Quand la cybersécurité a-t-elle commencé ?

Vous avez peut-être vu certaines suggestions selon lesquelles la cybersécurité a commencé avec le premier antivirus, et une date donnée de 1987 comme la première année de l'antivirus commercial.

Désolé de dire que c'est faux (du moins je le trouve faux). Si nous réessayons, nous pourrions dire 1971 lorsque le premier ver (Creeper) a été publié, ainsi que sans doute le premier antivirus dans le Reaper à usage unique en 1972. Alors que Reaper a été conçu pour supprimer des copies de Creeper, il s'est déplacé et répliqué via l'ARPANET, c'était sans doute un autre ver lui-même.

Bien que je puisse voir l'argument pour Creeper et Reaper comme une date de début, je ne peux pas me résoudre à être d'accord. Soit nous pointons des événements arbitraires pour décrire le début de la cybersécurité, ce qui pourrait nous ramener à 1966 (le mainframe à temps partagé CTSS a subi une violation de mot de passe lorsque le message de bienvenue a été remplacé par le fichier de mot de passe principal), 1971 (le lancement du ARPANET), ou même en 2003 lorsque le gouvernement américain a créé la National Cyber Security Division.

Le début de la cybersécurité

La cybersécurité a commencé entre 1970 et 1972 avec les publications des rapports Ware et Anderson. J'expliquerai ci-dessous comment je suis arrivé à cette conclusion et les points historiques importants dont vous devez être conscient pour que cette réponse ait un sens.

Pour commencer, nous devons décider ce que signifie réellement la cybersécurité. J'accepte la définition selon laquelle il s'agit de la discipline de la sécurité appliquée au cyberdomaine.

Le cyberdomaine est "un domaine mondial au sein de l'environnement de l'information composé de réseaux interdépendants d'informations, d'infrastructures technologiques et de données résidentes, y compris Internet, les réseaux de télécommunications, les systèmes informatiques et les processeurs et contrôleurs intégrés". ( NIST )

La sécurité, quant à elle, est la protection des actifs contre les menaces. Les actifs peuvent être n'importe quoi, y compris des personnes, des informations ou des systèmes physiques. Les menaces (lorsqu'il s'agit de sécurité) peuvent toujours être attribuées à une personne.

Si la cybersécurité n'a pas commencé en 1987, alors quand ?

J'ai tendance à m'en tenir à quelques dates différentes. 1969 a été la date à laquelle les deux premiers nœuds de l'ARPANET ont été mis en ligne, même s'il n'a été déclaré opérationnel qu'en 1971. Ce n'est pas parce que quelque chose existe qu'il existe une discipline de sécurité formelle autour de lui. Nous devons vraiment nous demander quand les gens ont commencé à envisager officiellement des approches de la sécurité dans le cyberdomaine.

Cela nous laisse avec quelques rapports qui ont été les premiers à examiner formellement les aspects de la sécurité.

Le rapport d'articles

Le premier d'entre eux est le nom créatif ' Contrôles de sécurité pour les systèmes informatiques : rapport du groupe de travail du Conseil des sciences de la défense sur la sécurité informatique ' par Willis H. Ware (et d'autres), publié en 1970. Publié ici est un mot généreux, car à l'origine le rapport était classé comme confidentiel jusqu'à ce que la DARPA le déclassifie en 1975. Le rapport Ware énonçait un certain nombre de contrôles différents qui seraient reconnue aujourd'hui comme fondamentale par tout professionnel de la cybersécurité. Même lorsque certaines terminologies ont changé au fil du temps, les concepts sont familiers à quiconque a étudié ou pratiqué la cybersécurité.

Le rapport Ware a défini un certain nombre de ce qu'il appelle des vulnérabilités, bien que de nos jours nous les appellerions des menaces car elles sont externes et incontrôlées plutôt que des faiblesses au sein d'un système.

1. Divulgation accidentelle - ce que nous pourrions maintenant appeler une menace de négligence, le résultat de la défaillance d'un composant ou le contrôle du matériel, du logiciel ou de la configuration par un opérateur
2. Pénétration délibérée - une menace malveillante, bien que le rapport fasse ensuite une distinction entre une approche passive (comme les écoutes téléphoniques, couvertes par Subversion passive) et une approche active appelée Infiltration active qui inclut la compromission ou l'élévation des privilèges par un utilisateur légitime
3. Attaque physique - mentionnée par le rapport, mais spécifiquement signalée comme étant hors du champ d'application

Ce qui est fascinant dans le rapport Ware, et dans les prochains dont nous parlerons, c'est à quel point bon nombre des approches adoptées sont modernes. Par exemple, modélisation des menaces (ou la modélisation) est souvent considérée comme ayant commencé en 2004 lorsque Frank Swiderski et Window Snyder ont écrit le ** premier livre ** à ce sujet. Il existe quelques références antérieures, mais la plupart considèrent qu'il a commencé au plus tôt dans les années 90. Étant donné que la (bonne) modélisation des menaces est désormais considérée comme essentielle à la conception de systèmes sécurisés (bien que trop souvent négligée, nous laissant dans le monde peu sûr que nous habitons), nous nous attendons à ce qu'elle apparaisse assez tôt dans la chronologie.

Image tirée du rapport Ware, montrant quelque chose que toute personne connaissant la modélisation des menaces devrait trouver très familière.

Le diagramme ci-dessus doit être reconnaissable par tout le monde comme au moins un modèle de menace de base, montrant différentes attaques et vulnérabilités d'un système. Plus loin dans le rapport, nous avons des recommandations pour les contrôles, ce que nous pourrions maintenant reconnaître comme des principes architecturaux pour le développement de systèmes sécurisés, la prise en compte de la gestion des risques et des coûts, et bien plus encore. Certaines terminologies ont changé au fil des ans, et le rapport lui-même considère les systèmes multi-usages (c'est-à-dire ce que nous considérerions maintenant comme des mainframes et des terminaux) plutôt que le véritable réseau peer to peer qui arriverait sous peu, mais même une brève lecture montre le une pensée fondamentale qui sous-tend même les approches de cybersécurité les plus modernes.

Le rapport Anderson

Nous avons donc un argument pour 1970 comme la date à laquelle la cybersécurité a commencé. Le seul problème est que bien qu'il soit fait mention des réseaux, en 1970, l'ARPANET n'était pas vraiment dans un état opérationnel, donc la définition du réseau concernait davantage un ordinateur central multi-utilisateur avec des terminaux distants. Faisons un pas un peu plus loin dans le futur passé, avec la publication de l'étude de planification de la technologie de sécurité informatique, tout aussi créative. Tome I et Tome II .

James P. Anderson a également travaillé sur le rapport Ware auparavant, et son suivi en deux volumes s'en est largement inspiré et développé. Bon nombre des recommandations qu'il a faites pour concevoir et mettre en œuvre des systèmes sécurisés ont, franchement, été ignorées au fil des décennies au détriment de l'écosystème de la cybersécurité, et certaines sont redécouvertes et renommées.

Pour prendre un exemple, si vous avez entendu parler de l'architecture réseau zéro confiance, vous pouvez trouver les concepts de base qui ont conduit à l'approche dans le volume 2 du rapport. Plus important encore pour ceux d'entre nous qui essaient de définir une date de conception pour la cybersécurité, le rapport Anderson parle beaucoup plus du « mouvement vers l'établissement de grands réseaux dispersés de systèmes informatiques connexes ». Cela nous donne une perspective plus moderne des réseaux comme étant la clé de la cybersécurité.

Alors, quand la cybersécurité a-t-elle commencé ?

Nous avons notre réponse. Certes, cela peut couvrir une gamme, mais il y a un argument plus fort pour dire que cela a commencé avec le premier outil logiciel d'un type particulier. La cybersécurité est une approche méthodique et réfléchie de la sécurité dans le cyberdomaine. Étant donné que le cyberdomaine n'existait pas (de manière pratique) avant les années 1970, nous n'aurons pas besoin de regarder plus en arrière, mais les pionniers du domaine étaient très actifs et réfléchissaient aux problèmes avec lesquels nous luttons encore aujourd'hui. à cette époque.

Ma réponse - le cyber a commencé dans les années 1970 et 1972 avec les publications des rapports Ware et Anderson. Et si vous lisez attentivement ces rapports, cela a étonnamment peu changé depuis lors.