Freigeben über

Die unveränderlichen Sicherheitsvorschriften

  • Artikel

In den ursprünglichen unveränderlichen Gesetzen der Sicherheit wurden die wichtigsten technischen Wahrheiten aufgezeigt, die die weit verbreiteten Sicherheitsmythen der damaligen Zeit widerlegten. In diesem Sinne veröffentlichen wir einen neuen ergänzenden Gesetzesatz, der sich auf die Entlarvung weit verbreiteter Mythen in der heutigen Welt des allgegenwärtigen Cybersicherheitsrisikos konzentriert.

Seit den ursprünglichen unveränderlichen Gesetzen ist die Informationssicherheit von einer technischen Disziplin zu einer Disziplin des Cybersicherheitsrisikomanagements gewachsen, die Cloud-, IoT- und OT-Geräte umfasst. Die Sicherheit ist nun Teil unserer täglichen Struktur, Geschäftsrisikodiskussionen und Wahlen.

Als viele von uns in der Branche dieser Reise zu einer höheren Abstraktionsebene folgten, sahen wir Muster gemeinsamer Mythen, Voreingenommenheiten und Unsicherheit auf der Risikomanagementebene. Wir haben beschlossen, eine neue Liste von Gesetzen für Cybersicherheitsrisiken zu erstellen, während die ursprünglichen Gesetze (v2) unverändert bleiben, abgesehen von einer einzigen geringfügigen Änderung, nämlich "bad guy" zu "bad actor", um vollständig korrekt und umfassend zu sein.

Jede Reihe von Gesetzen befasst sich mit verschiedenen Aspekten der Cybersicherheit, dem Entwerfen solider technischer Lösungen und der Verwaltung eines Risikoprofils komplexer Organisationen in einer sich ständig ändernden Bedrohungsumgebung. Der Unterschied in der Natur dieser Gesetze veranschaulicht auch die schwierige Art der Navigation in der Cybersicherheit im Allgemeinen. Technische Elemente neigen zur absoluten Tendenz, während das Risiko in Wahrscheinlichkeit und Sicherheit gemessen wird.

Da es schwierig ist, Vorhersagen zu treffen, insbesondere in Bezug auf die Zukunft, vermuten wir, dass diese Gesetze sich mit unserem Verständnis des Cybersicherheitsrisikos entwickeln könnten.

Zehn Gesetze des Cybersicherheitsrisikos

  1. Erfolg der Sicherheit ruiniert den ROI des Angreifers – Sicherheit kann keinen perfekten sicheren Zustand erreichen, so schrecken Sie sie ab, indem Sie ihre Rendite auf Investment (ROI) stören und verringern. Erhöhen Sie die Kosten des Angreifers, und verringern Sie die Rendite des Angreifers für Ihre wichtigsten Ressourcen.
  2. Wer nicht Schritt hält, fällt zurück – Sicherheit ist eine kontinuierliche Reise. Sie müssen weiter voranschreiten, da es für Angreifer zunehmend billiger wird, erfolgreich die Kontrolle über Ihre Vermögenswerte zu übernehmen. Sie müssen Ihre Sicherheitspatches, Strategien, Bedrohungsbewusstsein, Bestand, Tools, Überwachung, Berechtigungsmodelle, Plattformabdeckung und alles andere, was sich im Laufe der Zeit ändert, kontinuierlich aktualisieren.
  3. Produktivität gewinnt immer – Wenn Sicherheit nicht benutzerfreundlich ist, finden Benutzer Wege, sie zu umgehen, um ihre Arbeit zu erledigen. Stellen Sie immer sicher, dass Lösungen sicher und nutzbar sind: und.
  4. Angreifer kümmern sich nicht um – Angreifer verwenden alle verfügbaren Methoden, um in Ihre Umgebung zu gelangen und auf Ihre Ressourcen zuzugreifen, einschließlich Netzwerkdruckern, Fischtankthermometern, Clouddiensten, PCs, Servern, Macs oder mobilen Geräten. Sie beeinflussen oder verleiten Benutzer, missbrauchen Konfigurationsfehler oder unsichere betriebliche Prozesse oder fragen einfach nur Kennwörter in einer Phishing-E-Mail. Ihre Aufgabe besteht darin, die einfachsten, billigsten und nützlichsten Optionen zu verstehen und zu entfernen, wie alles, was zu Administratorrechten in allen Systemen führt.
  5. rücksichtslose Priorisierung ist eine Überlebensfähigkeit – Niemand hat genügend Zeit und Ressourcen, um alle Risiken für alle Ressourcen zu beseitigen. Beginnen Sie immer mit dem, was für Ihre Organisation am wichtigsten ist oder für Angreifer am interessantesten ist, und aktualisieren Sie diese Priorisierung kontinuierlich.
  6. Cybersicherheit ist ein Teamsport – Niemand kann alles tun, also konzentrieren Sie sich immer auf die Dinge, die nur Sie (oder Ihre Organisation) tun können, um die Mission Ihrer Organisation zu schützen. Wenn Sicherheitsanbieter, Cloudanbieter oder die Community dies besser oder billiger machen können, lassen Sie sie es tun.
  7. Ihr Netzwerk ist nicht so vertrauenswürdig, wie Sie glauben, dass es ist – eine Sicherheitsstrategie, die auf Kennwörtern basiert und jedem Intranetgerät vertraut, ist nur marginal besser als fehlende Sicherheitsstrategie. Angreifer können diese Abwehrmaßnahmen einfach umgehen, sodass die Vertrauensstufe jedes Geräts, jedes Benutzers und jede Anwendung kontinuierlich nachgewiesen und validiert werden muss, beginnend mit einer Null-Vertrauensstufe.
  8. Isolierte Netzwerke sind nicht automatisch sicher – Während luftgespaltene Netzwerke bei der korrekten Wartung starke Sicherheit bieten können, sind erfolgreiche Beispiele extrem selten, da jeder Knoten von außerhalb des Risikos isoliert werden muss. Wenn die Sicherheit kritisch genug ist, um Ressourcen in einem isolierten Netzwerk zu platzieren, sollten Sie in Gegenmaßnahmen investieren, um potenzielle Konnektivität über Methoden wie USB-Medien (z. B. für Patches erforderlich), Brücken zwischen dem Intranetnetzwerk und externen Geräten (z. B. Anbieter-Laptops in einer Produktionslinie) und Insider-Bedrohungen zu beheben, die alle technischen Kontrollen umgehen könnten.
  9. Verschlüsselung allein ist keine Datenschutzlösung – Verschlüsselung schützt vor Out-of-Band-Angriffen (z. B. Netzwerkpakete, Dateien und Speicher), aber Daten sind nur so sicher wie der Entschlüsselungsschlüssel (Schlüsselstärke + Schutz vor Diebstahl/Kopieren) und andere autorisierte Zugriffsmöglichkeiten.
  10. Technologie löst keine Menschen- und Prozessprobleme – Während maschinelles Lernen, künstliche Intelligenz und andere Technologien erstaunliche Fortschritte in der Sicherheit (bei richtiger Anwendung) bieten, ist Cybersicherheit eine menschliche Herausforderung und wird nie allein durch Technologie gelöst werden.

Referenz

Unveränderliche Gesetze der Sicherheit v2

  • Gesetz Nr. 1: Wenn ein schlechter Schauspieler Sie davon überzeugen kann, sein Programm auf Ihrem Computer auszuführen, ist es nicht mehr allein Ihr Computer.
  • Gesetz Nr. 2: Wenn ein ungültiger Akteur das Betriebssystem auf Ihrem Computer ändern kann, ist es nicht mehr Ihr Computer.
  • Gesetz Nr. 3: Wenn ein schlechter Akteur uneingeschränkten physischen Zugriff auf Ihren Computer hat, ist es nicht mehr Ihr Computer.
  • Gesetz Nr. 4: Wenn Sie einem schlechten Akteur erlauben, aktive Inhalte auf Ihrer Website auszuführen, ist es nicht mehr Ihre Website.
  • Gesetz Nr. 5: Schwache Kennwörter untergraben starke Sicherheitsmaßnahmen.
  • Gesetz Nr. 6: Ein Computer ist nur so sicher wie der Administrator vertrauenswürdig ist.
  • Gesetz Nr. 7: Verschlüsselte Daten sind nur so sicher wie der Entschlüsselungsschlüssel.
  • Gesetz Nr. 8: Ein veralteter Antischadsoftwarescanner ist nur marginal besser als überhaupt kein Scanner.
  • Gesetz Nr. 9: Absolute Anonymität ist nicht praktisch erreichbar, entweder online oder offline.
  • Gesetz Nr. 10: Technologie ist kein Allheilmittel.