Udostępnij przez

Niezmienne prawa zabezpieczeń

  • Artykuł

Oryginalne niezmienne prawa zabezpieczeń zidentyfikowały kluczowe prawdy techniczne, które busted powszechnie rozpowszechnionych mitów bezpieczeństwa tych czasów. W tym duchu publikujemy nowy uzupełniający zestaw przepisów koncentruje się na busting rozpowszechnionych mitów w dzisiejszym świecie wszechobecnego ryzyka cyberbezpieczeństwa.

Od czasu pierwotnego niezmiennego prawa bezpieczeństwo informacji rozwinęło się od dyscypliny technicznej do dyscypliny zarządzania ryzykiem cyberbezpieczeństwa, która obejmuje urządzenia w chmurze, IoT i OT. Teraz bezpieczeństwo jest częścią naszej codziennej pracy, dyskusji na temat ryzyka biznesowego i wyborów.

Jak wielu z nas w branży po tej podróży do wyższego poziomu abstrakcji, widzieliśmy wzorce wspólnych mitów, uprzedzeń i niepewności pojawiają się w warstwie zarządzania ryzykiem. Postanowiliśmy utworzyć nową listę przepisów dotyczących ryzyka cyberbezpieczeństwa przy zachowaniu oryginalnych przepisów (v2), jak to jest (z pojedynczą niewielką zmianą "złego faceta" na "złego aktora", aby być w pełni poprawne i inkluzywne).

Każdy zestaw przepisów dotyczy różnych aspektów cyberbezpieczeństwa, projektowania zdrowych rozwiązań technicznych w porównaniu z zarządzaniem profilem ryzyka złożonych organizacji w stale zmieniającym się środowisku zagrożenia. Różnica w charakterze tych przepisów ilustruje również trudny charakter poruszania się po cyberbezpieczeństwa w ogóle. Elementy techniczne mają tendencję do bezwzględnego, podczas gdy ryzyko jest mierzone w prawdopodobieństwa i pewności.

Ponieważ trudno jest przewidzieć, zwłaszcza na temat przyszłości, podejrzewamy, że te przepisy mogą ewoluować z naszym zrozumieniem ryzyka cyberbezpieczeństwa.

Dziesięć praw ryzyka cyberbezpieczeństwa

  1. Powodzenie w zakresie bezpieczeństwa powoduje zrujnowanie zwrotu z inwestycji przez osobę atakującą — bezpieczeństwo nie może osiągnąć idealnego stanu bezpieczeństwa, więc odstrasza je, zakłócając i obniżając zwrot z inwestycji (ROI). Zwiększ koszt osoby atakującej i zmniejsz zwrot osoby atakującej dla najważniejszych zasobów.
  2. Brak utrzymania w tyle — bezpieczeństwo to ciągła podróż. Musisz iść naprzód, ponieważ stale będzie tańszy dla atakujących, aby pomyślnie przejąć kontrolę nad swoimi aktywami. Należy stale aktualizować poprawki zabezpieczeń, strategie, świadomość zagrożeń, spis, narzędzia, monitorowanie, modele uprawnień, pokrycie platformy i inne zmiany w czasie.
  3. Produktywność zawsze wygrywa — jeśli zabezpieczenia nie są łatwe dla użytkowników, pracują nad tym, aby wykonać swoją pracę. Zawsze upewnij się, że rozwiązania są bezpieczne i użyteczne.
  4. Osoby atakujące nie dbają — osoby atakujące używają dowolnej dostępnej metody, aby uzyskać dostęp do zasobów, w tym drukarek sieciowych, termometrów do zbiorników rybnych, usług w chmurze, komputerów, serwerów, komputerów Mac lub urządzeń przenośnych. Mają wpływ na użytkowników lub oszukają użytkowników, wykorzystują błędy konfiguracji lub niezabezpieczone procesy operacyjne lub po prostu pytają o hasła w wiadomości e-mail z wyłudzaniem informacji. Twoim zadaniem jest zrozumienie i odebranie najprostszych, najtańszych i najbardziej przydatnych opcji, takich jak cokolwiek, co prowadzi do uprawnień administracyjnych w różnych systemach.
  5. Bezwzględna priorytetyzacja jest umiejętnością przetrwania — nikt nie ma wystarczająco dużo czasu i zasobów, aby wyeliminować wszystkie zagrożenia dla wszystkich zasobów. Zawsze zacznij od tego, co jest najważniejsze dla twojej organizacji lub najciekawsze dla osób atakujących, i stale aktualizuj tę priorytetyzacja.
  6. Cyberbezpieczeństwo jest sportem zespołowym — nikt nie może tego zrobić, więc zawsze skupiaj się na rzeczach, które tylko Ty (lub Twoja organizacja) możesz zrobić, aby chronić misję organizacji. Jeśli dostawcy zabezpieczeń, dostawcy usług w chmurze lub społeczność mogą zrobić lepiej lub tańszą, zrób to.
  7. Twoja sieć nie jest tak godna zaufania, jak uważasz — strategia zabezpieczeń, która opiera się na hasłach i ufaniu każdemu urządzeniu intranetowemu, jest tylko nieznacznie lepsza niż brak strategii zabezpieczeń. Osoby atakujące łatwo unikają tych zabezpieczeń, więc poziom zaufania każdego urządzenia, użytkownika i aplikacji musi być sprawdzony i zweryfikowany w sposób ciągły, począwszy od poziomu zerowego zaufania.
  8. Izolowane sieci nie są automatycznie bezpieczne — chociaż sieci rozszyte powietrzem mogą oferować silne zabezpieczenia w przypadku prawidłowego utrzymania, pomyślne przykłady są niezwykle rzadkie, ponieważ każdy węzeł musi być odizolowany od ryzyka zewnętrznego. Jeśli bezpieczeństwo jest wystarczająco krytyczne, aby umieścić zasoby w izolowanej sieci, należy zainwestować w środki zaradcze, aby rozwiązać potencjalne problemy z łącznością za pośrednictwem metod, takich jak nośnik USB (na przykład wymagane w przypadku poprawek), mostki między siecią intranetową i urządzeniami zewnętrznymi (na przykład laptopy dostawcy na linii produkcyjnej) i zagrożenia wewnętrzne, które mogłyby obejść wszystkie mechanizmy kontroli technicznej.
  9. Szyfrowanie nie jest rozwiązaniem ochrony danych — szyfrowanie chroni przed atakami poza pasmem (na przykład pakietami sieciowymi, plikami i magazynem), ale dane są bezpieczne tylko jako klucz odszyfrowywania (siła klucza i ochrona przed kradzieżą/kopiowaniem) i innymi autoryzowanymi środkami dostępu.
  10. Technologia nie rozwiązuje problemów ludzi i procesów — podczas gdy uczenie maszynowe, sztuczna inteligencja i inne technologie oferują niesamowite skoki w zakresie bezpieczeństwa (jeśli są stosowane poprawnie), cyberbezpieczeństwo jest wyzwaniem ludzkim i nigdy nie zostanie rozwiązane przez samą technologię.

Odwołanie

Niezmienne prawa zabezpieczeń w wersji 2

  • Prawo nr 1: Jeśli zły aktor może przekonać Cię do uruchomienia programu na komputerze, nie jest to już wyłącznie komputer.
  • Prawo nr 2: Jeśli zły aktor może zmienić system operacyjny na komputerze, to nie jest już komputer.
  • Prawo nr 3: Jeśli zły aktor ma nieograniczony fizyczny dostęp do komputera, to nie jest już komputer.
  • Prawo nr 4: Jeśli zezwolisz złemu aktorowi na uruchamianie aktywnej zawartości w witrynie internetowej, to nie jest już twoja witryna internetowa.
  • Prawo nr 5: Słabe hasła podbiją silne bezpieczeństwo.
  • Prawo nr 6: Komputer jest tylko tak bezpieczny, jak administrator jest godny zaufania.
  • Prawo nr 7: Zaszyfrowane dane są bezpieczne tylko jako klucz odszyfrowywania.
  • Prawo nr 8: Nieaktualny skaner ochrony przed złośliwym kodem jest tylko nieznacznie lepszy niż żaden skaner.
  • Prawo nr 9: Bezwzględna anonimowość nie jest praktycznie osiągalna, w trybie online lub offline.
  • Prawo nr 10: Technologia nie jest panaceum.