Неизменяемые законы о безопасности

  • Статья

Оригинальные неизменяемые законы безопасности определили ключевые технические истины, которые разбили распространенные мифы о безопасности в те времена. В этом духе мы обновили эти законы, направленные на раздувание мифов в современном мире повсеместного риска кибербезопасности.

Так как оригинальные неизменяемые законы, информационная безопасность выросла из технической дисциплины в дисциплину управления рисками кибербезопасности, которая включает облачные, ioT и OT-устройства. Теперь безопасность является частью нашей повседневной жизни, обсуждения бизнес-рисков, выборов и многое другое.

Так как многие из нас в отрасли последовали этому пути к более высокому уровню абстракции, мы видели шаблоны распространенных мифов, предвзятости и слепых пятен появляются на уровне управления рисками. Мы решили создать новый список законов для риска кибербезопасности при сохранении исходных законов (v2), как это (с одним небольшим изменением "плохого парня" на "плохого актера", чтобы быть полностью правильным и включающим).

Каждый набор законов имеет дело с различными аспектами кибербезопасности — проектирование звуковых технических решений и управление профилем рисков сложных организаций в постоянно изменяющейся среде угроз. Разница в характере этих законов также иллюстрирует трудный характер навигации по кибербезопасности в целом; технические элементы, как правило, относятся к абсолютному, в то время как риск измеряется в вероятности и определенности

Потому что трудно сделать прогнозы (особенно о будущем), мы подозреваем, что эти законы будут развиваться с нашим пониманием риска кибербезопасности.

10 Законов о рисках кибербезопасности

  1. Успех безопасности разрушен злоумышленником ROI - Безопасность не может достичь абсолютно безопасного состояния, поэтому сдерживать их, нарушая и снижая их рентабельность инвестиций (ROI). Увеличьте затраты злоумышленника и убывания возврата злоумышленника для наиболее важных ресурсов.
  2. Не следить за тем, что безопасность является непрерывным путешествием, вы должны продолжать двигаться вперед, потому что он постоянно становится дешевле и дешевле для злоумышленников, чтобы успешно взять под контроль ваши активы. Вы должны постоянно обновлять исправления безопасности, стратегии безопасности, осведомленность об угрозах, инвентаризацию, средства безопасности, гигиену безопасности, мониторинг безопасности, модели разрешений, покрытие платформы и все остальное, что изменяется с течением времени.
  3. Производительность всегда выигрывает . Если безопасность не проста для пользователей, они находят обходные пути, чтобы сделать свою работу. Всегда убедитесь, что решения безопасны и доступны для использования.
  4. Злоумышленники не заботятся . Злоумышленники используют любой доступный метод, чтобы попасть в вашу среду и увеличить доступ к вашим ресурсам, включая компрометацию сетевого принтера, термометр рыбы, облачную службу, компьютер, сервер, mac, мобильное устройство, влияние или обман пользователя, использовать ошибку конфигурации или небезопасный рабочий процесс, или просто запрашивать пароли в фишинговом сообщении электронной почты. Ваша работа заключается в том, чтобы понять и забрать самые простые и дешевые варианты, а также самые полезные. Эти методы включают все, что может привести к административным привилегиям во многих системах.
  5. Безжалостная приоритетность — никто не имеет достаточно времени и ресурсов, чтобы устранить все риски для всех ресурсов. Всегда начинайте с того, что самое важное для вашей организации, наиболее интересное для злоумышленников, и постоянно обновляйте эту приоритетность.
  6. Кибербезопасность — это спорт команды. Никто не может сделать все это, поэтому всегда сосредоточиться на вещах, которые могут делать только вы (или ваша организация) для защиты миссии вашей организации. Для вещей, которые другие могут сделать лучше или дешевле, они делают это (поставщики безопасности, поставщики облачных услуг, сообщество).
  7. Ваша сеть не так надежна, как вы думаете, это стратегия безопасности, которая зависит от паролей и доверия к любому устройству интрасети только незначительно лучше, чем ни одной стратегии безопасности вообще. Злоумышленники легко уклоняются от этих защит, поэтому уровень доверия каждого устройства, пользователя и приложения должен быть проверен и проверен непрерывно, начиная с уровня нулевого доверия.
  8. Изолированные сети не защищены автоматически . В то время как сети с отслеживанием воздуха могут обеспечить надежную безопасность при правильном обслуживании, успешные примеры крайне редки, так как каждый узел должен быть полностью изолирован от внешнего риска. Если безопасность достаточно важна для размещения ресурсов в изолированной сети, следует инвестировать в устранение рисков для решения потенциальных подключений через такие методы, как USB-носитель (например, необходимые для исправлений), мосты к сети интрасети и внешние устройства (например, ноутбуки поставщика на рабочей линии) и внутренние угрозы, которые могут обойти все технические средства управления.
  9. Шифрование только не является решением для защиты данных. Шифрование защищает от атак вне полосы (в сетевых пакетах, файлах, хранилище и т. д.), но данные являются безопасными, как ключ расшифровки (сила ключа + защита от кражи и копирования) и других авторизованных средств доступа.
  10. Технология не решает проблемы людей и процессов - в то время как машинное обучение, искусственный интеллект и другие технологии предлагают удивительные скачки вперед в безопасности (при правильном применении), кибербезопасность является человеческой проблемой и не может быть решена только технологией.

Справочные материалы

Неизменяемые законы безопасности версии 2

  • Закон #1: Если плохой актер может убедить вас запустить свою программу на компьютере, это не только ваш компьютер больше.
  • Закон 2. Если плохой субъект может изменить операционную систему на компьютере, это больше не ваш компьютер.
  • Закон #3. Если плохой субъект не имеет неограниченного физического доступа к компьютеру, это больше не ваш компьютер.
  • Закон 4. Если вы разрешаете плохому субъекту запускать активное содержимое на веб-сайте, это больше не ваш веб-сайт.
  • Закон No 5: Слабые пароли трампа надежной безопасности.
  • Закон No 6. Компьютер является безопасным, так как администратор является надежным.
  • Закон 7. Зашифрованные данные защищены только так же, как его ключ расшифровки.
  • Закон No 8: устаревший сканер антивредоносного поверх только незначительно лучше, чем не сканер вообще.
  • Закон No 9: Абсолютная анонимность практически не достижима, онлайн или в автономном режиме.
  • Закон No 10: Технология не панацея.