Sabit güvenlik yasaları

  • Makale

Orijinal değişmez güvenlik yasaları, o zamanların yaygın güvenlik efsanelerini bozan önemli teknik gerçekleri tanımladı. Bu ruhla, günümüzün yaygın siber güvenlik riski dünyasındaki efsaneleri yakalamaya odaklanan bu yasaları güncelleştirdik.

Orijinal sabit yasalar nedeniyle, bilgi güvenliği teknik bir uzmanlık alanından bulut, IoT ve OT cihazlarını içeren bir siber güvenlik risk yönetimi uzmanlık alanına dönüştü. Artık güvenlik günlük hayatımızın, iş riski tartışmalarımızın, seçimlerimizin ve daha fazlasının dokusunun bir parçasıdır.

Sektördeki çoğumuz daha yüksek bir soyutlama düzeyine kadar bu yolculuğu takip ettikçe risk yönetimi katmanında yaygın efsanelerin, sapmaların ve kör noktaların desenlerinin ortaya çıktığını gördük. Orijinal yasaları (v2) olduğu gibi korurken siber güvenlik riski için yeni bir yasa listesi oluşturmaya karar verdik ("kötü adam"ın "kötü aktör" olarak tamamen doğru ve kapsayıcı olması için tek bir değişiklikle).

Her bir yasa kümesi, siber güvenliğin farklı yönleriyle ilgilenir; sürekli değişen bir tehdit ortamında karmaşık kuruluşların risk profilini yönetmekle karşı karşıya olmak için sağlam teknik çözümler tasarlama. Bu yasaların doğasındaki fark, genel olarak siber güvenlikte gezinmenin zor doğasını da göstermektedir; risk olasılık ve kesinlik olarak ölçülürken teknik öğeler mutlak eğilimdedir

Tahminde bulunmak zor olduğundan (özellikle gelecekle ilgili), siber güvenlik riski anlayışımızla bu yasaların gelişeceğini tahmin ediyoruz.

10 Siber Güvenlik Riski Yasaları

  1. Güvenlik başarısı saldırgan yatırım getirisini mahvediyor - Güvenlik kesinlikle güvenli bir duruma ulaşamaz, bu nedenle Yatırım Getirisini (ROI) kesintiye uğratarak ve düşürerek onları caydırabilir. Saldırganın maliyetini artırın ve en önemli varlıklarınız için saldırganın geri dönüşünü düşürin.
  2. Ayak uydurmamak geride kalıyor– Güvenlik sürekli bir yolculuk, saldırganların varlıklarınızın denetimini başarıyla ele geçirmesi giderek daha ucuza geldiği için ilerlemeye devam etmeniz gerekir. Güvenlik yamalarınızı, güvenlik stratejilerinizi, tehdit farkındalığınızı, envanterinizi, güvenlik araçlarınızı, güvenlik hijyeninizi, güvenlik izlemenizi, izin modellerinizi, platform kapsamınızı ve zaman içinde değişen diğer her şeyi sürekli güncelleştirmeniz gerekir.
  3. Üretkenlik her zaman kazanır – Kullanıcılar için güvenlik kolay değilse işlerini yapmak için geçici çözümler bulurlar. Çözümlerin her zaman güvenli ve kullanılabilir olduğundan emin olun.
  4. Saldırganlar umursamaz - Saldırganlar ortamınıza girmek ve ağa bağlı bir yazıcı, balık tankı termometresi, bulut hizmeti, PC, Sunucu, Mac, mobil cihaz, etki veya kandırmak, yapılandırma hatasından veya güvenli olmayan bir işlemden yararlanmak ya da kimlik avı e-postasında parola istemek gibi varlıklarınıza erişimi artırmak için kullanılabilir herhangi bir yöntemi kullanır. Sizin işiniz, en kolay ve en ucuz seçeneklerin yanı sıra en kullanışlı seçenekleri anlamak ve almaktır. Bu yöntemler, birçok sistemde yönetim ayrıcalıklarına yol açabilecek her şeyi içerir.
  5. Acımasız Öncelik Belirleme bir hayatta kalma becerisidir – Kimsenin tüm kaynaklar için tüm riskleri ortadan kaldırmak için yeterli zamanı ve kaynağı yoktur. Her zaman kuruluşunuz için en önemli, saldırganlar için en ilginç olanla başlayın ve bu öncelik belirlemeyi sürekli güncelleştirin.
  6. Siber güvenlik bir takım sporudur – Kimse her şeyi yapamaz, bu nedenle her zaman kuruluşunuzun misyonunu korumak için yalnızca sizin (veya kuruluşunuzun) yapabileceklerine odaklanın. Başkalarının daha iyi veya daha ucuz yapabilecekleri şeyler için bunu yapmalarını sağlayın (güvenlik satıcıları, bulut sağlayıcıları, topluluk).
  7. Ağınız düşündüğünüz kadar güvenilir değildir- Parolaları kullanan ve herhangi bir intranet cihazına güvenen bir güvenlik stratejisi, güvenlik stratejisi olmamasından çok daha iyidir. Saldırganlar bu savunmalardan kolayca kaçınarak her cihazın, kullanıcının ve uygulamanın güven düzeyinin sıfır güven düzeyiyle başlayarak sürekli olarak kanıtlanması ve doğrulanması gerekir.
  8. Yalıtılmış ağlar otomatik olarak güvenli değildir - Havayla kaplı ağlar doğru şekilde korunduğunda güçlü güvenlik sunabildiğinden, her düğümün dış riskten tamamen yalıtılmış olması gerektiğinden başarılı örnekler son derece nadirdir. Güvenlik, kaynakları yalıtılmış bir ağa yerleştirecek kadar kritikse, USB medyası (örneğin, yamalar için gerekli), intranet ağına köprüler ve dış cihazlar (örneğin, üretim hattındaki satıcı dizüstü bilgisayarları) ve tüm teknik denetimleri atlatabilecek iç tehditler gibi yöntemler aracılığıyla olası bağlantıyı ele almak için risk azaltmalarına yatırım yapmanız gerekir.
  9. Tek başına şifreleme bir veri koruma çözümü değildir - Şifreleme bant dışı saldırılara (ağ paketleri, dosyalar, depolama vb.) karşı koruma sağlar, ancak veriler yalnızca şifre çözme anahtarı (anahtar gücü + hırsızlık/kopyalamaya karşı korumalar) ve diğer yetkili erişim araçları kadar güvenlidir.
  10. Teknoloji, insanları ve süreç sorunlarını çözmez - Makine öğrenmesi, yapay zeka ve diğer teknolojiler güvenlikte harika atılımlar sunarken (doğru uygulandığında), siber güvenlik bir insan zorluğudur ve tek başına teknolojiyle çözülemez.

Başvuru

Sabit Güvenlik Yasaları v2

  • Yasa 1: Kötü bir aktör sizi programını bilgisayarınızda çalıştırmaya ikna edebilirse, bu artık yalnızca sizin bilgisayarınız değildir.
  • Yasa 2: Kötü bir aktör bilgisayarınızdaki işletim sistemini değiştirebiliyorsa, bu artık sizin bilgisayarınız değildir.
  • Yasa 3: Kötü bir aktör bilgisayarınıza sınırsız fiziksel erişime sahipse, bu artık sizin bilgisayarınız değildir.
  • Yasa 4: Kötü bir aktörün web sitenizde etkin içerik çalıştırmasına izin verirseniz, bu artık web siteniz değildir.
  • 5. Yasa: Zayıf parolalar güçlü güvenliği aşıyor.
  • Yasa 6: Bir bilgisayar yalnızca yöneticinin güvenilir olduğu kadar güvenlidir.
  • Yasa 7: Şifrelenmiş veriler yalnızca şifre çözme anahtarı kadar güvenlidir.
  • 8. Yasa: Eski bir kötü amaçlı yazılımdan koruma tarayıcısı, tarayıcı olmamasından yalnızca marjinal olarak daha iyidir.
  • 9. Yasa: Mutlak anonimlik, çevrimiçi veya çevrimdışı olarak pratikte ulaşılabilir değildir.
  • Kanun 10: Teknoloji her derde deva değildir.