As leis imutáveis da segurança

As leis originais imutáveis de segurança identificaram verdades técnicas fundamentais que derrubaram mitos de segurança prevalentes daqueles tempos. Nesse espírito, atualizamos essas leis focadas em derrubar mitos no mundo atual de risco onipresente de segurança cibernética.

Desde as leis originais imutáveis, a segurança da informação cresceu de uma disciplina técnica para uma disciplina de gerenciamento de riscos de segurança cibernética que inclui dispositivos de nuvem, IoT e OT. Agora, a segurança faz parte do nosso dia a dia, das discussões de risco empresarial, das eleições e muito mais.

À medida que muitos de nós do setor seguimos essa jornada para um nível mais alto de abstração, vimos padrões de mitos, vieses e pontos cegos comuns emergirem na camada de gerenciamento de riscos. Decidimos criar uma nova lista de leis para o risco de segurança cibernética, mantendo as leis originais (v2) no estado em que se encontram (com uma única pequena mudança de "bandido" para "mau ator" para ser totalmente correto e inclusivo).

Cada conjunto de leis lida com diferentes aspectos da segurança cibernética – projetar soluções técnicas sólidas versus gerenciar um perfil de risco de organizações complexas em um ambiente de ameaças em constante mudança. A diferença na natureza dessas leis também ilustra a natureza difícil de navegar pela segurança cibernética em geral; os elementos técnicos tendem para o absoluto, enquanto o risco é medido em probabilidade e certeza

Como é difícil fazer previsões (especialmente sobre o futuro), suspeitamos que essas leis evoluirão com nossa compreensão do risco de segurança cibernética.

10 Leis de Risco de Segurança Cibernética

1. O sucesso da segurança está arruinando o ROI do invasor: a segurança não pode alcançar um estado absolutamente seguro, então detenha-o interrompendo e degradando seu retorno sobre o investimento (ROI). Aumente o custo do atacante e diminua o retorno do atacante para seus ativos mais importantes.
2. Não acompanhar significa ficar para trás: a segurança é uma jornada contínua. Você deve seguir em frente, pois fica cada vez mais barato para os atacantes assumirem com sucesso o controle de seus ativos. Você deve atualizar continuamente seus patches de segurança, estratégias de segurança, reconhecimento de ameaças, inventário, ferramentas de segurança, higiene de segurança, monitoramento de segurança, modelos de permissão, cobertura de plataforma e qualquer outra coisa que mude ao longo do tempo.
3. A produtividade sempre vence: se a segurança não for fácil para os usuários, eles encontrarão soluções alternativas para realizar seu trabalho. Certifique-se sempre de que as soluções sejam seguras e utilizáveis.
4. Os invasores não se importam: os invasores usam qualquer método disponível para entrar no seu ambiente e aumentar o acesso aos seus ativos, incluindo comprometer itens como impressora em rede, termômetro de aquário, serviço de nuvem, PC, servidor, Mac, dispositivo móvel, influenciar ou enganar um usuário, explorar um erro de configuração ou processo operacional não seguro ou simplesmente solicitar senhas em emails de phishing. Seu trabalho é entender e tirar as opções mais fáceis e baratas, bem como as mais úteis. Esses métodos incluem qualquer coisa que possa levar a privilégios administrativos em muitos sistemas.
5. A priorização implacável é uma habilidade para sobrevivência: ninguém tem tempo e recursos suficientes para eliminar todos os riscos a todos os recursos. Sempre comece com o que é mais importante para sua organização, mais interessante para os invasores, e atualize continuamente essa priorização.
6. A segurança cibernética é um esporte de equipe: ninguém pode fazer tudo, então sempre se concentre nas coisas que apenas você (ou sua organização) pode fazer para proteger a missão da sua organização. Para coisas que outros podem fazer melhor ou mais barato, peça-lhes que o façam (fornecedores de segurança, provedores de nuvem, comunidade).
7. Sua rede não é tão confiável quanto você pensa: uma estratégia de segurança que depende de senhas e confiança em qualquer dispositivo de intranet é apenas um pouco melhor que nenhuma estratégia de segurança. Os invasores escapam facilmente dessas defesas, de modo que o nível de confiança de cada dispositivo, usuário e aplicativo deve ser comprovado e validado continuamente, começando com um nível de confiança zero.
8. Redes isoladas não são automaticamente seguras: embora redes desconectadas possam oferecer forte segurança quando mantidas corretamente, exemplos de sucesso são extremamente raros, pois cada nó deve ser completamente isolado de riscos externos. Se a segurança for crítica o suficiente para colocar recursos em uma rede isolada, você deve investir em mitigações para lidar com a conectividade potencial por meio de métodos como mídia USB (por exemplo, necessária para patches), pontes para a rede da intranet e dispositivos externos (por exemplo, laptops de fornecedores em uma linha de produção) e ameaças internas que possam contornar todos os controles técnicos.
9. A criptografia por si só não é uma solução para proteção de dados: a criptografia protege contra ataques fora de banda (em pacotes de rede, arquivos, armazenamento etc.), mas os dados são tão seguros quanto a chave de descriptografia (força da chave + proteções contra roubo/cópia) e outros meios autorizados de acesso.
10. A tecnologia não resolve problemas de pessoas e processos: embora o aprendizado de máquina, a inteligência artificial e outras tecnologias ofereçam saltos incríveis em segurança (quando aplicadas corretamente), a segurança cibernética é um desafio humano e não pode ser resolvida apenas pela tecnologia.

Referência

Leis imutáveis da segurança v2

• Lei nº 1: se um mau ator pode persuadir você a executar o programa dele no seu computador, ele não é mais exclusivamente o seu computador.
• Lei nº 2: se um mau ator pode alterar o sistema operacional do seu computador, ele não é mais o seu computador.
• Lei nº 3: se um mau ator tem acesso físico irrestrito ao seu computador, ele já não é mais seu computador.
• Lei nº 4: se você permitir que um mau ator execute conteúdo ativo no seu site, este já não é mais seu site.
• Lei nº 5: senhas fracas superam a segurança forte.
• Lei nº 6: um computador é tão seguro quanto o administrador é confiável.
• Lei nº 7: dados criptografados são tão seguros quanto sua chave de descriptografia.
• Lei nº 8: um verificador de antimalware desatualizado é apenas marginalmente melhor do que nenhum verificador.
• Lei nº 9: o anonimato absoluto não é alcançável na prática, seja online ou offline.
• Lei nº 10: a tecnologia não é uma panaceia.