Megosztás a következőn keresztül:

A nem módosítható biztonsági törvények

  • Cikk

Az eredeti megváltoztathatatlan biztonsági törvények olyan alapvető technikai igazságokat azonosítottak, amelyek az akkori biztonsági mítoszok elterjedtek. Ebben a szellemben egy új, kiegészítő törvénykészletet teszünk közzé, amelynek középpontjában az elterjedt mítoszok lebuktatása áll a mindenütt jelen lévő kiberbiztonsági kockázatok világában.

Az eredeti nem módosítható törvények óta az információbiztonság technikai szemléletből kiberbiztonsági kockázatkezelési szemléletté nőtte ki magát, amely magában foglalja a felhőt, az IoT-t és az OT-eszközöket. A biztonság része a mindennapi életünknek, az üzleti kockázatokkal kapcsolatos megbeszéléseknek és választásoknak.

Ahogy az iparágban sokan követtük ezt az utat az absztrakció magasabb szintjére, a kockázatkezelési rétegben gyakori mítoszok, elfogultság és bizonytalanság mintái jelentek meg. Úgy döntöttünk, hogy létrehozunk egy új listát a kiberbiztonsági kockázatokra vonatkozó törvényekről, miközben megtartjuk az eredeti törvényeket (v2), ahogyan van (a "rossz srác" egyetlen enyhe módosítása "rossz szereplőre", hogy teljes mértékben helyes és befogadó legyen).

Minden törvénycsomag a kiberbiztonság különböző aspektusaival foglalkozik, megbízható technikai megoldások tervezésével és összetett szervezetek kockázati profiljának kezelésével egy folyamatosan változó veszélyforrás-környezetben. E törvények természetének különbsége azt is szemlélteti, hogy a kiberbiztonság általában nehéz természetű. A technikai elemek az abszolút érték felé haladnak, míg a kockázatot valószínűség és bizonyosság alapján mérik.

Mivel nehéz előrejelzéseket készíteni, különösen a jövőre nézve, gyanítjuk, hogy ezek a törvények a kiberbiztonsági kockázat ismeretében fejlődhetnek.

Tíz kiberbiztonsági kockázatról szóló törvény

  1. A biztonsági siker rontja a támadó megtérülését – A biztonság nem tud tökéletes biztonságos állapotot elérni, ezért elrettenti őket a befektetés megtérülésének (ROI) megzavarásával és rontásával. Növelje a támadó költségeit, és csökkentse a támadó által a legfontosabb eszközökre vonatkozó megtérülést.
  2. A feltartóztatás elmarad – A biztonság folyamatos folyamat. Tovább kell haladnia, mert folyamatosan olcsóbb lesz a támadók számára, hogy sikeresen átvegye az irányítást az eszközei felett. Folyamatosan frissítenie kell a biztonsági javításokat, stratégiákat, fenyegetésfigyelést, leltározást, eszközhasználatot, monitorozást, engedélymodelleket, platformlefedettséget és minden mást, amely idővel változik.
  3. A hatékonyság mindig nyer – Ha a biztonság nem könnyű a felhasználók számára, akkor megkerülik a munkájukat. Mindig győződjön meg arról, hogy a megoldások biztonságosak és használhatóak.
  4. A támadókat nem érdekli – A támadók bármilyen elérhető módszert használnak a környezetbe való belépéshez és az eszközökhöz való hozzáféréshez, beleértve a hálózati nyomtatókat, a haltartály hőmérőit, a felhőszolgáltatásokat, a pc-ket, a kiszolgálókat, a Maceket vagy a mobileszközöket. Befolyásolják vagy becsapják a felhasználókat, kihasználják a konfigurációs hibákat vagy a nem biztonságos üzemeltetési folyamatokat, vagy csak jelszót kérnek egy adathalász e-mailben. Az Ön feladata, hogy megismerje és elvegye a legegyszerűbb, legolcsóbb és leg-hasznosabb lehetőségeket, például minden olyan lehetőséget, amely rendszergazdai jogosultságokat eredményez a rendszerekben.
  5. A könyörtelen rangsorolás túlélési képesség – Senki sem rendelkezik elegendő idővel és erőforrással ahhoz, hogy kiküszöbölje az összes erőforrást érintő kockázatokat. Mindig kezdje a szervezet számára legfontosabb vagy a támadók számára legérdekesebb elemekkel, és folyamatosan frissítse ezt a rangsort.
  6. A kiberbiztonság egy csapatsport – Senki nem tehet meg mindent, ezért mindig azokra a dolgokra összpontosítson, amelyeket csak Ön (vagy szervezete) tehet a szervezet küldetésének védelme érdekében. Ha a biztonsági szállítók, felhőszolgáltatók vagy a közösség jobban vagy olcsóbban tud tenni, tegye meg velük.
  7. A hálózat nem olyan megbízható, mint amilyennek gondolja – A jelszavakra támaszkodó és az intranetes eszközök megbízhatóságára támaszkodó biztonsági stratégia csak marginálisan jobb, mint a biztonsági stratégia hiánya. A támadók könnyen elkerülik ezeket a védelmet, ezért az egyes eszközök, felhasználók és alkalmazások megbízhatósági szintjét folyamatosan igazolni és ellenőrizni kell, kezdve a nulla megbízhatósági szinttel.
  8. Az elkülönített hálózatok nem biztonságosak automatikusan – Bár a levegőben csatlakoztatott hálózatok erős biztonságot nyújthatnak megfelelő karbantartás esetén, a sikeres példák rendkívül ritkán fordulnak elő, mivel minden csomópontot el kell különíteni a külső kockázattól. Ha a biztonság elég kritikus ahhoz, hogy erőforrásokat helyezzen el egy elkülönített hálózaton, érdemes kockázatcsökkentéseket végeznie a lehetséges kapcsolatok kezelésére olyan módszerekkel, mint például az USB-adathordozó (például javításokhoz szükséges), az intranetes hálózat és a külső eszközök közötti hidak (például gyártói laptopok egy gyártósoron), valamint az olyan belső fenyegetések, amelyek megkerülhetik az összes műszaki vezérlőt.
  9. A titkosítás önmagában nem adatvédelmi megoldás – A titkosítás védelmet nyújt a sávon kívüli támadások (például hálózati csomagok, fájlok és tárolás) ellen, de az adatok csak annyira biztonságosak, mint a visszafejtési kulcs (kulcserősség + a lopás/másolás elleni védelem) és más engedélyezett hozzáférési eszközök.
  10. A technológia nem oldja meg az embereket és a feldolgozási problémákat – Míg a gépi tanulás, a mesterséges intelligencia és más technológiák elképesztő ugrásokat kínálnak a biztonság terén (helyesen alkalmazva), a kiberbiztonság emberi kihívás, és soha nem oldja meg egyedül a technológia.

Referencia

Nem módosítható biztonsági törvények v2

  • Törvény # 1: Ha egy rossz színész meg tudja győzni, hogy futtassa a programot a számítógépen, ez nem csak a számítógép többé.
  • 2. törvény: Ha egy rossz szereplő megváltoztathatja a számítógép operációs rendszerét, az már nem az Ön számítógépe.
  • 3. törvény: Ha egy rossz szereplő korlátlan fizikai hozzáféréssel rendelkezik a számítógéphez, az már nem az Ön számítógépe.
  • 4. törvény: Ha engedélyezi, hogy egy rossz szereplő aktív tartalmat futtasson a webhelyén, az már nem az Ön webhelye.
  • 5. törvény: A gyenge jelszavak erős biztonságot adnak.
  • 6. törvény: A számítógép csak olyan biztonságos, mint a rendszergazda megbízható.
  • 7. törvény: A titkosított adatok csak annyira biztonságosak, mint a visszafejtési kulcsuk.
  • Törvény # 8: A elavult kártevőirtó szkenner csak marginálisan jobb, mint egy szkenner egyáltalán.
  • 9. törvény: Az abszolút anonimitás gyakorlatilag nem érhető el, sem online, sem offline.
  • Törvény # 10: A technológia nem csodaszer.