As leis imutáveis da segurança

  • Artigo

As leis originais imutáveis de segurança identificaram verdades técnicas fundamentais que derrubaram mitos de segurança prevalentes daqueles tempos. Nesse espírito, estamos publicando um novo conjunto de leis complementar focado em desfazer os mitos predominantes no mundo de hoje, em que o risco de segurança cibernética é onipresente.

Desde as leis imutáveis originais, a segurança da informação deixou de ser uma disciplina técnica para passar a ser uma disciplina de gerenciamento de riscos de segurança cibernética que inclui dispositivos de nuvem, IoT e OT. Agora, a segurança faz parte da trama de nossas vidas diárias, das conversas sobre riscos de negócios e das eleições.

À medida que muitos de nós do setor trilhamos esse percurso para um nível mais alto de abstração, testemunhamos o surgimento de padrões de mitos, preconceitos e incertezas comuns na camada de gerenciamento de riscos. Decidimos criar uma nova lista de leis para o risco de segurança cibernética e, ao mesmo tempo, manter as leis originais (v2) como estão (com uma única pequena mudança do termo "bandido" para "mau ator", para sermos totalmente corretos e inclusivos).

Cada conjunto de leis lida com diferentes aspectos de segurança cibernética, criando soluções técnicas sólidas e também gerenciando um perfil de risco de organizações complexas em um ambiente de ameaças em ritmo de constante mudança. A diferença na natureza dessas leis também ilustra a natureza difícil da navegação pela segurança cibernética em geral. Elementos técnicos tendem a ser absolutos, enquanto o risco é medido em termos de probabilidade e certeza.

Devido à dificuldade de fazer previsões, especialmente sobre o futuro, suspeitamos que essas leis possam evoluir junto com o nosso entendimento do risco de segurança cibernética.

Dez leis de Risco de Segurança Cibernética

  1. O sucesso da segurança está arruinando o ROI dos invasores — a segurança não é capaz de alcançar um estado seguro perfeito e, portanto, devemos detê-los ao perturbar e degradar seu Retorno sobre o Investimento (ROI). Aumente o custo do invasor e reduza o retorno do invasor para seus ativos mais importantes.
  2. Não se manter atualizado é ficar para trás — a segurança é uma jornada contínua. Você precisa continuar avançando porque ficará cada vez mais barato para os invasores assumirem o controle de seus ativos com sucesso. Você precisa atualizar continuamente seus patches de segurança, estratégias, reconhecimento de ameaças, inventário, ferramentas, monitoramento, modelos de permissão, cobertura da plataforma e tudo o mais que mudar ao longo do tempo.
  3. A produtividade sempre vence — se a segurança não for fácil para os usuários, eles encontrarão maneiras de ignorá-la para fazer seu trabalho. Certifique-se sempre de que as soluções sejam seguras e utilizáveis.
  4. Os invasores não se importam — os invasores usam qualquer método disponível para entrar no seu ambiente e acessar seus ativos, incluindo impressoras em rede, termômetros de aquário, serviços de nuvem, PCs, servidores, Macs ou dispositivos móveis. Influenciam ou enganam os usuários, exploram erros de configuração ou processos operacionais inseguros ou, simplesmente, pedem senhas em um email de phishing. Seu trabalho é entender e eliminar as opções mais fáceis, mais baratas e mais úteis, como qualquer coisa que resulte em privilégios administrativos nos diversos sistemas.
  5. Uma priorização implacável é uma habilidade de sobrevivência na selva — ninguém tem tempo nem recursos suficientes para eliminar todos os riscos para todos os recursos. Sempre comece pelo que é mais importante para a sua organização ou mais interessante para os invasores e atualize essa priorização continuamente.
  6. A segurança cibernética é um esporte de equipe: ninguém pode fazer tudo, então sempre se concentre nas coisas que apenas você (ou sua organização) pode fazer para proteger a missão da sua organização. Se os fornecedores de segurança, provedores de nuvem ou a comunidade puderem fazer melhor ou mais barato, deixe que se encarreguem.
  7. Sua rede não é tão confiável quanto você pensa — uma estratégia de segurança que depende de senhas e confia em qualquer dispositivo de intranet é apenas minimamente melhor do que a falta de uma estratégia de segurança. Os invasores contornam essas defesas com facilidade e, portanto, o nível de confiança de cada dispositivo, usuário e aplicativo precisa ser comprovado e validado continuamente, começando com um nível de confiança zero.
  8. Redes isoladas não são automaticamente seguras — embora as redes "air-gapped" (isoladas fisicamente) possam oferecer uma forte segurança quando mantidas corretamente, exemplos bem-sucedidos são extremamente raros porque cada nó precisa ser isolado dos riscos externos. Se a segurança for crítica o suficiente para que os recursos sejam colocados em uma rede isolada, você deve investir em mitigações para abordar uma possível conectividade por meio de métodos como mídia USB (por exemplo, necessária para patches), pontes entre a rede intranet e dispositivos externos (por exemplo, laptops de fornecedores em uma linha de produção) e ameaças internas que poderiam contornar todos os controles técnicos.
  9. A criptografia isolada não é uma solução de proteção de dados — a criptografia protege contra ataques fora da banda (por exemplo, pacotes de rede, arquivos e armazenamento), mas o nível de segurança dos dados é limitado à segurança da chave de descriptografia (força da chave + proteções contra roubo/cópia) e outros meios de acesso autorizados.
  10. A tecnologia não resolve problemas de pessoas e processos — embora o aprendizado de máquina, a inteligência artificial e outras tecnologias proporcionem saltos quânticos incríveis para a segurança (quando aplicados corretamente), a segurança cibernética é um desafio humano e nunca será resolvido apenas pela tecnologia.

Referência

Leis imutáveis da segurança v2

  • Lei nº 1: se um mau ator pode persuadir você a executar o programa dele no seu computador, ele não é mais exclusivamente o seu computador.
  • Lei nº 2: se um mau ator pode alterar o sistema operacional do seu computador, ele não é mais o seu computador.
  • Lei nº 3: se um mau ator tem acesso físico irrestrito ao seu computador, ele já não é mais seu computador.
  • Lei nº 4: se você permitir que um mau ator execute conteúdo ativo no seu site, este já não é mais seu site.
  • Lei nº 5: senhas fracas superam a segurança forte.
  • Lei nº 6: um computador é tão seguro quanto o administrador é confiável.
  • Lei nº 7: dados criptografados são tão seguros quanto sua chave de descriptografia.
  • Lei nº 8: um verificador de antimalware desatualizado é apenas marginalmente melhor do que nenhum verificador.
  • Lei nº 9: o anonimato absoluto não é alcançável na prática, nem online nem offline.
  • Lei nº 10: a tecnologia não é uma panaceia.