Hukum keamanan yang tidak dapat diubah

  • Artikel

Hukum asli keamanan yang tidak dapat diubah mengidentifikasi kebenaran teknis utama yang menangkap mitos keamanan yang lazim pada saat itu. Dalam semangat itu, kami memperbarui undang-undang ini berfokus pada penghancuran mitos dalam dunia risiko keamanan cyber di mana-mana saat ini.

Karena undang-undang asli yang tidak dapat diubah, keamanan informasi tumbuh dari disiplin teknis menjadi disiplin manajemen risiko keamanan cyber yang mencakup perangkat cloud, IoT, dan OT. Sekarang keamanan adalah bagian dari struktur kehidupan kita sehari-hari, diskusi risiko bisnis, pemilu, dan banyak lagi.

Karena banyak dari kita di industri mengikuti perjalanan ini ke tingkat abstraksi yang lebih tinggi, kita melihat pola mitos umum, bias, dan titik buta muncul pada lapisan manajemen risiko. Kami memutuskan untuk membuat daftar undang-undang baru untuk risiko keamanan cyber sambil mempertahankan hukum asli (v2) apa adanya (dengan sedikit perubahan "orang jahat" menjadi "pelaku jahat" untuk sepenuhnya benar dan inklusif).

Setiap set undang-undang berkaitan dengan berbagai aspek keamanan cyber - merancang solusi teknis yang sehat vs. mengelola profil risiko organisasi kompleks di lingkungan ancaman yang selalu berubah. Perbedaan sifat hukum ini juga menggambarkan sifat sulit menavigasi keamanan cyber secara umum; elemen teknis cenderung terhadap absolut sementara risiko diukur dalam kemungkinan dan kepastian

Karena sulit untuk membuat prediksi (terutama tentang masa depan), kami menduga undang-undang ini akan berkembang dengan pemahaman kami tentang risiko keamanan cyber.

10 Hukum Risiko Keamanan Cyber

  1. Keberhasilan keamanan merusak ROI penyerang - Keamanan tidak dapat mencapai keadaan yang benar-benar aman sehingga menghalangi mereka dengan mengganggu dan menurunkan Return on Investment (ROI) mereka. Tingkatkan biaya penyerang dan turunkan pengembalian penyerang untuk aset terpenting Anda.
  2. Tidak mengikuti ketertinggalan - Keamanan adalah perjalanan berkelanjutan, Anda harus terus bergerak maju karena terus-menerus menjadi lebih murah dan lebih murah bagi penyerang untuk berhasil mengendalikan aset Anda. Anda harus terus memperbarui patch keamanan, strategi keamanan, kesadaran ancaman, persediaan keamanan, alat keamanan, kebersihan keamanan, pemantauan keamanan, model izin, cakupan platform, dan hal lain yang berubah dari waktu ke waktu.
  3. Produktivitas selalu menang - Jika keamanan tidak mudah bagi pengguna, mereka menemukan solusi untuk menyelesaikan pekerjaan mereka. Selalu pastikan solusi aman dan dapat digunakan.
  4. Penyerang tidak peduli - Penyerang menggunakan metode yang tersedia untuk masuk ke lingkungan Anda dan meningkatkan akses ke aset Anda termasuk mengorbankan printer jaringan, termometer tangki ikan, layanan cloud, PC, Server, Mac, perangkat seluler, memengaruhi atau mengelabui pengguna, mengeksploitasi kesalahan konfigurasi atau proses operasional yang tidak aman, atau hanya meminta kata sandi dalam email phishing. Tugas Anda adalah memahami dan mengambil opsi term mudah dan termurah serta yang paling berguna. Metode ini mencakup apa pun yang mungkin menyebabkan hak istimewa administratif di banyak sistem.
  5. Prioritas Kejam adalah keterampilan bertahan hidup - Tidak ada yang memiliki cukup waktu dan sumber daya untuk menghilangkan semua risiko pada semua sumber daya. Selalu mulai dengan apa yang paling penting bagi organisasi Anda, yang paling menarik bagi penyerang, dan terus memperbarui prioritas ini.
  6. Keamanan cyber adalah olahraga tim - Tidak ada yang dapat melakukan semuanya, jadi selalu fokus pada hal-hal yang hanya dapat Anda (atau organisasi Anda) lakukan untuk melindungi misi organisasi Anda. Untuk hal-hal yang dapat dilakukan orang lain lebih baik atau lebih murah, minta mereka melakukannya (vendor keamanan, penyedia cloud, komunitas).
  7. Jaringan Anda tidak dapat dipercaya seperti yang Anda pikirkan - Strategi keamanan yang bergantung pada kata sandi dan memercayai perangkat intranet apa pun hanya secara marginal lebih baik daripada tidak ada strategi keamanan sama sekali. Penyerang dengan mudah menghindari pertahanan ini sehingga tingkat kepercayaan setiap perangkat, pengguna, dan aplikasi harus dibuktikan dan divalidasi terus menerus dimulai dengan tingkat kepercayaan nol.
  8. Jaringan terisolasi tidak secara otomatis aman - Meskipun jaringan yang terpasang di udara dapat menawarkan keamanan yang kuat ketika dipertahankan dengan benar, contoh yang berhasil sangat jarang terjadi karena setiap simpul harus sepenuhnya terisolasi dari risiko luar. Jika keamanan cukup penting untuk menempatkan sumber daya di jaringan terisolasi, Anda harus berinvestasi dalam mitigasi untuk mengatasi konektivitas potensial melalui metode seperti media USB (misalnya, diperlukan untuk patch), jembatan ke jaringan intranet, dan perangkat eksternal (misalnya, laptop vendor pada lini produksi), dan ancaman orang dalam yang dapat menghindari semua kontrol teknis.
  9. Enkripsi saja bukan solusi perlindungan data - Enkripsi melindungi dari serangan band (pada paket jaringan, file, penyimpanan, dll.), tetapi data hanya seaman kunci dekripsi (kekuatan kunci + perlindungan dari pencurian/penyalinan) dan cara akses resmi lainnya.
  10. Teknologi tidak memecahkan masalah orang dan proses - Meskipun pembelajaran mesin, kecerdasan buatan, dan teknologi lain menawarkan lompatan luar biasa ke depan dalam keamanan (ketika diterapkan dengan benar), keamanan cyber adalah tantangan manusia dan tidak dapat diselesaikan oleh teknologi saja.

Referensi

Hukum Keamanan v2 yang Tidak Dapat Diubah

  • Hukum #1: Jika aktor jahat dapat membujuk Anda untuk menjalankan program mereka di komputer Anda, itu bukan hanya komputer Anda lagi.
  • Hukum #2: Jika aktor jahat dapat mengubah sistem operasi di komputer Anda, itu bukan komputer Anda lagi.
  • Hukum #3: Jika aktor jahat memiliki akses fisik yang tidak terbatas ke komputer Anda, itu bukan komputer Anda lagi.
  • Hukum #4: Jika Anda mengizinkan aktor jahat untuk menjalankan konten aktif di situs web Anda, itu bukan situs web Anda lagi.
  • Undang-undang #5: Kata sandi lemah trump keamanan yang kuat.
  • Hukum #6: Komputer hanya seaman administrator yang dapat dipercaya.
  • Hukum #7: Data terenkripsi hanya seaman kunci dekripsinya.
  • Hukum #8: Pemindai antimalware kedaluarsa hanya secara marginal lebih baik daripada tidak ada pemindai sama sekali.
  • Hukum #9: Anonimitas absolut tidak dapat dicapai secara praktis, online atau offline.
  • Hukum #10: Teknologi bukanlah mujarama.