Le leggi immutabili della sicurezza

Le leggi originali immutabili della sicurezza identificavano le verità tecniche chiave che sconvolse miti di sicurezza prevalenti di quei tempi. In questo spirito, abbiamo aggiornato queste leggi incentrate sul busting miti nel mondo odierno del rischio di cybersecurity onnipresente.

Dal momento che le leggi originali non modificabili, la sicurezza delle informazioni è cresciuta da una disciplina tecnica di gestione dei rischi di cybersecurity che include dispositivi cloud, IoT e OT. Ora la sicurezza fa parte del tessuto della nostra vita quotidiana, discussioni sui rischi aziendali, elezioni e altro ancora.

Come molti di noi nel settore hanno seguito questo percorso verso un livello più elevato di astrazione, abbiamo visto modelli di miti comuni, distorsioni e punti ciechi emergono a livello di gestione dei rischi. Abbiamo deciso di creare un nuovo elenco di leggi per il rischio di cybersecurity mantenendo le leggi originali (v2) così com'è (con un unico leggero cambiamento di "cattivo" a "cattivo attore" per essere completamente corretto e inclusivo).

Ogni serie di leggi riguarda diversi aspetti della cybersecurity, ovvero la progettazione di soluzioni tecniche valide e la gestione di un profilo di rischio di organizzazioni complesse in un ambiente di minaccia in continua evoluzione. La differenza nella natura di queste leggi illustra anche la natura difficile di navigare nella cybersecurity in generale; gli elementi tecnici tendono verso l'assoluto, mentre il rischio viene misurato in probabilità e certezza

Poiché è difficile effettuare stime (soprattutto sul futuro), si sospetta che queste leggi si evolveranno con la comprensione del rischio di cybersecurity.

10 Leggi del rischio di cybersecurity

1. Il successo della sicurezza sta rovinando il ROI dell'utente malintenzionato: la sicurezza non riesce a ottenere uno stato assolutamente sicuro, quindi scoraggiarli interrompendo e riducendo il ritorno sugli investimenti (ROI). Aumentare il costo dell'utente malintenzionato e ridurre il ritorno dell'utente malintenzionato per gli asset più importanti.
2. Non tenere il passo è in ritardo: la sicurezza è un percorso continuo, è necessario continuare a spostarsi in avanti perché diventa continuamente più economico e conveniente per gli utenti malintenzionati di assumere correttamente il controllo delle risorse. È necessario aggiornare continuamente le patch di sicurezza, le strategie di sicurezza, la consapevolezza delle minacce, l'inventario, gli strumenti di sicurezza, l'igiene della sicurezza, il monitoraggio della sicurezza, i modelli di autorizzazione, la copertura della piattaforma e qualsiasi altro elemento che cambia nel tempo.
3. La produttività vince sempre: se la sicurezza non è facile per gli utenti, trovano soluzioni alternative per svolgere il proprio lavoro. Assicurarsi sempre che le soluzioni siano sicure e utilizzabili.
4. Gli utenti malintenzionati non importano : gli utenti malintenzionati usano qualsiasi metodo disponibile per accedere all'ambiente e aumentare l'accesso alle risorse, tra cui compromettere una stampante con rete, un termometro del serbatoio di pesce, un servizio cloud, un PC, un Server, un Mac, un dispositivo mobile, influenzare o ingannare un utente, sfruttare un errore di configurazione o un processo operativo non sicuro o semplicemente chiedere password in un messaggio di posta elettronica di phishing. Il tuo lavoro è quello di comprendere e togliere le opzioni più semplici e più economiche, nonché quelle più utili. Questi metodi includono qualsiasi elemento che potrebbe portare a privilegi amministrativi in molti sistemi.
5. La prioritizzazione spietata è un'abilità di sopravvivenza: nessuno ha abbastanza tempo e risorse per eliminare tutti i rischi per tutte le risorse. Iniziare sempre con ciò che è più importante per l'organizzazione, più interessante per gli utenti malintenzionati e aggiornare continuamente questa definizione di priorità.
6. Cybersecurity è uno sport di squadra: nessuno può fare tutto, quindi concentrarsi sempre sulle cose che solo l'utente (o l'organizzazione) può fare per proteggere la missione dell'organizzazione. Per le cose che altri utenti possono fare meglio o meno, farlo (fornitori di sicurezza, provider di servizi cloud, community).
7. La rete non è affidabile come si ritiene: una strategia di sicurezza che si basa sulle password e l'attendibilità di qualsiasi dispositivo Intranet è solo marginalmente migliore di nessuna strategia di sicurezza. Gli utenti malintenzionati evase facilmente queste difese, quindi il livello di attendibilità di ogni dispositivo, utente e applicazione deve essere dimostrato e convalidato continuamente a partire da un livello di attendibilità zero.
8. Le reti isolate non sono automaticamente protette : mentre le reti air-gapped possono offrire una sicurezza assoluta quando vengono mantenute correttamente, gli esempi riusciti sono estremamente rari perché ogni nodo deve essere completamente isolato dal rischio esterno. Se la sicurezza è sufficientemente critica da inserire risorse in una rete isolata, è necessario investire in mitigazioni per risolvere potenziali problemi di connettività tramite metodi quali supporti USB (ad esempio, necessari per le patch), bridge alla rete Intranet e dispositivi esterni (ad esempio, portatili fornitore in una linea di produzione) e minacce interne che potrebbero aggirare tutti i controlli tecnici.
9. La crittografia da sola non è una soluzione di protezione dei dati: la crittografia protegge da attacchi fuori banda (su pacchetti di rete, file, archiviazione e così via), ma i dati sono protetti solo come la chiave di decrittografia (forza chiave e protezioni da furti/copie) e altri mezzi autorizzati di accesso.
10. La tecnologia non risolve i problemi di persone e processi: mentre l'apprendimento automatico, l'intelligenza artificiale e altre tecnologie offrono incredibili passi avanti nella sicurezza (se applicati correttamente), la cybersecurity è una sfida umana e non può essere risolta solo dalla tecnologia.

Riferimento

Leggi non modificabili della sicurezza v2

• Legge n. 1: Se un cattivo attore può convincere a eseguire il loro programma sul computer, non è più il tuo computer.
• Legge n. 2: Se un cattivo attore può modificare il sistema operativo nel computer, non è più il computer.
• Legge 3: Se un cattivo attore ha accesso fisico illimitato al computer, non è più il computer.
• Legge n. 4: se si consente a un cattivo attore di eseguire contenuti attivi nel sito Web, non è più il sito Web.
• Legge n. 5: Le password deboli superano la sicurezza avanzata.
• Legge n. 6: un computer è sicuro come l'amministratore è attendibile.
• Legge 7: I dati crittografati sono sicuri come la chiave di decrittografia.
• Legge n. 8: uno scanner antimalware non aggiornato è solo marginalmente migliore di nessun scanner.
• Legge n. 9: l'anonimato assoluto non è praticamente raggiungibile, online o offline.
• Legge 10: La tecnologia non è una panacea.