不可變的安全性法

最初的 不可變安全 法確定了打破當時普遍安全神話的關鍵技術真理。 本著這種精神，我們正在發佈一套新的補充法律，專注於打破當今無處不在的網路安全性風險世界中普遍存在的神話。

由於原始不可變的法律，資訊安全已從技術專業領域成長為網路安全風險管理專業領域，包括雲端、IoT 和 OT 裝置。 現在，安全是我們日常生活、商業風險討論和選舉的一部分。

隨著我們業內許多人遵循這一旅程，達到更高的抽象水平，我們看到風險管理層出現了常見的神話、偏見和不確定性模式。 我們決定為網路安全風險建立新的法律清單，同時保留原法律（v2）和原法律（與“壞人”的單一輕微變化，以“壞人”為“壞演員”，以完全正確和包容）。

每組法律都會處理網路安全的不同層面，設計健全的技術解決方案，以及管理不斷變化的威脅環境中複雜組織的風險配置檔。 這些法律的性質差異也說明瞭一般瀏覽網路安全的難度。 技術元素傾向於絕對專案，而風險是以可能性和確定性來測量。

由於很難進行預測，尤其是未來，我們懷疑這些法律可能會隨著我們對網路安全風險的理解而演變。

網路安全風險的十項法律

1. 安全性成功破壞了攻擊者的 ROI – 安全性無法達到完美的安全狀態，因此藉由中斷和降低其投資報酬率來阻止他們。 增加攻擊者的成本，並降低攻擊者對您最重要的資產的回報。
2. 不跟上是落後 – 安全性是一個持續的旅程。 您必須繼續前進，因為攻擊者會持續變得更便宜，才能成功控制資產。 您必須持續更新安全性修補程式、策略、威脅感知、清查、工具、監視、許可權模型、平臺涵蓋範圍，以及隨著時間變更的任何其他專案。
3. 生產力一律會獲勝 – 如果使用者的安全性並不容易，他們會解決它來完成工作。 請務必確定解決方案是安全 且 可使用的。
4. 攻擊者不在乎 – 攻擊者會使用任何可用的方法來進入您的環境並存取您的資產，包括網路印表機、魚箱溫度計、雲端服務、計算機、伺服器、Mac 或行動裝置。 它們會影響或欺騙使用者、惡意探索設定錯誤或不安全的操作程式，或只是要求網路釣魚電子郵件中的密碼。 您的工作是瞭解並移除最簡單、最便宜且最有用的選項，例如任何會導致系統系統管理許可權的任何選項。
5. 無情的優先順序是生存技能 – 沒有人有足夠的時間和資源來消除所有資源的所有風險。 一律從貴組織最重要的項目開始，或對攻擊者而言最感興趣的專案，並持續更新此優先順序。
6. 網路安全性是一項團隊運動 - 沒有人能做到這一點，因此一律專注於只有您（或貴組織）能夠執行的工作來保護貴組織的使命。 如果安全性廠商、雲端提供者或社群可以做得更好或更便宜，請讓他們這麼做。
7. 您的網路不像您認為 的那樣值得信任 – 依賴密碼和信任任何內部網路裝置的安全性策略，只比缺乏安全性策略略好。 攻擊者可以輕鬆地逃避這些防禦，因此必須持續驗證每個裝置、使用者和應用程式的信任等級，從零信任層級開始。
8. 隔離的網路不會自動保護 – 雖然空中套用網路可以在正確維護時提供強大的安全性，但成功的範例非常罕見，因為每個節點都必須與外部風險隔離。 如果安全性足夠重要，可將資源放在隔離的網路上，您應該投資風險降低措施，透過USB媒體（例如修補程式所需）、內部網路與外部裝置之間的橋樑（例如生產線上的廠商膝上型計算機），以及可能規避所有技術控制的內部人員威脅來解決潛在的連線能力。
9. 僅加密不是數據保護解決方案 – 加密可防範頻外攻擊（例如網路封包、檔案和記憶體），但數據僅像解密密鑰一樣安全（金鑰強度 + 防止竊取/複製的保護），以及其他授權的存取方式。
10. 技術無法解決人員和程序問題 – 雖然機器學習、人工智慧和其他技術在安全性方面提供了驚人的飛躍（正確應用時），但網路安全是人類的挑戰，而且永遠不會單獨解決技術。

參考

不可變的安全性法 v2

• 法律 #1： 如果一個糟糕的演員可以說服你在計算機上執行他們的程式，它不再是您的計算機了。
• 法律 #2： 如果錯誤的動作專案可以改變計算機上的操作系統，它就不再是您的計算機。
• 法律 #3： 如果不良動作專案對您的計算機具有不受限制的實體存取權，它就不再是您的計算機了。
• 法律 #4： 如果您允許不良動作專案在您的網站中執行作用中內容，它不再是您的網站。
• 法律 #5： 弱式密碼勝過強式安全性。
• 法律 #6： 計算機只有系統管理員值得信任的安全。
• 法律 #7： 加密的數據只會像解密密鑰一樣安全。
• 法律 #8： 過時的反惡意代碼掃描器只比完全沒有掃描器好一些。
• 法律 #9： 絕對匿名實際上無法實現，無論是在線還是脫機。
• 法律 #10： 技術不是萬能藥。