IT-sikkerhet: maksimerer for aldre

Roger G. Johnston Ph.D., leder Vulnerability Assessment Team (VAT), avdeling for kjerneteknikk ved Argonne National Laboratory. Teamet har til oppgave å forske på fysiske sikkerhetsenheter, systemer og programmer:

"Momsen har arbeidet mye innen produktene mot forfalskning, manipulering og inntrenging påvisning, lastesikkerhet, atomsikkerhet og menneskelige faktorer knyttet til sikkerhet ved hjelp av verktøyene i industriell og organisasjonspsykologi."

Problemer dukker opp igjen

Gjennom sin periode i Los Alamos og Argonne har Dr. Johnston påløpt betydelig erfaring med å finne og løse sikkerhetsproblemer. Dermed skjønte han noe:

"Å være en sårbarhetsvurderingsperson for fysisk sikkerhet gjør en ganske kynisk. Eller kanskje du må være kynisk for å se sikkerhetsproblemer. Eller kanskje begge deler er sanne. Uansett ble disse maksimene utviklet delvis av frustrasjon over å se de samme slags problemene over og over igjen."

Dr. Johnstons søken

Så opprettet Dr. Johnston sin liste over sikkerhetsmaksimer. Jeg har personlig ikke hørt uttrykket "sikkerhetsmaksimal" før, så jeg vil forsikre meg om at vi godtar betydningen av det:

  • Maxim : Et uttrykk for en generell sannhet eller prinsipp. Et prinsipp eller oppførselsregel.

Dr. Johnston kvalifiserer definisjonen videre ved å innrømme at sikkerhetsmaksimene hans ikke er teoremer eller den absolutte sannhet:

"Sikkerhetsmaksimaler er, etter vår erfaring, i hovedsak gyldige 80-90 prosent av tiden innen fysisk sikkerhet og atomsikkerhet."

Til å begynne med skjønte jeg ikke at Dr. Johnstons fokus var på fysisk sikkerhet. Rett og slett fordi maksimalene hans smelter sammen i IT-sikkerhetsverdenen. Det er min mening i det minste, la meg få vite om du er enig eller ikke.

Favoritt sikkerhetsmaksimum

Følgende er mine valg av de mange sikkerhetsmaksimene som Dr. Johnston har samlet seg:

  • Infinity Maxim : Det er et ubegrenset antall sikkerhetsproblemer for et gitt sikkerhetsenhet, system eller program, hvorav de fleste aldri vil bli oppdaget (av de gode gutta eller skurkene).

Dr. Johnston kommenterer:

"Vi tenker dette, fordi vi alltid finner nye sårbarheter når vi ser på det samme sikkerhetsenheten, systemet eller programmere en andre eller tredje gang, og fordi vi alltid finner sårbarheter som andre savner, og omvendt."

  • Takk for Nothin 'Maxim : En sårbarhetsvurdering som ikke finner noen sårbarheter eller bare noen få, er verdiløs og feil.
  • Arrogance Maxim : Enkelheten med å beseire en sikkerhetsenhet eller et system er proporsjonal med hvor selvsikker / arrogant designeren, produsenten eller brukeren handler om det, og hvor ofte de bruker ord som "umulig" eller "manipuleringssikker".
  • Så vi er enige Maxim : Hvis du er fornøyd med sikkerheten din, så er også skurkene.

Jeg er glad for å se at Dr. Johnston har en sans for humor.

  • Uvitenhet er Bliss Maxim : Tilliten som folk har i sikkerhet er omvendt proporsjonal med hvor mye de vet om det.

Dr. Johnstons kommentar:

"Sikkerhet ser lett ut hvis du aldri har tatt deg tid til å tenke nøye gjennom det."

  • Maksimal svakeste ledd : Effektiviteten av sikkerhet bestemmes mer av hva som blir gjort galt enn av hva som gjøres riktig.

Denne makten er sant hele tiden. Dr. Johnston kommenterer:

"Fordi skurkene angriper bevisst og intelligent, ikke tilfeldig."

De neste få utlede Dr. Johnstons erfaring med øverste ledelse:

  • Far vet best maksimalt : Beløpet som (ikke-sikkerhet) toppledere i enhver organisasjon vet om sikkerhet er omvendt proporsjonalt med (1) hvor lett de tror sikkerhet er, og (2) hvor mye de vil mikro-administrere sikkerhet og oppfinne vilkårlig regler.
  • Big-Heads Maxim : Jo lenger opp i kommandokjeden du kan finne en (ikke-sikkerhets) leder, jo mer sannsynlig tror han eller hun at (1) de forstår sikkerhet og (2) sikkerhet er lett.
  • Huh Maxim : Når en (ikke-sikkerhets) toppsjef, byråkrat eller myndighetsperson snakker offentlig om sikkerhet, vil han eller hun vanligvis si noe dumt, urealistisk, unøyaktig og / eller naivt.

Min personlige favoritt:

  • Voltaires Maxim : Problemet med sunn fornuft er at det ikke er så vanlig.

Følgende maksimal forklarer hvorfor sikkerhetsproblemer er treg å løse:

  • Show-Me Maxim : Ingen alvorlig sikkerhetssårbarhet, inkludert åpenbart åpenbare, vil bli behandlet før det er overveldende bevis og utbredt erkjennelse av at motstandere allerede katastrofalt har utnyttet det. Med andre ord: "betydelig psykologisk (eller bokstavelig) skade er nødvendig før det skal gjøres vesentlige sikkerhetsendringer".
  • Uansvarlighet Maksimalt : Det vil ofte bli ansett som "uforsvarlig" å påpeke sikkerhetsproblemer (inkludert den teoretiske muligheten for at de kan eksistere), men du vil sjelden bli kalt uforsvarlig for å ignorere eller dekke dem opp.
  • Maksimalt bakover : De fleste vil anta at alt er sikkert inntil det er gitt sterke bevis for det motsatte - nøyaktig bakover fra en fornuftig tilnærming.
Siste tanker

Dr. Johnston har mange flere sikkerhetsmaksimer. Hvis du finner en som jeg burde ha nevnt, kan du påpeke det.

© Copyright 2020 | mobilegn.com