As leis imutáveis da segurança

As leis de segurança originais e imutáveis identificaram verdades técnicas fundamentais que derrubaram os mitos de segurança predominantes daqueles tempos. Nesse espírito, atualizamos essas leis focadas em derrubar mitos no mundo atual de risco de segurança cibernética onipresente.

Desde as leis imutáveis originais, a segurança da informação cresceu de uma disciplina técnica para uma disciplina de gerenciamento de riscos de segurança cibernética que inclui dispositivos de nuvem, IoT e OT. Agora, a segurança faz parte do tecido do nosso dia-a-dia, das discussões sobre riscos empresariais, das eleições e muito mais.

Como muitos de nós na indústria seguimos essa jornada para um nível mais alto de abstração, vimos padrões de mitos comuns, preconceitos e pontos cegos emergirem na camada de gerenciamento de risco. Decidimos criar uma nova lista de leis para o risco de cibersegurança, mantendo as leis originais (v2) como estão (com uma única pequena mudança de "bandido" para "mau ator" para ser totalmente correto e inclusivo).

Cada conjunto de leis lida com diferentes aspetos da cibersegurança – conceber soluções técnicas sólidas versus gerir um perfil de risco de organizações complexas num ambiente de ameaças em constante mudança. A diferença na natureza dessas leis também ilustra a natureza difícil de navegar pela cibersegurança em geral; os elementos técnicos tendem para o absoluto, enquanto o risco é medido em probabilidade e certeza

Como é difícil fazer previsões (especialmente sobre o futuro), suspeitamos que essas leis evoluirão com nossa compreensão do risco de cibersegurança.

10 Leis de Risco de Cibersegurança

1. O sucesso da segurança está arruinando o ROI do invasor - A segurança não pode alcançar um estado absolutamente seguro, portanto, dissuadi-los, interrompendo e degradando seu Retorno sobre o Investimento (ROI). Aumente o custo do atacante e diminua o retorno do atacante para seus ativos mais importantes.
2. Não acompanhar é ficar para trás – A segurança é uma jornada contínua, você deve continuar avançando porque fica cada vez mais barato para os invasores assumirem com sucesso o controle de seus ativos. Você deve atualizar continuamente seus patches de segurança, estratégias de segurança, reconhecimento de ameaças, inventário, ferramentas de segurança, higiene de segurança, monitoramento de segurança, modelos de permissão, cobertura de plataforma e qualquer outra coisa que mude ao longo do tempo.
3. A produtividade sempre vence – Se a segurança não for fácil para os usuários, eles encontram soluções alternativas para realizar seu trabalho. Certifique-se sempre de que as soluções são seguras e utilizáveis.
4. Os atacantes não se importam - Os atacantes usam qualquer método disponível para entrar em seu ambiente e aumentar o acesso aos seus ativos, incluindo comprometer uma impressora em rede, um termômetro de aquário, um serviço de nuvem, um PC, um servidor, um Mac, um dispositivo móvel, influenciar ou enganar um usuário, explorar um erro de configuração ou processo operacional inseguro, ou apenas pedir senhas em um e-mail de phishing. Seu trabalho é entender e tirar as opções mais fáceis e baratas, bem como as mais úteis. Esses métodos incluem qualquer coisa que possa levar a privilégios administrativos em muitos sistemas.
5. A priorização implacável é uma habilidade de sobrevivência – Ninguém tem tempo e recursos suficientes para eliminar todos os riscos de todos os recursos. Comece sempre com o que é mais importante para a sua organização, mais interessante para os atacantes, e atualize continuamente essa priorização.
6. A cibersegurança é um desporto de equipa – Ninguém pode fazer tudo, por isso concentre-se sempre nas coisas que só você (ou a sua organização) pode fazer para proteger a missão da sua organização. Para coisas que os outros podem fazer melhor ou mais barato, peça-lhes que o façam (fornecedores de segurança, fornecedores de nuvem, comunidade).
7. Sua rede não é tão confiável quanto você pensa que é - Uma estratégia de segurança que depende de senhas e confiar em qualquer dispositivo de intranet é apenas marginalmente melhor do que nenhuma estratégia de segurança. Os atacantes escapam facilmente dessas defesas, de modo que o nível de confiança de cada dispositivo, usuário e aplicativo deve ser comprovado e validado continuamente, começando com um nível de confiança zero.
8. As redes isoladas não são automaticamente seguras - Embora as redes air-gapped possam oferecer uma forte segurança quando mantidas corretamente, os exemplos bem-sucedidos são extremamente raros porque cada nó deve ser completamente isolado do risco externo. Se a segurança for crítica o suficiente para colocar recursos em uma rede isolada, você deve investir em mitigações para lidar com a conectividade potencial por meio de métodos como mídia USB (por exemplo, necessária para patches), pontes para a rede intranet e dispositivos externos (por exemplo, laptops de fornecedores em uma linha de produção) e ameaças internas que possam contornar todos os controles técnicos.
9. A encriptação por si só não é uma solução de proteção de dados - A encriptação protege contra ataques fora de banda (em pacotes de rede, ficheiros, armazenamento, etc.), mas os dados são tão seguros como a chave de desencriptação (força da chave + proteções contra roubo/cópia) e outros meios de acesso autorizados.
10. Tecnologia não resolve problemas de pessoas e processos - Enquanto o aprendizado de máquina, a inteligência artificial e outras tecnologias oferecem saltos incríveis em segurança (quando aplicados corretamente), a cibersegurança é um desafio humano e não pode ser resolvido apenas pela tecnologia.

Referência

Leis Imutáveis de Segurança v2

• Lei #1: Se um ator mal-intencionado pode persuadi-lo a executar seu programa no seu computador, não é mais apenas o seu computador.
• Lei #2: Se um agente mal-intencionado pode alterar o sistema operacional do seu computador, ele não é mais o seu computador.
• Lei #3: Se um agente mal-intencionado tem acesso físico irrestrito ao seu computador, ele não é mais o seu computador.
• Lei #4: Se você permitir que um ator mal-intencionado execute conteúdo ativo em seu site, ele não é mais o seu site.
• Lei #5: Senhas fracas superam a segurança forte.
• Lei #6: Um computador só é tão seguro quanto o administrador é confiável.
• Lei #7: Os dados encriptados são tão seguros como a sua chave de desencriptação.
• Lei #8: Um scanner antimalware desatualizado é apenas marginalmente melhor do que nenhum scanner.
• Lei #9: O anonimato absoluto não é praticamente alcançável, online ou offline.
• Lei #10: A tecnologia não é uma panaceia.