Quando surgiu a segurança cibernética?

Você pode ter visto algumas sugestões de que a segurança cibernética começou com o primeiro antivírus e uma data determinada de 1987 como o primeiro ano do antivírus comercial.

Desculpe dizer que está errado (pelo menos eu acho errado). Se tentarmos novamente, poderíamos dizer 1971, quando o primeiro worm (Creeper) foi lançado, junto com indiscutivelmente o primeiro antivírus no Reaper de propósito único em 1972. Embora o Reaper tenha sido projetado para remover cópias do Creeper, ele se moveu e se reproduziu através da ARPANET, provavelmente outro worm.

Embora eu possa ver o argumento para Creeper e Reaper como uma data de início, não consigo concordar. Ou apontamos eventos arbitrários para descrever quando a segurança cibernética começou, o que pode nos levar de volta a 1966 (o mainframe de compartilhamento de tempo CTSS sofreu uma violação de senha quando a mensagem de boas-vindas foi trocada pelo arquivo de senha mestre), 1971 (o lançamento do ARPANET), ou mesmo em 2003, quando o governo dos EUA estabeleceu a Divisão Nacional de Segurança Cibernética.

O início da cibersegurança

A segurança cibernética começou entre 1970 e 1972 com as publicações dos relatórios Ware e Anderson. Vou explicar a seguir como cheguei a essa conclusão e os pontos históricos importantes que você precisa conhecer para que essa resposta faça sentido.

Para começar, precisamos decidir o que realmente significa segurança cibernética. Eu vou com a definição de que é a disciplina de segurança aplicada ao domínio cibernético.

O domínio cibernético é 'um domínio global dentro do ambiente de informação que consiste em redes interdependentes de informação, infraestruturas de tecnologia e dados residentes, incluindo a internet, redes de telecomunicações, sistemas de computador e processadores e controladores embutidos'. ( NIST )

A segurança, por outro lado, é a proteção dos ativos contra ameaças. Os ativos podem ser qualquer coisa, incluindo pessoas, informações ou sistemas físicos. Ameaças (quando estamos lidando com segurança) sempre podem ser rastreadas até uma pessoa.

Se a segurança cibernética não começou em 1987, quando?

Costumo manter algumas datas diferentes. 1969 foi quando os dois primeiros nós da ARPANET ficaram online, mesmo que não tenha sido declarado operacional até 1971. Só porque algo existe, porém, não significa que exista uma disciplina formal de segurança em torno disso. Realmente, precisamos observar quando as pessoas começaram a considerar formalmente as abordagens de segurança no domínio cibernético.

Isso nos deixa com alguns relatórios que foram os primeiros a considerar formalmente os aspectos de segurança.

O relatório de mercadorias

O primeiro deles é o nome criativo ' Controles de segurança para sistemas de computador: Relatório da Força-Tarefa do Conselho Científico de Defesa sobre Segurança de Computadores ' por Willis H. Ware (e outros), publicado em 1970. Publicado aqui é uma palavra generosa, pois originalmente o relatório foi classificado como Confidencial até que a DARPA o desclassificou em 1975. O relatório Ware estabeleceu uma série de controles diferentes que seriam reconhecido como fundamental por qualquer profissional de segurança cibernética hoje. Mesmo onde alguma terminologia mudou ao longo do tempo, os conceitos são familiares para qualquer pessoa que tenha estudado ou praticado segurança cibernética.

O relatório Ware estabeleceu uma série do que chama de vulnerabilidades, embora hoje em dia nos refiramos a elas como ameaças, uma vez que são externas e descontroladas, em vez de fraquezas dentro de um sistema.

1. Divulgação acidental - o que agora podemos chamar de ameaça de negligência, resultado da falha de algum componente ou controle, seja hardware, software ou configuração de um operador
2. Penetração deliberada - uma ameaça maliciosa, embora o relatório faça uma distinção entre uma abordagem passiva (como escutas telefônicas, coberta pelo Subversion Passivo) e uma abordagem ativa conhecida como Infiltração Ativa, que inclui comprometimento ou elevação de privilégio por um usuário legítimo
3. Ataque Físico - mencionado pelo relatório, mas especificamente apontado como fora do escopo

O que é fascinante no relatório Ware, e nos próximos sobre os quais falaremos, é como muitas das abordagens neles adotadas são modernas. Como um exemplo, modelagem de ameaças (ou modelagem) é frequentemente considerado como tendo começado em 2004, quando Frank Swiderski e Window Snyder escreveram o ** primeiro livro ** sobre isso. Existem algumas referências anteriores, mas a maioria considera que começou nos anos 90. Dado que a (boa) modelagem de ameaças agora é vista como essencial para projetar sistemas seguros (embora muitas vezes negligenciada, deixando-nos no mundo inseguro em que vivemos), esperamos vê-la surgindo bem cedo na linha do tempo.

Imagem retirada do Ware Report, mostrando algo que qualquer pessoa que conheça a modelagem de ameaças deve achar muito familiar.

O diagrama acima deve ser reconhecido por qualquer pessoa como pelo menos um modelo básico de ameaça, mostrando diferentes ataques e vulnerabilidades de um sistema. Mais adiante no relatório, temos recomendações para controles, o que podemos agora reconhecer como princípios de arquitetura para desenvolvimento de sistema seguro, consideração dada ao gerenciamento de riscos e custos e muito mais. Algumas terminologias mudaram ao longo dos anos, e o relatório em si considera sistemas multiuso (ou seja, o que agora consideramos mainframes e terminais) em vez da verdadeira rede ponto a ponto que surgiria em breve, mas mesmo uma breve leitura mostra o pensamento fundamental que fundamenta até mesmo as abordagens de segurança cibernética mais modernas.

O Relatório Anderson

Portanto, temos um argumento para 1970 como a data em que a segurança cibernética começou. O único problema é que, embora haja menção a redes, em 1970 a ARPANET não estava realmente em um estado operacional, então a definição de rede era mais sobre um mainframe multiusuário com terminais remotos. Vamos dar um passo adiante no passado-futuro, com a publicação do igualmente criativo 'Estudo de planejamento de tecnologia de segurança de computadores' Volume I e Volume II .

James P. Anderson também trabalhou no relatório Ware anteriormente, e seu acompanhamento de dois volumes baseou-se fortemente nele e o expandiu. Muitas das recomendações que ele fez para projetar e implementar sistemas seguros foram, francamente, ignoradas ao longo das décadas em detrimento do ecossistema de segurança cibernética, e algumas estão sendo redescobertas e renomeadas.

Para dar um exemplo, se você já ouviu falar em arquitetura de rede de confiança zero, pode encontrar os conceitos básicos que levam à abordagem no volume 2 do relatório. Mais importante para aqueles de nós tentando definir uma data de concepção para segurança cibernética, o Relatório Anderson fala muito mais sobre o 'movimento em direção ao estabelecimento de grandes redes dispersas de sistemas de computador relacionados'. Isso nos dá uma perspectiva mais moderna de que as redes são essenciais para a segurança cibernética.

Então, quando começou a segurança cibernética?

Temos nossa resposta. Reconhecidamente, pode cobrir um intervalo, mas há um argumento mais forte para isso do que para dizer que começou com a primeira ferramenta de software de um tipo específico. A segurança cibernética é sobre uma abordagem metódica e ponderada para a segurança dentro do domínio cibernético. Como o domínio cibernético não existia (de forma prática) antes da década de 1970, não precisaremos olhar mais para trás, mas os pioneiros do campo foram muito ativos e pensaram nos problemas com os quais ainda lutamos hoje. naquela época.

Minha resposta - o cyber começou nos anos entre 1970 e 1972 com as publicações dos relatórios Ware e Anderson. E se você ler esses relatórios com cuidado, eles mudaram surpreendentemente pouco desde então.