CISO-hjørne: NSA-retningslinjer; en Utility SBOM Case Study; Lava lamper

Velkommen til CISO Corner, Dark Readings ugentlige sammendrag af artikler, der er skræddersyet specifikt til læsere af sikkerhedsoperationer og sikkerhedsledere. Hver uge vil vi tilbyde artikler hentet fra hele vores nyhedsvirksomhed, The Edge, DR Technology, DR Global og vores kommentarsektion. Vi er forpligtet til at præsentere et mangfoldigt sæt af perspektiver for at understøtte arbejdet med at operationalisere cybersikkerhedsstrategier for ledere i organisationer af alle former og størrelser.

I dette nummer af CISO Corner:

NSA's Zero-Trust Guidelines Fokus på segmentering

Af David Strom, bidragende forfatter, Dark Reading

Zero-trust arkitekturer er væsentlige beskyttelsesforanstaltninger for den moderne virksomhed. Den seneste NSA-vejledning giver detaljerede anbefalinger om, hvordan konceptets netværksvinkel implementeres.

US National Security Agency (NSA) leverede sine retningslinjer for nul-tillid netværkssikkerhed i denne uge, og tilbyder en mere konkret køreplan mod nul-tillid vedtagelse, end vi er vant til at se. Det er en vigtig indsats at forsøge at bygge bro mellem ønske om og implementering af konceptet.

NSA-dokumentet indeholder masser af anbefalinger om nul-tillid bedste praksis, herunder grundlæggende segmentering af netværkstrafik til blokere modstandere i at bevæge sig rundt på et netværk og få adgang til kritiske systemer.

Den gennemgår, hvordan kontrol af netværkssegmentering kan udføres gennem en række trin, herunder kortlægning og forståelse af datastrømme og implementering af softwaredefineret netværk (SDN). Hvert trin vil tage betydelig tid og kræfter på at forstå, hvilke dele af et forretningsnetværk der er i fare, og hvordan man bedst beskytter dem.

NSA-dokumentet skelner også mellem makro- og mikronetværkssegmentering. Førstnævnte styrer trafikken mellem afdelinger eller arbejdsgrupper, så en it-medarbejder ikke har adgang til f.eks. personaleservere og data.

John Kindervag, som var den første til at definere begrebet "nul tillid" tilbage i 2010, da han var analytiker hos Forrester Research, hilste NSA's skridt velkommen og bemærkede, at "meget få organisationer har forstået vigtigheden af ​​netværkssikkerhedskontrol i bygningen af ​​nul. -tillidsmiljøer, og dette dokument går langt hen imod at hjælpe organisationer med at forstå deres værdi."

Læs mere: NSA's Zero-Trust Guidelines Fokus på segmentering

Relateret: NIST Cybersecurity Framework 2.0: 4 trin til at komme i gang

Skaber sikkerhed gennem tilfældighed

Af Andrada Fiscutean, bidragende skribent, Dark Reading

Hvordan lavalamper, penduler og ophængte regnbuer holder internettet sikkert.

Når du træder ind i Cloudflares kontor i San Francisco, er det første, du bemærker, en væg af lavalamper. Besøgende stopper ofte for at tage selfies, men den ejendommelige installation er mere end et kunstnerisk statement; det er et genialt sikkerhedsværktøj.

De skiftende mønstre skabt af lampernes flydende voksklatter hjælper Cloudflare med at kryptere internettrafik ved at generere tilfældige tal. Tilfældige tal har en række forskellige anvendelser inden for cybersikkerhed, og spiller en afgørende rolle i ting som at skabe adgangskoder og kryptografiske nøgler.

Cloudflares Wall of Entropy, som det er kendt, bruger ikke én, men 100 lamper, deres tilfældighed øges af menneskelig bevægelse.

Cloudflare bruger også yderligere kilder til fysisk entropi til at skabe tilfældighed for sine servere. "I London har vi denne utrolige væg af dobbeltpendler, og i Austin, Texas, har vi disse utrolige mobiler, der hænger fra loftet og bevæger sig med luftstrømme," siger Cloudfare CTO John Graham-Cumming. Cloudflares kontor i Lissabon vil snart byde på en installation "baseret på havet."

Andre organisationer har deres egne kilder til entropi. Universitetet i Chile, for eksempel, har tilføjet seismiske målinger til blandingen, mens det schweiziske føderale teknologiske institut bruger den lokale tilfældighedsgenerator, der findes på hver computer på /dev/urandom, hvilket betyder, at den er afhængig af ting som tastaturtryk, museklik , og netværkstrafik for at generere tilfældighed. Kudelski Security har brugt en kryptografisk generator til tilfældige tal baseret på ChaCha20-strømchifferet.

Læs mere: Skaber sikkerhed gennem tilfældighed

Southern Company bygger SBOM til Electric Power Substation

Af Kelly Jackson Higgins, chefredaktør, Dark Reading

Værktøjets softwarestyklisteeksperiment (SBOM) har til formål at etablere stærkere forsyningskædesikkerhed - og strammere forsvar mod potentielle cyberangreb.

Energigiganten Southern Company startede et eksperiment i år, som begyndte med, at dets cybersikkerhedsteam rejste til en af ​​dets Mississippi Power-transformatorstationer for fysisk at katalogisere udstyret der, tage billeder og indsamle data fra netværkssensorer. Så kom den mest skræmmende - og til tider frustrerende - del: at erhverve softwareforsyningskædedetaljer fra de 17 leverandører, hvis 38 enheder kører understationen.

Missionen? Til inventar al hardware, software og firmware i udstyr, der kører i kraftværket i et forsøg på at skabe en softwarestykliste (SBOM) til operations technology (OT) sitet.

Før projektet havde Southern synlighed i sine OT-netværksaktiver der via sin Dragos-platform, men softwaredetaljer var en gåde, sagde Alex Waitkus, ledende cybersikkerhedsarkitekt hos Southern Company og leder af SBOM-projektet.

"Vi havde ingen idé om, hvilke forskellige versioner af software, vi kørte," sagde han. "Vi havde flere forretningspartnere, som styrede forskellige dele af transformerstationen."

Læs mere: Southern Company bygger SBOM til Electric Power Substation

Relateret: Forbedret, Stuxnet-lignende PLC-malware sigter mod at forstyrre kritisk infrastruktur

Hvad cybersikkerhedschefer har brug for fra deres administrerende direktører

Kommentar af Michael Mestrovich CISO, Rubrik

Ved at hjælpe CISO'er med at navigere i de forventninger, der stilles på deres skuldre, kan administrerende direktører i høj grad gavne deres virksomheder.

Det virker indlysende: CEO'er og deres chief information security officers (CISO'er) bør være naturlige partnere. Og alligevel, ifølge en nylig PwC-rapport, føler kun 30 % af CISO'erne, at de får tilstrækkelig støtte fra deres CEO.

Som om det ikke allerede var svært nok at forsvare deres organisationer mod dårlige aktører på trods af budgetbegrænsninger og kronisk mangel på cybersikkerhedstalenter. CISO'er står nu over for kriminelle anklager og regulatorisk vrede hvis de laver en fejl i hændelsens reaktion. Ikke så mærkeligt, at Gartner forudser, at næsten halvdelen af ​​cybersikkerhedsledere vil skifte job i 2025 på grund af flere arbejdsrelaterede stressfaktorer.

Her er fire ting, CEO'er kan gøre for at hjælpe: Sørg for, at CISO har en direkte linje til den administrerende direktør; have CISO'erne tilbage; arbejde med CISO om en modstandsdygtighedsstrategi; og er enige om AI's påvirkning.

Administrerende direktører, der læner sig ind i disse, gør ikke kun det rigtige for deres CISO'er, de er til stor gavn for deres virksomheder.

Læs mere: Hvad cybersikkerhedschefer har brug for fra deres administrerende direktører

Relateret: CISO-rollen gennemgår en stor udvikling

Sådan sikrer du, at Open Source-pakker ikke er landminer

Af Agam Shah, bidragende skribent, Dark Reading

CISA og OpenSSF udgav i fællesskab ny vejledning, der anbefaler tekniske kontroller for at gøre det sværere for udviklere at bringe ondsindede softwarekomponenter ind i kode.

Open source-lagre er afgørende for at køre og skrive moderne applikationer, men de kan også indeholde ondsindede, lurende kodebomber, der bare venter på at blive inkorporeret i apps og tjenester.

For at hjælpe med at undgå disse landminer har Cybersecurity and Infrastructure Security Agency (CISA) og Open Source Security Foundation (OpenSSF) udstedt nye retningslinjer for styring af open source-økosystemet.

De anbefaler implementering af kontroller, såsom aktivering af multifaktorgodkendelse for projektvedligeholdere, tredjeparts sikkerhedsrapporteringsfunktioner og advarsler for forældede eller usikre pakker for at hjælpe med at reducere eksponeringen for ondsindet kode og pakker, der maskerer sig som åben kildekode på offentlige lagre.

Organisationer ignorerer risikoen på egen risiko: "Når vi taler om ondsindede pakker i løbet af det sidste år, har vi set en fordobling i forhold til tidligere år," sagde Ann Barron-DiCamillo, administrerende direktør og global leder af cyberoperationer hos Citi, på OSFF-konferencen for et par måneder siden. "Dette er ved at blive en realitet forbundet med vores udviklingssamfund."

Læs mere: Sådan sikrer du, at Open Source-pakker ikke er landminer

Relateret: Millioner af ondsindede depoter oversvømmer GitHub

Mellemøsten fører an i implementeringen af ​​DMARC-e-mailsikkerhed

Af Robert Lemos, bidragende skribent, Dark Reading

Alligevel er der stadig udfordringer, da mange nationers politikker for e-mail-godkendelsesprotokollen forbliver lemfældige og kan støde på Googles og Yahoos begrænsninger.

Den 1. februar begyndte både Google og Yahoo at påbyde, at alle e-mails, der sendes til deres brugere, skal have verificerbare Sender Policy Framework (SPF) og Domain Key Identified Mail (DKIM), mens masseafsendere - virksomheder, der sender mere end 5,000 e-mails om dagen - skal også have en gyldig domænebaseret meddelelsesgodkendelsesrapportering og overensstemmelsesregistrering (DMARC).

Alligevel mange organisationer halter i vedtagelsen af disse teknologier, på trods af at de ikke er nye. Der er dog to lysende undtagelser derude: Kongeriget Saudi-Arabien og De Forenede Arabiske Emirater (UAE).

Sammenlignet med cirka tre fjerdedele (73 %) af globale organisationer, har omkring 90 % af organisationerne i Saudi-Arabien og 80 % i UAE implementeret den mest grundlæggende version af DMARC, som – sammen med de to andre specifikationer – gør e-mail-baseret personefterligning meget mere svært for angriberne.

Samlet set er mellemøstlige nationer foran med at vedtage DMARC. Omkring 80% af medlemmerne af S&P's Pan Arab Composite Index har en streng DMARC-politik, som er højere end FTSE100's 72%, og stadig højere end 61% af Frankrigs CAC40-indeks, ifølge Nadim Lahoud, vicepræsident for strategi og strategi. operationer for Red Sift, et trusselsefterretningsfirma.

Læs mere: Mellemøsten fører an i implementeringen af ​​DMARC-e-mailsikkerhed

Relateret: DMARC-data viser 75 % stigning i mistænkelige e-mails, der rammer indbakker

Cyberforsikringsstrategi kræver CISO-CFO-samarbejde

Af Fahmida Y. Rashid, administrerende redaktør, funktioner, mørk læsning

Cyber-risiko kvantificering samler CISO's tekniske ekspertise og CFO's fokus på økonomisk effekt for at udvikle en stærkere og bedre forståelse af, hvad der er på spil.

Cyberforsikring er blevet normen for mange organisationer, hvor mere end halvdelen af ​​respondenterne i Dark Readings seneste strategiske sikkerhedsundersøgelse siger, at deres organisationer har en form for dækning. Mens forsikring typisk har været domænet for organisationens bestyrelse og økonomidirektører, betyder den tekniske karakter af cyberrisiko, at CISO i stigende grad bliver bedt om at være en del af samtalen.

I undersøgelsen siger 29 pct cyberforsikringsdækning er en del af en bredere erhvervsforsikringspolice, og 28 % siger, at de har en politik specifikt for cybersikkerhedshændelser. Næsten halvdelen af ​​organisationerne (46%) siger, at de har en politik, der dækker ransomware-betalinger.

"Hvordan man taler om risici, og hvordan man håndterer og afbøder risici, er nu blevet meget vigtigere for CISO-organisationen at forstå," siger Monica Shokrai, leder af forretningsrisici og forsikring hos Google Cloud, mens hun bemærker, at det er noget, der kommunikerer risiko opad. CFO har "gjort for evigt."

I stedet for at forsøge at gøre CISO'er til "cyber-CFO'er", bør de to organisationer arbejde sammen om at udvikle en sammenhængende og integreret strategi for bestyrelsen, siger hun.

Læs mere: Cyberforsikringsstrategi kræver CISO-CFO-samarbejde

Relaterede: Privatliv slår ransomware som den største bekymring for forsikring

Tips til styring af forskellige sikkerhedsteams

Kommentar af Gourav Nagar, Senior Manager of Security Operations, BILL

Jo bedre et sikkerhedsteam arbejder sammen, jo større er den direkte indflydelse på, hvor godt det kan beskytte organisationen.

Opbygning af et sikkerhedsteam begynder med ansættelse, men når først teamet begynder at arbejde sammen, er det afgørende at skabe et fælles sprog og et sæt forventninger og processer. På denne måde kan teamet hurtigt arbejde hen imod et fælles mål og undgå fejlkommunikation.

Især for forskellige teams, hvor målet er, at hver person bringer deres forskellige erfaringer, unikke perspektiver og karakteristiske måder at løse problemer på, at have fælles kommunikationskanaler til at dele opdateringer og samarbejde sikrer, at teammedlemmer kan bruge mere tid på det, de elsker at lave. og ikke bekymre dig om teamdynamikken.

Her er tre strategier for at nå dette mål: Ansæt for mangfoldighed og hurtigt tilpasse sig teamkultur og processer; skabe tillid til hver enkelt person på holdet; og hjælp dine teammedlemmer med at opbygge en karriere inden for cybersikkerhed og forblive begejstrede for innovation.

Det er selvfølgelig op til hver enkelt af os at tage ejerskab over vores egen karriere. Som ledere ved vi det måske godt, men det er ikke alle vores teammedlemmer måske. Vores rolle er at minde og opmuntre hver enkelt af dem til aktivt at lære og forfølge roller og ansvar, der vil holde dem begejstrede og hjælpe dem i deres karriere.

Læs mere: Tips til styring af forskellige sikkerhedsteams

Relateret: Hvordan neurodiversitet kan hjælpe med at udfylde manglen på arbejdsstyrke inden for cybersikkerhed

• SEO Powered Content & PR Distribution. Bliv forstærket i dag.
• PlatoData.Network Vertical Generative Ai. Styrk dig selv. Adgang her.
• PlatoAiStream. Web3 intelligens. Viden forstærket. Adgang her.
• PlatoESG. Kulstof, CleanTech, Energi, Miljø, Solenergi, Affaldshåndtering. Adgang her.
• PlatoHealth. Bioteknologiske og kliniske forsøgs intelligens. Adgang her.
• Kilde: https://www.darkreading.com/cybersecurity-operations/ciso-corner-nsa-guidelines-utility-sbom-case-study-lava-lamps