Freigeben über

Die unumstößlichen Gesetze der Sicherheit

  • Artikel

In den ursprünglichen unveränderlichen Gesetzen der Sicherheit wurden die wichtigsten technischen Wahrheiten aufgezeigt, die die weit verbreiteten Sicherheitsmythen der damaligen Zeit widerlegten. In diesem Sinne veröffentlichen wir eine neue, ergänzende Reihe von Gesetzen, die sich darauf konzentrieren, weit verbreitete Mythen in der heutigen Welt des allgegenwärtigen Cybersecurity-Risikos zu entlarven.

Seit den ursprünglichen unveränderlichen Gesetzen hat sich die Informationssicherheit von einer technischen Disziplin zu einer Disziplin des Cybersecurity-Risikomanagements entwickelt, die auch Cloud-, IoT- und OT-Geräte umfasst. Heute ist die Sicherheit Teil unseres täglichen Lebens, von Diskussionen über Geschäftsrisiken und von Wahlen.

Als viele von uns in der Branche diese Reise zu einer höheren Abstraktionsebene antraten, sahen wir, dass sich auf der Ebene des Risikomanagements Muster gemeinsamer Mythen, Vorurteile und Unsicherheiten ausbildeten. Wir haben uns entschlossen, eine neue Liste von Gesetzen für Cybersecurity-Risiken zu erstellen und dabei die ursprünglichen Gesetze (v2) unverändert beizubehalten (mit einer einzigen kleinen Änderung von „Bösewicht“ zu „böswillige Akteure“, um ganz korrekt und inklusiv zu sein).

Jede Reihe von Gesetzen befasst sich mit unterschiedlichen Aspekten der Cybersicherheit, der Entwicklung solider technischer Lösungen und der Verwaltung des Risikoprofils komplexer Organisationen in einem sich ständig verändernden Bedrohungsumfeld. Der Unterschied in der Art dieser Gesetze verdeutlicht auch, wie schwierig es ist, sich im Bereich der Cybersicherheit zurechtzufinden. Die technischen Elemente sind eher absolut, während das Risiko in Wahrscheinlichkeit und Gewissheit gemessen wird.

Da es schwierig ist, Vorhersagen zu treffen, insbesondere über die Zukunft, vermuten wir, dass sich diese Gesetze mit unserem Verständnis von Cybersicherheitsrisiken weiterentwickeln werden.

Zehn Gesetze der Cybersicherheit

  1. Erfolg bei der Sicherheitserfolg bedeutet, den ROI des Angreifers zu ruinieren: Sicherheit kann keinen perfekten Sicherheitszustand erreichen, also schrecken Sie den Angreifer ab, indem Sie seinen Return on Investment (ROI) stören und verschlechtern. Erhöhen Sie die Kosten des Angreifers, und verringern Sie die Rendite des Angreifers für Ihre wichtigsten Ressourcen.
  2. Wer nicht mithält, fällt zurück: Sicherheit ist eine kontinuierliche Reise. Sie dürfen nicht stillstehen, denn es wird für Angreifer immer billiger, erfolgreich die Kontrolle über Ihr Vermögen zu übernehmen. Sie müssen Ihre Sicherheitspatches, Strategien, das Bewusstsein für Bedrohungen, das Inventar, die Tools, die Überwachung, die Berechtigungsmodelle, die Plattformabdeckung und alles andere, was sich im Laufe der Zeit ändert, ständig aktualisieren.
  3. Produktivität gewinnt immer: Wenn die Sicherheit für Benutzer nicht einfach ist, umgehen sie sie, um ihre Arbeit zu erledigen. Stellen Sie immer sicher, dass die Lösungen sicher und benutzbar sind.
  4. Angreifern ist es egal: Angreifer nutzen jede verfügbare Methode, um in Ihre Umgebung einzudringen und auf Ihre Ressourcen zuzugreifen, einschließlich vernetzter Drucker, Aquariumthermometer, Cloud-Dienste, PCs, Server, Macs oder mobiler Geräte. Sie beeinflussen oder täuschen Benutzer, nutzen Konfigurationsfehler oder unsichere betriebliche Abläufe aus oder fragen einfach in einer Phishing-E-Mail nach Passwörtern. Ihre Aufgabe ist es, die einfachsten, billigsten und nützlichsten Optionen zu verstehen und mitzunehmen, wie z. B. alles, was zu administrativen Privilegien über Systeme hinweg führt.
  5. Rücksichtslose Prioritätensetzung ist eine Überlebensstrategie: Niemand hat genug Zeit und Ressourcen, um alle Risiken für alle Ressourcen zu beseitigen. Beginnen Sie immer mit dem, was für Ihr Unternehmen am wichtigsten oder für Angreifer am interessantesten ist, und aktualisieren Sie diese Priorisierung kontinuierlich.
  6. Cybersicherheit ist ein Teamsport – Niemand kann alles machen. Konzentrieren Sie sich also immer auf die Dinge, die nur Sie (oder Ihr Unternehmen) tun können, um die Mission Ihres Unternehmens zu schützen. Wenn Sicherheitsanbieter, Cloud-Provider oder die Community es besser oder billiger machen können, dann sollen sie es tun.
  7. Ihr Netzwerk ist nicht so vertrauenswürdig, wie Sie denken: Eine Sicherheitsstrategie, die sich auf Kennwörter und das Vertrauen in jedes Intranetgerät verlässt, ist nur unwesentlich besser als eine fehlende Sicherheitsstrategie. Angreifer können diese Schutzmechanismen leicht umgehen. Daher muss die Vertrauenswürdigkeit jedes Geräts, jedes Benutzers und jeder Anwendung ständig überprüft und validiert werden, beginnend mit einer Vertrauenswürdigkeit von Null.
  8. Isolierte Netzwerke sind nicht automatisch sicher: Obwohl Netzwerke mit Luftabdeckung bei korrekter Wartung eine hohe Sicherheit bieten können, sind erfolgreiche Beispiele extrem selten, da jeder Knotenpunkt von äußeren Risiken isoliert sein muss. Wenn die Sicherheit so kritisch ist, dass Ressourcen in einem isolierten Netzwerk untergebracht werden müssen, sollten Sie in Abhilfemaßnahmen investieren, um potenzielle Konnektivität über Methoden wie USB-Medien (z. B. für Patches), Brücken zwischen dem Intranet-Netzwerk und externen Geräten (z. B. Laptops von Zulieferern in einer Produktionslinie) und Insider-Bedrohungen, die alle technischen Kontrollen umgehen könnten, zu verhindern.
  9. Verschlüsselung allein ist keine Lösung für Datenschutz: Verschlüsselung schützt vor Angriffen von außen (z. B. auf Netzwerkpakete, Dateien und Speicher), aber die Daten sind nur so sicher wie der Entschlüsselungsschlüssel (Schlüsselstärke + Schutz vor Diebstahl/Kopieren) und andere autorisierte Zugriffsmöglichkeiten.
  10. Technologie löst nicht die Probleme von Menschen und Prozessen: Obwohl maschinelles Lernen, künstliche Intelligenz und andere Technologien erstaunliche Fortschritte bei der Sicherheit bieten (wenn sie richtig angewendet werden), ist Cybersicherheit eine menschliche Herausforderung und wird niemals allein durch Technologie gelöst werden.

Verweis

Unumstößliche Sicherheitsregeln v2

  • Gesetz Nr. 1: Wenn ein böser Akteur Sie dazu bringen kann, sein Programm auf Ihrem Computer auszuführen, ist es nicht mehr nur Ihr Computer.
  • Gesetz Nr. 2: Wenn ein bösartiger Akteur das Betriebssystem auf Ihrem Computer verändern kann, ist es nicht mehr Ihr Computer.
  • Gesetz Nr. 3: Wenn ein Bösewicht uneingeschränkten physischen Zugang zu Ihrem Computer hat, ist es nicht mehr Ihr Computer.
  • Gesetz Nr. 4: Wenn Sie einem schlechten Akteur erlauben, aktive Inhalte auf Ihrer Website zu betreiben, ist es nicht mehr Ihre Website.
  • Gesetz Nr. 5: Schwache Passwörter übertrumpfen starke Sicherheit.
  • Gesetz Nr. 6: Ein Computer ist nur so sicher, wie der Administrator vertrauenswürdig ist.
  • Gesetz Nr. 7: Verschlüsselte Daten sind nur so sicher wie ihr Entschlüsselungscode.
  • Gesetz Nr. 8: Ein veralteter Anti-Malware-Scanner ist nur unwesentlich besser als gar kein Scanner.
  • Gesetz Nr. 9: Absolute Anonymität ist praktisch nicht erreichbar, entweder online oder offline.
  • Gesetz Nr. 10: Technologie ist kein Allheilmittel.