不可變的安全性法
最初的 不可變安全 法確定了打破當時普遍安全神話的關鍵技術真理。 本著這種精神,我們正在發佈一套新的補充法律,專注於打破當今無處不在的網路安全性風險世界中普遍存在的神話。
由於原始不可變的法律,資訊安全已從技術專業領域成長為網路安全風險管理專業領域,包括雲端、IoT 和 OT 裝置。 現在,安全是我們日常生活、商業風險討論和選舉的一部分。
隨著我們業內許多人遵循這一旅程,達到更高的抽象水平,我們看到風險管理層出現了常見的神話、偏見和不確定性模式。 我們決定為網路安全風險建立新的法律清單,同時保留原法律(v2)和原法律(與“壞人”的單一輕微變化,以“壞人”為“壞演員”,以完全正確和包容)。
每組法律都會處理網路安全的不同層面,設計健全的技術解決方案,以及管理不斷變化的威脅環境中複雜組織的風險配置檔。 這些法律的性質差異也說明瞭一般瀏覽網路安全的難度。 技術元素傾向於絕對專案,而風險是以可能性和確定性來測量。
由於很難進行預測,尤其是未來,我們懷疑這些法律可能會隨著我們對網路安全風險的理解而演變。
網路安全風險的十項法律
- 安全性成功破壞了攻擊者的 ROI – 安全性無法達到完美的安全狀態,因此藉由中斷和降低其投資報酬率來阻止他們。 增加攻擊者的成本,並降低攻擊者對您最重要的資產的回報。
- 不跟上是落後 – 安全性是一個持續的旅程。 您必須繼續前進,因為攻擊者會持續變得更便宜,才能成功控制資產。 您必須持續更新安全性修補程式、策略、威脅感知、清查、工具、監視、許可權模型、平臺涵蓋範圍,以及隨著時間變更的任何其他專案。
- 生產力一律會獲勝 – 如果使用者的安全性並不容易,他們會解決它來完成工作。 請務必確定解決方案是安全 且 可使用的。
- 攻擊者不在乎 – 攻擊者會使用任何可用的方法來進入您的環境並存取您的資產,包括網路印表機、魚箱溫度計、雲端服務、計算機、伺服器、Mac 或行動裝置。 它們會影響或欺騙使用者、惡意探索設定錯誤或不安全的操作程式,或只是要求網路釣魚電子郵件中的密碼。 您的工作是瞭解並移除最簡單、最便宜且最有用的選項,例如任何會導致系統系統管理許可權的任何選項。
- 無情的優先順序是生存技能 – 沒有人有足夠的時間和資源來消除所有資源的所有風險。 一律從貴組織最重要的項目開始,或對攻擊者而言最感興趣的專案,並持續更新此優先順序。
- 網路安全性是一項團隊運動 - 沒有人能做到這一點,因此一律專注於只有您(或貴組織)能夠執行的工作來保護貴組織的使命。 如果安全性廠商、雲端提供者或社群可以做得更好或更便宜,請讓他們這麼做。
- 您的網路不像您認為 的那樣值得信任 – 依賴密碼和信任任何內部網路裝置的安全性策略,只比缺乏安全性策略略好。 攻擊者可以輕鬆地逃避這些防禦,因此必須持續驗證每個裝置、使用者和應用程式的信任等級,從零信任層級開始。
- 隔離的網路不會自動保護 – 雖然空中套用網路可以在正確維護時提供強大的安全性,但成功的範例非常罕見,因為每個節點都必須與外部風險隔離。 如果安全性足夠重要,可將資源放在隔離的網路上,您應該投資風險降低措施,透過USB媒體(例如修補程式所需)、內部網路與外部裝置之間的橋樑(例如生產線上的廠商膝上型計算機),以及可能規避所有技術控制的內部人員威脅來解決潛在的連線能力。
- 僅加密不是數據保護解決方案 – 加密可防範頻外攻擊(例如網路封包、檔案和記憶體),但數據僅像解密密鑰一樣安全(金鑰強度 + 防止竊取/複製的保護),以及其他授權的存取方式。
- 技術無法解決人員和程序問題 – 雖然機器學習、人工智慧和其他技術在安全性方面提供了驚人的飛躍(正確應用時),但網路安全是人類的挑戰,而且永遠不會單獨解決技術。
參考
不可變的安全性法 v2
- 法律 #1: 如果一個糟糕的演員可以說服你在計算機上執行他們的程式,它不再是您的計算機了。
- 法律 #2: 如果錯誤的動作專案可以改變計算機上的操作系統,它就不再是您的計算機。
- 法律 #3: 如果不良動作專案對您的計算機具有不受限制的實體存取權,它就不再是您的計算機了。
- 法律 #4: 如果您允許不良動作專案在您的網站中執行作用中內容,它不再是您的網站。
- 法律 #5: 弱式密碼勝過強式安全性。
- 法律 #6: 計算機只有系統管理員值得信任的安全。
- 法律 #7: 加密的數據只會像解密密鑰一樣安全。
- 法律 #8: 過時的反惡意代碼掃描器只比完全沒有掃描器好一些。
- 法律 #9: 絕對匿名實際上無法實現,無論是在線還是脫機。
- 法律 #10: 技術不是萬能藥。