Die unumstößlichen Gesetze der Sicherheit

In den ursprünglichen unveränderlichen Gesetzen der Sicherheit wurden die wichtigsten technischen Wahrheiten aufgezeigt, die die weit verbreiteten Sicherheitsmythen der damaligen Zeit widerlegten. In diesem Geist haben wir diese Gesetze aktualisiert, die sich auf das Auffliegen von Mythen in der heutigen Welt des allgegenwärtigen Cybersicherheitsrisikos konzentrierten.

Seit den ursprünglichen unveränderlichen Gesetzen hat sich die Informationssicherheit von einer technischen Disziplin zu einer Disziplin des Cybersecurity-Risikomanagements entwickelt, die auch Cloud-, IoT- und OT-Geräte umfasst. Heute ist Sicherheit Teil unseres täglichen Lebens, von Diskussionen über Geschäftsrisiken, von Entscheidungen und vielem mehr.

Als viele von uns in der Branche diese Reise zu einer höheren Abstraktionsebene verfolgten, sahen wir, dass sich auf der Ebene des Risikomanagements Muster gemeinsamer Mythen, Vorurteile und blinder Flecken herausbildeten. Wir haben uns entschlossen, eine neue Liste von Gesetzen für Cybersecurity-Risiken zu erstellen und dabei die ursprünglichen Gesetze (v2) unverändert beizubehalten (mit einer einzigen kleinen Änderung von „Bösewicht“ zu „böser Akteur“, um ganz korrekt und umfassend zu sein).

Jede Reihe von Gesetzen befasst sich mit unterschiedlichen Aspekten der Cybersicherheit – dem Entwurf solider technischer Lösungen und der Verwaltung des Risikoprofils komplexer Organisationen in einem sich ständig verändernden Bedrohungsumfeld. Der Unterschied in der Natur dieser Gesetze veranschaulicht auch die schwierige Natur der Navigation in der Cybersicherheit im Allgemeinen; technische Elemente tendieren zum Absoluten, während das Risiko in Wahrscheinlichkeit und Gewissheit gemessen wird

Da es schwierig ist, Vorhersagen zu treffen (vor allem über die Zukunft), vermuten wir, dass sich diese Gesetze mit unserem Verständnis von Cybersicherheitsrisiken weiterentwickeln werden.

10 Gesetze der Cybersicherheitsrisiken

1. Der Erfolg der Sicherheit ruiniert den ROI der Angreifer – Die Sicherheit kann keinen absolut sicheren Zustand erreichen, also schrecken Sie sie ab, indem Sie ihren Return on Investment (ROI) stören und verschlechtern. Erhöhen Sie die Kosten des Angreifers und verringern Sie den Gewinn des Angreifers für Ihre wichtigsten Vermögenswerte.
2. Wer nicht mithält, fällt zurück – Sicherheit ist ein ständiger Prozess. Sie müssen sich ständig weiterentwickeln, denn es wird für Angreifer immer billiger, die Kontrolle über Ihre Vermögenswerte zu erlangen. Sie müssen Ihre Sicherheitspatches, Sicherheitsstrategien, das Bewusstsein für Bedrohungen, das Inventar, die Sicherheitstools, die Sicherheitshygiene, die Sicherheitsüberwachung, die Berechtigungsmodelle, die Plattformabdeckung und alles andere, was sich im Laufe der Zeit ändert, ständig aktualisieren.
3. Produktivität gewinnt immer – Wenn die Sicherheit für Benutzer nicht einfach ist, finden sie Umgehungslösungen, um ihre Arbeit zu erledigen. Stellen Sie immer sicher, dass die Lösungen sicher und benutzbar sind.
4. Angreifern ist das egal – Angreifer werden jede verfügbare Methode nutzen, um in Ihre Umgebung einzudringen und den Zugriff auf Ihre Ressourcen zu erweitern. Dazu gehört die Kompromittierung eines vernetzten Druckers, eines Aquarium-Thermometers, eines Clouddienstes, eines PCs, eines Servers, eines Macs, eines mobilen Geräts, die Beeinflussung oder der Betrug eines Benutzers, die Ausnutzung eines Konfigurationsfehlers oder eines unsicheren Betriebsprozesses oder einfach die Bitte um Passwörter in einer Phishing-E-Mail. Ihre Aufgabe ist es, die einfachsten und billigsten Optionen sowie die nützlichsten zu verstehen und die ersteren zu entfernen. Diese Methoden umfassen alles, was zu Administratorrechten in vielen Systemen führen kann.
5. Rücksichtslose Prioritätensetzung ist eine Überlebensstrategie – Niemand hat genug Zeit und Ressourcen, um alle Risiken für alle Ressourcen zu beseitigen. Beginnen Sie immer mit dem, was für Ihr Unternehmen am wichtigsten und für Angreifer am interessantesten ist, und aktualisieren Sie diese Prioritätensetzung kontinuierlich.
6. Cybersicherheit ist ein Teamsport – Niemand kann alles machen. Konzentrieren Sie sich also immer auf die Dinge, die nur Sie (oder Ihr Unternehmen) tun können, um die Mission Ihres Unternehmens zu schützen. Lassen Sie Dinge, die andere besser oder billiger erledigen können, von diesen erledigen (Sicherheitsanbieter, Cloud-Anbieter, Community).
7. Ihr Netzwerk ist nicht so vertrauenswürdig, wie Sie denken – Eine Sicherheitsstrategie, die sich auf Passwörter und das Vertrauen in jedes Intranetgerät stützt, ist nur unwesentlich besser als gar keine Sicherheitsstrategie. Angreifer können diese Schutzmechanismen leicht umgehen, sodass die Vertrauenswürdigkeit jedes Geräts, jedes Benutzers und jeder Anwendung kontinuierlich geprüft und validiert werden muss, beginnend mit einer Vertrauenswürdigkeit von Null.
8. Isolierte Netzwerke sind nicht automatisch sicher – Obwohl Netzwerke mit Luftabdeckung bei korrekter Wartung eine hohe Sicherheit bieten können, sind erfolgreiche Beispiele extrem selten, da jeder Knotenpunkt vollständig von Risiken von außen isoliert sein muss. Wenn die Sicherheit so kritisch ist, dass Ressourcen in einem isolierten Netzwerk untergebracht werden müssen, sollten Sie in Abhilfemaßnahmen investieren, um potenzielle Konnektivität über Methoden wie USB-Medien (z. B. für Patches erforderlich), Schnittstellen zum Intranet und externe Geräte (z. B. Laptops von Zulieferern in einer Produktionslinie) sowie Insider-Bedrohungen, die alle technischen Kontrollen umgehen könnten, zu verhindern.
9. Verschlüsselung allein ist keine Lösung für den Datenschutz – Verschlüsselung schützt vor Out-of-Band-Angriffen (auf Netzwerkpakete, Dateien, Speicher usw.), aber Daten sind nur so sicher wie der Entschlüsselungsschlüssel (Schlüsselstärke + Schutz vor Diebstahl/Kopieren) und andere autorisierte Zugriffsmöglichkeiten.
10. Technologie löst nicht die Probleme von Menschen und Prozessen – Obwohl maschinelles Lernen, künstliche Intelligenz und andere Technologien erstaunliche Fortschritte bei der Sicherheit bieten (wenn sie richtig angewendet werden), ist Cybersicherheit eine menschliche Herausforderung und kann nicht allein durch Technologie gelöst werden.

Verweis

Unumstößliche Sicherheitsregeln v2

• Gesetz Nr. 1: Wenn ein böser Akteur Sie dazu bringen kann, sein Programm auf Ihrem Computer auszuführen, ist es nicht mehr nur Ihr Computer.
• Gesetz Nr. 2: Wenn ein bösartiger Akteur das Betriebssystem auf Ihrem Computer verändern kann, ist es nicht mehr Ihr Computer.
• Gesetz Nr. 3: Wenn ein Bösewicht uneingeschränkten physischen Zugang zu Ihrem Computer hat, ist es nicht mehr Ihr Computer.
• Gesetz Nr. 4: Wenn Sie einem schlechten Akteur erlauben, aktive Inhalte auf Ihrer Website zu betreiben, ist es nicht mehr Ihre Website.
• Gesetz Nr. 5: Schwache Passwörter übertrumpfen starke Sicherheit.
• Gesetz Nr. 6: Ein Computer ist nur so sicher, wie der Administrator vertrauenswürdig ist.
• Gesetz Nr. 7: Verschlüsselte Daten sind nur so sicher wie ihr Entschlüsselungscode.
• Gesetz Nr. 8: Ein veralteter Anti-Malware-Scanner ist nur unwesentlich besser als gar kein Scanner.
• Gesetz Nr. 9: Absolute Anonymität ist praktisch nicht erreichbar, weder online noch offline.
• Gesetz Nr. 10: Technologie ist kein Allheilmittel.