不可變的安全性法

  • 發行項

最初的 不可變安全 法確定了打破當時普遍安全神話的關鍵技術真理。 本著這種精神,我們更新了這些法律,重點是在當今無處不在的網路安全性風險世界中打破神話。

由於原始不可變的法律,資訊安全從技術專業領域成長為網路安全風險管理專業領域,包括雲端、IoT 和 OT 裝置。 現在,安全是我們日常生活、商業風險討論、選舉等等的一部分。

隨著我們業內許多人遵循這一旅程,達到更高的抽象水平,我們看到風險管理層出現了常見的神話、偏見和盲點模式。 我們決定為網路安全風險建立新的法律清單,同時保留原法律(v2)和原法律(與“壞人”的單一輕微變化,以“壞人”為“壞演員”,以完全正確和包容)。

每組法律都會處理網路安全的不同層面– 設計健全的技術解決方案,以及管理不斷變化的威脅環境中複雜組織的風險配置檔。 這些法律的性質差異也說明瞭一般瀏覽網路安全的困難本質:技術元素傾向於絕對,而風險是以可能性和確定性來測量

由於很難做出預測(尤其是未來),因此我們懷疑這些法律會隨著我們對網路安全風險的理解而演變。

10 網路安全風險法

  1. 安全性成功破壞了攻擊者 ROI - 安全性無法達到絕對安全的狀態,因此藉由中斷並降低其投資報酬率 (ROI)來阻止他們。 增加攻擊者的成本,並降低攻擊者對您最重要的資產的回報。
  2. 不跟上是落後 - 安全性是持續的旅程,您必須繼續前進,因為它持續變得更便宜,更便宜,攻擊者成功控制您的資產。 您必須持續更新安全性修補程式、安全性策略、威脅感知、清查、安全性工具、安全性衛生、安全性監視、許可權模型、平臺涵蓋範圍,以及隨著時間變更的任何其他專案。
  3. 生產力一律會獲勝 – 如果使用者的安全性並不容易,他們就會找到因應措施來完成工作。 請務必確定解決方案是安全 可使用的。
  4. 攻擊者不在乎 - 攻擊者會使用任何可用的方法來進入您的環境,並增加對資產的存取,包括危害網路列印機、魚箱溫度計、雲端服務、計算機、伺服器、Mac、行動裝置、影響或欺騙使用者、惡意探索設定錯誤或不安全的操作程式,或只是要求網路釣魚電子郵件中的密碼。 您的工作是瞭解和取走最簡單的和最便宜的選項,以及最有用的選項。 這些方法包括可能導致許多系統系統管理許可權的任何專案。
  5. 無情的優先順序是生存技能 – 沒有人有足夠的時間和資源來消除所有資源的所有風險。 一律從貴組織最重要的項目開始,對攻擊者來說最有趣,並持續更新此優先順序。
  6. 網路安全性是一項團隊運動 - 沒有人能做到這一點,因此一律專注於只有您(或貴組織)能夠執行的工作來保護貴組織的使命。 對於其他人可以做得更好或更便宜的事情,讓他們這樣做(安全性廠商,雲端提供者,社群)。
  7. 您的網路不如您想像 的那樣值得信任 - 依賴密碼和信任任何內部網路裝置的安全性策略,只比完全沒有安全性策略好一些。 攻擊者可以輕鬆地逃避這些防禦,因此必須持續驗證每個裝置、使用者和應用程式的信任等級,並從零信任層級開始持續驗證。
  8. 隔離的網路不會自動保護 - 雖然空套網路可以在正確維護時提供強大的安全性,但成功的範例非常罕見,因為每個節點都必須完全與外部風險隔離。 如果安全性足夠重要,可將資源放在隔離的網路上,您應該投資風險降低措施,透過USB媒體(例如修補程式所需)、網橋到內部網路和外部裝置(例如生產線上的廠商膝上型計算機),以及可能規避所有技術控制的內部人員威脅來解決潛在的連線能力。
  9. 僅加密不是數據保護解決方案 - 加密可防範頻外攻擊(在網路封包、檔案、記憶體等上),但數據只能像解密密鑰(金鑰強度 + 保護竊取/複製)和其他授權的存取方式一樣安全。
  10. 技術無法解決人員和程序問題 - 雖然機器學習、人工智慧和其他技術在安全性方面提供了驚人的飛躍(正確應用時),但網路安全是人類挑戰,無法單獨由技術解決。

參考

不可變的安全性法 v2

  • 法律 #1: 如果一個糟糕的演員可以說服你在計算機上執行他們的程式,它不再是您的計算機了。
  • 法律 #2: 如果錯誤的動作專案可以改變計算機上的操作系統,它就不再是您的計算機。
  • 法律 #3: 如果不良動作專案對您的計算機具有不受限制的實體存取權,它就不再是您的計算機了。
  • 法律 #4: 如果您允許不良動作專案在您的網站中執行作用中內容,它不再是您的網站。
  • 法律 #5: 弱式密碼勝過強式安全性。
  • 法律 #6: 計算機只有系統管理員值得信任的安全。
  • 法律 #7: 加密的數據只會像解密密鑰一樣安全。
  • 法律 #8: 過時的反惡意代碼掃描器只比完全沒有掃描器好一些。
  • 法律 #9: 絕對匿名實際上無法實現、在線或脫機。
  • 法律 #10: 技術不是萬能藥。