当前位置:首页 > 报告详情

从设计阶段保障安全并提升现有生态系统.pdf

上传人: bu****ng 编号:714553 2025-06-18 12页 1.16MB

1、Matthew RogersMay 29,2025C I S A|C Y B E R S E C U R I T Y A N D I N F R A S T R U C T U R E S E C U R I T Y A G E N C YSECURE BY DESIGN AND TRANSITIONING OFF LEGACY SYSTEMS1Matthew RogersMay 29,2025C Y B E R S E C U R I T Y A N D I N F R A S T R U C T U R E S E C U R I T Y A G E N C YMatthew Rogers

2、May 29,20255Legacy&Operational ChallengesPriorities based on threats,security gaps,resilienceSecure by Design for OTMatthew RogersMay 29,20256Protection of DataSecure by DefaultConfigurationManagementLogging in theBaseline ProductThreatModelingStrongAuthenticationVulnerabilityHandlingUpgrade&PatchTo

3、olingOpen StandardsOwnershipSecure CommunicationsSecure ControlsMatthew RogersMay 29,2025Leaping to a Secure Foundation7Secure CommunicationsSecure Controls Linking Cyber-Informed Engineering and Secure by Design How do you make Secure Comms usable for non-cyber experts?StrongAuthenticationMatthew R

4、ogersMay 29,20251983Interconnectivity and Shaky Foundations82013Matthew RogersMay 29,2025Secure Controls Example:Securing Aircraft9MIL-STD-1553:No Authentication Mode-Codes that disable avionics computersGeneric Approach:Monitor for anomalous timings Monitor for normal data in the wrong context Moni

5、tor for anomalous dataSecurity Assumptions in ICSCant modify a PLCCant add operator frictionCant rearchitect anythingMatthew RogersMay 29,2025Secure Control Example:Secure by Design10The same security model:-Adding an IF statement to the Bus ControllerOptions:Spend a few million+labor on something t

6、hat will produce false positives and require skilled analysts to parse or Design around a malicious actorMatthew RogersMay 29,2025Apply Human Centered Design to Comms11Alerting on bad configsWell Lit Paths Usable Security Designed for the e

word格式文档无特别注明外均可编辑修改,预览文件经过压缩,下载原文更清晰!
三个皮匠报告文库所有资源均是客户上传分享,仅供网友学习交流,未经上传用户书面授权,请勿作商用。
根据提供的数据,以下是全文主要内容的概括: 1. **主题演讲者与日期**:Matthew Rogers于2025年5月29日在CISA(网络安全和基础设施安全局)发表演讲。 2. **关键议题**:演讲聚焦于“设计安全”和从遗留系统过渡。 3. **遗留与操作挑战**:讨论基于威胁、安全缺口和恢复力的优先级,以及操作技术(OT)的“设计安全”。 4. **数据保护**:强调默认安全配置、管理、威胁建模、强认证和漏洞处理。 5. **安全控制**:提出通过将网络安全工程与“设计安全”结合,使安全通信对非网络安全专家可用。 6. **历史背景**:提到1983年和2013年的互联性和不稳定基础。 7. **案例研究**:分析了MIL-STD-1553的安全控制例子,指出其不足和改进方法。 8. **设计方法**:建议在保持相同安全模型的前提下,通过设计来防止恶意行为。 9. **以人为中心的设计**:强调易用的安全设计,适应现有劳动力。 10. **强认证**:提出身份认证的基础,并强调从遗留基础跳跃的策略性改进。 **关键点分条列出**: - **演讲核心**:强调在设计时融入安全性,特别是对于关键基础设施和操作技术。 - **数据保护**:提出保护数据的多种方法,包括默认安全配置和强认证。 - **安全控制案例**:通过MIL-STD-1553的例子说明安全控制的重要性。 - **设计考虑**:提倡以人为中心的设计,提高安全通信的可用性。 - **身份认证**:强认证被视为身份的基础。 **结论**:文章主张在过渡到更安全系统的过程中,应侧重于关键领域的战略改进,同时考虑人的因素。
"如何实现安全设计转型?" "如何让非专业人士使用安全通信?" "如何从传统基础跃升至安全基石?"
客服
商务合作
小程序
服务号
折叠