid en zekerheid worden gemeten

Omdat het moeilijk is om voorspellingen te doen (met name over de toekomst), vermoeden we dat deze wetten zich zullen ontwikkelen met ons begrip van cyberbeveiligingsrisico's.

10 Wetten van cyberbeveiligingsrisico

1. Het succes van de beveiliging verpest de aanvaller ROI - Beveiliging kan geen absoluut veilige status bereiken, zodat ze worden ontmoedigd door hun Rendement op Investering (ROI) te verstoren en te verminderen. Verhoog de kosten van de aanvaller en verlaag de rentabiliteit van de aanvaller voor uw belangrijkste assets.
2. Het niet bijhouden blijft achter - Beveiliging is een doorlopend traject, u moet doorgaan omdat het voortdurend goedkoper en goedkoper wordt voor aanvallers om de controle over uw assets te nemen. U moet uw beveiligingspatches, beveiligingsstrategieën, bedreigingsbewustzijn, inventaris, beveiligingshulpprogramma's, beveiligingscontroles, beveiligingscontroles, machtigingsmodellen, platformdekking en andere wijzigingen in de loop van de tijd bijwerken.
3. Productiviteit wint altijd: als beveiliging niet eenvoudig is voor gebruikers, vinden ze tijdelijke oplossingen om hun werk te doen. Zorg er altijd voor dat oplossingen veilig en bruikbaar zijn.
4. Aanvallers maken het niet uit: aanvallers gebruiken een beschikbare methode om in uw omgeving te komen en de toegang tot uw assets te vergroten, waaronder het in gevaar brengen van een netwerkprinter, een vistankthermometer, een cloudservice, een pc, een server, een Mac, een mobiel apparaat, invloed of trucs van een gebruiker, misbruik maken van een configuratiefout of onveilig operationeel proces, of gewoon om wachtwoorden vragen in een phishing-e-mail. Uw taak is om de eenvoudigste en goedkoopste opties en de handigste opties te begrijpen en weg te nemen. Deze methoden omvatten alles wat kan leiden tot beheerdersbevoegdheden in veel systemen.
5. Ruthless Prioritization is een overlevingsvaardigheid - Niemand heeft voldoende tijd en middelen om alle risico's voor alle resources te elimineren. Begin altijd met wat het belangrijkst is voor uw organisatie, het interessantst voor aanvallers en werk deze prioriteit continu bij.
6. Cybersecurity is een teamsport – Niemand kan het allemaal doen, dus richt u altijd op de dingen die alleen u (of uw organisatie) kan doen om de missie van uw organisatie te beschermen. Voor dingen die anderen beter of goedkoper kunnen doen, laat ze het doen (beveiligingsleveranciers, cloudproviders, community).
7. Uw netwerk is niet zo betrouwbaar als u denkt : een beveiligingsstrategie die afhankelijk is van wachtwoorden en het vertrouwen van een intranetapparaat is slechts marginaal beter dan helemaal geen beveiligingsstrategie. Aanvallers ontwijken deze verdediging eenvoudig, zodat het vertrouwensniveau van elk apparaat, elke gebruiker en elke toepassing continu moet worden bewezen en gevalideerd vanaf een niveau van nul vertrouwen.
8. Geïsoleerde netwerken zijn niet automatisch beveiligd : hoewel netwerken met een lucht-gapped een sterke beveiliging kunnen bieden wanneer ze correct worden onderhouden, zijn succesvolle voorbeelden uiterst zeldzaam omdat elk knooppunt volledig van buiten risico's moet worden geïsoleerd. Als de beveiliging essentieel genoeg is om resources op een geïsoleerd netwerk te plaatsen, moet u investeren in oplossingen om mogelijke connectiviteit aan te pakken via methoden zoals USB-media (bijvoorbeeld vereist voor patches), bruggen naar intranetnetwerk en externe apparaten (bijvoorbeeld laptops van leveranciers op een productielijn) en interne bedreigingen die alle technische controles kunnen omzeilen.
9. Versleuteling alleen is geen oplossing voor gegevensbeveiliging: versleuteling beschermt tegen aanvallen buiten band (op netwerkpakketten, bestanden, opslag, enzovoort), maar gegevens zijn alleen zo veilig als de ontsleutelingssleutel (sleutelsterkte en bescherming tegen diefstal/kopiëren) en andere geautoriseerde toegangsmiddelen.
10. Technologie lost mensen en procesproblemen niet op. Hoewel machine learning, kunstmatige intelligentie en andere technologieën fantastische sprongen vooruit bieden in beveiliging (wanneer ze correct worden toegepast), is cyberbeveiliging een menselijke uitdaging en kan niet alleen worden opgelost door technologie.

Verwijzing

Onveranderbare wetten van beveiliging v2

• Wet 1: Als een slechte acteur u ervan kan overtuigen om hun programma op uw computer uit te voeren, is het niet alleen uw computer meer.
• Wet 2: Als een slechte actor het besturingssysteem op uw computer kan wijzigen, is dit niet meer uw computer.
• Wet 3: Als een slechte acteur onbeperkte fysieke toegang tot uw computer heeft, is dit niet meer uw computer.
• Wet 4: Als u een ongeldige actor toestaat actieve inhoud op uw website uit te voeren, is dit niet meer uw website.
• Wet 5: Zwakke wachtwoorden zijn sterk beveiligd.
• Wet 6: Een computer is alleen zo veilig als de beheerder betrouwbaar is.
• Wet 7: Versleutelde gegevens zijn alleen zo veilig als de ontsleutelingssleutel.
• Wet 8: Een verouderde antimalwarescanner is slechts marginaal beter dan helemaal geen scanner.
• Wet #9: Absolute anonimiteit is niet praktisch haalbaar, online of offline.
• Law #10: Technologie is geen wondermiddel.