Неизменяемые законы о безопасности

Оригинальные неизменяемые законы безопасности определили ключевые технические истины, которые разбили распространенные мифы о безопасности в те времена. В этом духе мы публикуем новый дополнительный набор законов, ориентированный на перебор распространенных мифов в современном мире повсеместного риска кибербезопасности.

Поскольку первоначальные неизменяемые законы, информационная безопасность выросла из технической дисциплины в дисциплину управления рисками кибербезопасности, которая включает облачные устройства, IoT и OT. Теперь безопасность является частью нашей повседневной жизни, обсуждения бизнес-рисков и выборов.

Многие из нас в отрасли последовали этому пути к более высокому уровню абстракции, мы видели шаблоны распространенных мифов, предвзятости и неопределенности возникают на уровне управления рисками. Мы решили создать новый список законов для риска кибербезопасности при сохранении исходных законов (v2), как это (с одним небольшим изменением "плохого парня" на "плохого актера", чтобы быть полностью правильным и включающим).

Каждый набор законов имеет дело с различными аспектами кибербезопасности, проектированием звуковых технических решений и управлением профилем рисков сложных организаций в постоянно изменяющейся среде угроз. Разница в характере этих законов также иллюстрирует трудный характер навигации по кибербезопасности в целом. Технические элементы, как правило, относятся к абсолютному, в то время как риск измеряется вероятностью и уверенностью.

Так как прогнозы трудно сделать, особенно о будущем, мы подозреваем, что эти законы могут развиваться с нашим пониманием риска кибербезопасности.

Десять законов о рисках кибербезопасности

1. Успех безопасности уничтожает roI злоумышленника — безопасность не может достичь идеального безопасного состояния, поэтому сдерживать их, нарушая и ухудшая их рентабельность инвестиций (ROI). Увеличьте затраты злоумышленника и уменьшите возврат злоумышленника для наиболее важных ресурсов.
2. Отсутствие поддержки отстает - безопасность является непрерывным путешествием. Вы должны продолжать двигаться вперед, потому что он постоянно дешевле для злоумышленников, чтобы успешно контролировать ваши активы. Вы должны постоянно обновлять исправления безопасности, стратегии, осведомленность об угрозах, инвентаризацию, средства, мониторинг, модели разрешений, покрытие платформы и все остальное, что изменяется с течением времени.
3. Производительность всегда выигрывает . Если безопасность не проста для пользователей, они работают вокруг нее, чтобы сделать свою работу. Всегда убедитесь, что решения безопасны и доступны для использования.
4. Злоумышленники не заботятся . Злоумышленники используют любой доступный метод для доступа к вашей среде и доступа к ресурсам, включая сетевые принтеры, термометры рыбного бака, облачные службы, компьютеры, серверы, Macs или мобильные устройства. Они влияют на пользователей или обманывают пользователей, используют ошибки конфигурации или небезопасные операционные процессы или просто запрашивают пароли в фишинговом сообщении электронной почты. Ваша работа заключается в том, чтобы понять и забрать самый простой, дешевый и наиболее полезные варианты, как все, что приводит к административным привилегиям в системах.
5. Безжалостная приоритетность — никто не имеет достаточно времени и ресурсов, чтобы устранить все риски для всех ресурсов. Всегда начинайте с того, что наиболее важно для вашей организации или наиболее интересно для злоумышленников, и постоянно обновляйте эту приоритетность.
6. Кибербезопасность — это спорт команды. Никто не может сделать все это, поэтому всегда сосредоточиться на вещах, которые могут делать только вы (или ваша организация) для защиты миссии вашей организации. Если поставщики безопасности, поставщики облачных служб или сообщество могут сделать это лучше или дешевле, сделайте это.
7. Ваша сеть не так надежна, как вы думаете, это — стратегия безопасности, которая зависит от паролей и доверия к любому устройству интрасети, является лишь незначительно лучше, чем отсутствие стратегии безопасности. Злоумышленники легко уклоняются от этих защит, поэтому уровень доверия каждого устройства, пользователя и приложения должен быть проверен и проверен непрерывно, начиная с уровня нулевого доверия.
8. Изолированные сети не защищены автоматически . Хотя сети с отслеживанием воздуха могут обеспечить надежную безопасность при правильном обслуживании, успешные примеры крайне редки, так как каждый узел должен быть изолирован от внешнего риска. Если безопасность достаточно важна для размещения ресурсов в изолированной сети, следует инвестировать в устранение рисков для решения потенциальных подключений с помощью таких методов, как USB-носитель (например, необходимый для исправлений), мосты между сетью интрасети и внешними устройствами (например, ноутбуки поставщика на рабочей линии) и внутренние угрозы, которые могут обойти все технические средства управления.
9. Шифрование не является решением для защиты данных. Шифрование защищает от исходящих атак (например, сетевых пакетов, файлов и хранилища), но данные являются безопасными, как ключ расшифровки (защита ключей и защита от кражи и копирования), а также другие авторизованные средства доступа.
10. Технология не решает проблемы людей и процессов - в то время как машинное обучение, искусственный интеллект и другие технологии предлагают удивительные скачки вперед в безопасности (при правильном применении), кибербезопасность является человеческой проблемой, и никогда не будет решаться только технологией.

Справочные материалы

Неизменяемые законы безопасности версии 2

• Закон #1: Если плохой актер может убедить вас запустить свою программу на компьютере, это не только ваш компьютер больше.
• Закон 2. Если плохой субъект может изменить операционную систему на компьютере, это больше не ваш компьютер.
• Закон #3. Если плохой субъект не имеет неограниченного физического доступа к компьютеру, это больше не ваш компьютер.
• Закон 4. Если вы разрешаете плохому субъекту запускать активное содержимое на веб-сайте, это больше не ваш веб-сайт.
• Закон No 5: Слабые пароли трампа надежной безопасности.
• Закон No 6. Компьютер является безопасным, так как администратор является надежным.
• Закон 7. Зашифрованные данные защищены только так же, как его ключ расшифровки.
• Закон No 8: устаревший сканер антивредоносного поверх только незначительно лучше, чем не сканер вообще.
• Закон No 9: Абсолютная анонимность практически не достигается, либо онлайн, либо в автономном режиме.
• Закон No 10: Технология не панацея.