Обеспечение киберустойчивости сводится не к защите системы от проникновения противника, а к тому, чтобы предположить ее успешный взлом и разработать план действий, позволяющий продолжить выполнение своей миссии после него.
2 Ұнайды
При выявлении новых уязвимостей и эксплойтов сделайте следующее.
• Определите, подвергается ли ваша организация соответствующей опасности.
• Оцените вероятность того, что какой-нибудь злоумышленник воспользуется этой уязвимостью.
• Оцените вероятность того, что в случае такой атаки ущерб будет существенным.
• Выясните, существует ли исправление или другой обходной путь, позволяющий устранить проблему.
• Решите, какие действия необходимо предпринять для снижения риска (в зависимости от вашего прогноза это может быть множество действий или ни одного).
После выполнения перечисленных действий необходимо реализовать принятое решение, то есть план мероприятий по снижению рисков.
1 Ұнайды
Джон Киндерваг, автор основополагающей работы о стратегии нулевого доверия No More Chewy Centers
лидеры — это те, кто бежит на звук выстрела, а не прочь от него.
Однако прежде, чем приступить к изложению своего основного тезиса, он указал на то, что невозможно полностью понять какую-либо концепцию до тех пор, пока не разберешься в ее сущности: «Ибо мы не считаем вещь познанной до тех пор, пока не познакомимся с ее первичными причинами, или первичными принципами, и не проанализируем ее простейшие элементы».
имеющие законный доступ к конфиденциальной информации компании, могут не разглашать ее, не изменять и не делать недоступной для клиентов, но при этом манипулировать ею с выгодой для себя каким-либо мошенническим способом. Это не нарушает правил данной триады.
Учитывая сказанное, триада КЦД не может считаться атомарным первичным принципом кибербезопасности
Это весьма важные идеи. В книге нулевое доверие преподносится не только как стратегия кибербезопасности, основанная на базовом принципе, но и как образ мышления или философия. Вы не создаете среду с нулевым уровнем доверия, а приближаетесь к этой цели шаг за шагом, принимая сотни и тысячи повседневных проектных решений, укрепляющих вашу оборонительную позицию. Это путешествие, не имеющее пункта назначения. В главе 3 я подробно опишу ряд тактик, которые необходимо рассмотреть для реализации стратегии нулевого доверия.
В ней он предлагает сетевым архитекторам исходить из того, что киберпротивники уже действуют в их цифровой среде. Если это так, то какие проектные решения они должны принять, чтобы снизить вероятность существенного ущерба вследствие кибератаки?
определяемым нашей стратегией.
В своей книге Cyber War: The Next Threat to National Security and What to Do about It, попавшей в Зал славы Cybersecurity Canon, Ричард Кларк и Роберт Кнаке называют безрассудством применение тактик без хорошо разработанной стратегии [49].
Без цели [маневрирование] бессмысленно. Вы можете быть виртуозным тактиком, но у вас не будет чувства стратегии.
Гарри Каспаров, чемпион мира по шахматам
Какой бы красивой ни была стратегия, вам следует время от времени оценивать результаты.
Сэр Уинстон Черчилль, премьер-министр Великобритании во время Второй мировой войны