Rincón CISO: Directrices de la NSA; un estudio de caso de SBOM de servicios públicos; Lámparas de lava

Bienvenido a CISO Corner, el resumen semanal de artículos de Dark Reading diseñados específicamente para lectores de operaciones de seguridad y líderes de seguridad. Cada semana, ofreceremos artículos recopilados de nuestra operación de noticias, The Edge, DR Technology, DR Global y nuestra sección de comentarios. Estamos comprometidos a presentar un conjunto diverso de perspectivas para respaldar el trabajo de poner en práctica estrategias de ciberseguridad para líderes de organizaciones de todas las formas y tamaños.

En esta edición de CISO Corner:

Las directrices de confianza cero de la NSA se centran en la segmentación

Por David Strom, escritor colaborador de Dark Reading

Las arquitecturas de confianza cero son medidas de protección esenciales para la empresa moderna. La última guía de la NSA proporciona recomendaciones detalladas sobre cómo implementar el concepto de networking.

La Agencia de Seguridad Nacional (NSA) de EE. UU. entregó esta semana sus directrices para la seguridad de la red de confianza cero, ofreciendo una hoja de ruta más concreta hacia la adopción de confianza cero de lo que estamos acostumbrados a ver. Es un esfuerzo importante intentar cerrar la brecha entre el deseo y la implementación del concepto.

El documento de la NSA contiene muchas recomendaciones sobre las mejores prácticas de confianza cero, incluida, fundamentalmente, la segmentación del tráfico de red para impedir que los adversarios se muevan por una red y obtener acceso a sistemas críticos.

Explica cómo se pueden lograr los controles de segmentación de la red a través de una serie de pasos, incluido el mapeo y la comprensión de los flujos de datos, y la implementación de redes definidas por software (SDN). Cada paso requerirá un tiempo y un esfuerzo considerables para comprender qué partes de una red empresarial están en riesgo y cómo protegerlas mejor.

El documento de la NSA también diferencia entre segmentación de macro y microred. El primero controla el tráfico que se mueve entre departamentos o grupos de trabajo, por lo que un trabajador de TI no tiene acceso a los servidores ni a los datos de recursos humanos, por ejemplo.

John Kindervag, quien fue el primero en definir el término "confianza cero" en 2010, cuando era analista de Forrester Research, acogió con satisfacción la medida de la NSA y señaló que "muy pocas organizaciones han entendido la importancia de los controles de seguridad de la red en la construcción de confianza cero". -Entornos de confianza, y este documento contribuye en gran medida a ayudar a las organizaciones a comprender su valor”.

Más información: Las directrices de confianza cero de la NSA se centran en la segmentación

Relacionado: Marco de ciberseguridad 2.0 del NIST: 4 pasos para comenzar

Creando seguridad a través de la aleatoriedad

Por Andrada Fiscutean, escritor colaborador de Dark Reading

Cómo las lámparas de lava, los péndulos y los arcoíris suspendidos mantienen Internet seguro.

Cuando entras a la oficina de Cloudflare en San Francisco, lo primero que notas es una pared de lámparas de lava. Los visitantes suelen detenerse para tomarse selfies, pero la peculiar instalación es más que una declaración artística; Es una ingeniosa herramienta de seguridad.

Los patrones cambiantes creados por las gotas de cera flotantes de las lámparas ayudan a Cloudflare a cifrar el tráfico de Internet generando números aleatorios. Los números aleatorios tienen una variedad de usos en ciberseguridady desempeñan un papel crucial en cosas como la creación de contraseñas y claves criptográficas.

El Muro de Entropía de Cloudflare, como se le conoce, utiliza no una sino 100 lámparas, y su aleatoriedad aumenta con el movimiento humano.

Cloudflare también utiliza fuentes adicionales de entropía física para crear aleatoriedad en sus servidores. "En Londres, tenemos esta increíble pared de péndulos dobles, y en Austin, Texas, tenemos estos increíbles móviles que cuelgan del techo y se mueven con las corrientes de aire", dice el CTO de Cloudfare, John Graham-Cumming. La oficina de Cloudflare en Lisboa pronto contará con una instalación "basada en el océano".

Otras organizaciones tienen sus propias fuentes de entropía. La Universidad de Chile, por ejemplo, ha agregado mediciones sísmicas a la mezcla, mientras que el Instituto Federal Suizo de Tecnología utiliza el generador de aleatoriedad local presente en cada computadora en /dev/urandom, lo que significa que depende de cosas como presionar el teclado, hacer clic con el mouse y tráfico de red para generar aleatoriedad. Kudelski Security ha utilizado un generador criptográfico de números aleatorios basado en el cifrado de flujo ChaCha20.

Más información: Creando seguridad a través de la aleatoriedad

Southern Company construye SBOM para subestación de energía eléctrica

Por Kelly Jackson Higgins, editora en jefe de Dark Reading

El experimento de lista de materiales de software (SBOM) de la empresa de servicios públicos tiene como objetivo establecer una seguridad más sólida en la cadena de suministro y defensas más estrictas contra posibles ataques cibernéticos.

El gigante energético Southern Company inició un experimento este año, que comenzó con el viaje de su equipo de ciberseguridad a una de sus subestaciones de Mississippi Power para catalogar físicamente el equipo allí, tomando fotografías y recopilando datos de los sensores de la red. Luego vino la parte más desalentadora (y a veces frustrante): adquirir detalles de la cadena de suministro de software de los 17 proveedores cuyos 38 dispositivos ejecutan la subestación.

¿La misión? A inventariar todo el hardware, software y firmware de los equipos que se ejecutan en la planta de energía en un esfuerzo por crear una lista de materiales de software (SBOM) para el sitio de tecnología operativa (OT).

Antes del proyecto, Southern tenía visibilidad de sus activos de red OT allí a través de su plataforma Dragos, pero los detalles del software eran un enigma, dijo Alex Waitkus, arquitecto principal de ciberseguridad de Southern Company y jefe del proyecto SBOM.

"No teníamos idea de las diferentes versiones de software que estábamos ejecutando", dijo. "Teníamos varios socios comerciales que administraban diferentes partes de la subestación".

Más información: Southern Company construye SBOM para subestación de energía eléctrica

Relacionado: El malware de PLC mejorado, similar a Stuxnet, tiene como objetivo alterar la infraestructura crítica

Lo que los jefes de ciberseguridad necesitan de sus directores ejecutivos

Comentario de Michael Mestrovich CISO, Rubrik

Al ayudar a los CISO a superar las expectativas que se les imponen, los directores ejecutivos pueden beneficiar enormemente a sus empresas.

Parece obvio: los directores ejecutivos y sus directores de seguridad de la información (CISO) deberían ser socios naturales. Y, sin embargo, según un informe reciente de PwC, sólo el 30% de los CISO sienten que reciben suficiente apoyo de su director ejecutivo.

Como si defender sus organizaciones de los malos actores a pesar de las limitaciones presupuestarias y la escasez crónica de talento en ciberseguridad no fuera ya suficientemente difícil, Los CISO ahora enfrentan cargos penales y la ira regulatoria si cometen un error en la respuesta al incidente. No es de extrañar que Gartner prediga que casi la mitad de los líderes de ciberseguridad cambiarán de trabajo para 2025 debido a múltiples factores estresantes relacionados con el trabajo.

Aquí hay cuatro cosas que los directores ejecutivos pueden hacer para ayudar: asegurarse de que el CISO tenga una línea directa con el director ejecutivo; tener el respaldo del CISO; trabajar con el CISO en una estrategia de resiliencia; y ponerse de acuerdo sobre el impacto de la IA.

Los CEO que se apoyan en esto no sólo están haciendo lo correcto para sus CISO, sino que también están beneficiando enormemente a sus empresas.

Más información: Lo que los jefes de ciberseguridad necesitan de sus directores ejecutivos

Relacionado: El papel del CISO sufre una importante evolución

Cómo garantizar que los paquetes de código abierto no sean minas terrestres

Por Agam Shah, escritor colaborador de Dark Reading

CISA y OpenSSF publicaron conjuntamente una nueva guía que recomienda controles técnicos para dificultar a los desarrolladores la incorporación de componentes de software malicioso al código.

Los repositorios de código abierto son fundamentales para ejecutar y escribir aplicaciones modernas, pero también pueden contener bombas de código maliciosas y al acecho, a la espera de incorporarse a aplicaciones y servicios.

Para ayudar a evitar esas minas terrestres, la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) y la Fundación de Seguridad de Código Abierto (OpenSSF) han emitido nuevas directrices para gestionar el ecosistema de código abierto.

Recomiendan implementar controles como habilitar la autenticación multifactor para los mantenedores de proyectos, capacidades de informes de seguridad de terceros y advertencias sobre paquetes obsoletos o inseguros para ayudar a reducir la exposición a códigos maliciosos y paquetes disfrazados de código fuente abierto en repositorios públicos.

Las organizaciones ignoran el riesgo bajo su propio riesgo: "Hablando de paquetes maliciosos durante el último año, hemos visto un aumento del doble con respecto a años anteriores", dijo Ann Barron-DiCamillo, directora general y jefa global de operaciones cibernéticas de Citi, en la conferencia OSFF. hace pocos meses. "Esto se está convirtiendo en una realidad asociada con nuestra comunidad de desarrollo".

Más información: Cómo garantizar que los paquetes de código abierto no sean minas terrestres

Relacionado: Millones de repositorios maliciosos inundan GitHub

Medio Oriente lidera la implementación de seguridad de correo electrónico DMARC

Por Robert Lemos, escritor colaborador de Dark Reading

Sin embargo, persisten los desafíos, ya que las políticas de muchos países para el protocolo de autenticación de correo electrónico siguen siendo laxas y podrían entrar en conflicto con las restricciones de Google y Yahoo.

El 1 de febrero, tanto Google como Yahoo comenzaron a exigir que todos los correos electrónicos enviados a sus usuarios tuvieran registros verificables del Marco de políticas del remitente (SPF) y de Correo identificado con clave de dominio (DKIM), mientras que los remitentes masivos (empresas que envían más de 5,000 correos electrónicos por día) deben también tener un registro de conformidad e informe de autenticación de mensajes basado en dominio (DMARC) válido.

Todavía, muchas organizaciones se quedan atrás en la adopción de estas tecnologías, a pesar de que no son nuevas. Sin embargo, existen dos brillantes excepciones: el Reino de Arabia Saudita y los Emiratos Árabes Unidos (EAU).

En comparación con aproximadamente tres cuartas partes (73%) de las organizaciones globales, alrededor del 90% de las organizaciones en Arabia Saudita y el 80% en los Emiratos Árabes Unidos han implementado la versión más básica de DMARC que, junto con las otras dos especificaciones, hace que la suplantación de identidad basada en correo electrónico sea mucho más fácil. difícil para los atacantes.

En general, los países del Medio Oriente están a la cabeza en la adopción de DMARC. Alrededor del 80% de los miembros del índice compuesto panárabe del S&P tienen una estricta política DMARC, que es mayor que el 100% del FTSE72, y aún mayor que el 61% del índice CAC40 de Francia, según Nadim Lahoud, vicepresidente de estrategia y operaciones para Red Sift, una empresa de inteligencia sobre amenazas.

Más información: Medio Oriente lidera la implementación de seguridad de correo electrónico DMARC

Relacionado: Los datos de DMARC muestran un aumento del 75 % en los correos electrónicos sospechosos que llegan a las bandejas de entrada

La estrategia de ciberseguro requiere la colaboración CISO-CFO

Por Fahmida Y. Rashid, editora en jefe, Funciones, Lectura oscura

La cuantificación del riesgo cibernético reúne la experiencia técnica del CISO y el enfoque del CFO en el impacto financiero para desarrollar una mejor y más sólida comprensión de lo que está en juego.

El seguro cibernético se ha convertido en la norma para muchas organizaciones, y más de la mitad de los encuestados en la Encuesta de Seguridad Estratégica más reciente de Dark Reading dijeron que sus organizaciones tienen algún tipo de cobertura. Si bien los seguros han sido típicamente dominio de la junta directiva y los directores financieros de la organización, la naturaleza técnica del riesgo cibernético significa que cada vez se le pide más al CISO que forme parte de la conversación.

En la encuesta, el 29% dice cobertura de seguro cibernético forma parte de una póliza de seguro empresarial más amplia, y el 28% dice tener una póliza específica para incidentes de ciberseguridad. Casi la mitad de las organizaciones (46%) dicen que tienen una política que cubre los pagos de ransomware.

"Ahora es mucho más importante que la organización CISO comprenda cómo hablar sobre riesgos y cómo gestionarlos y mitigarlos", dice Monica Shokrai, directora de riesgos comerciales y seguros de Google Cloud, al tiempo que señala que comunicar el riesgo hacia arriba es algo que el El director financiero lo ha estado “haciendo desde siempre”.

En lugar de intentar convertir a los CISO en “ciberdirectores financieros”, las dos organizaciones deberían trabajar juntas para desarrollar una estrategia coherente e integrada para la junta directiva, afirma.

Más información: La estrategia de ciberseguro requiere la colaboración CISO-CFO

Relacionado:: La privacidad supera al ransomware como principal preocupación en materia de seguros

Consejos para gestionar equipos de seguridad diversos

Comentario de Gourav Nagar, Gerente Senior de Operaciones de Seguridad, BILL

Cuanto mejor trabaje en conjunto un equipo de seguridad, mayor será el impacto directo sobre qué tan bien puede proteger a la organización.

La formación de un equipo de seguridad comienza con la contratación, pero una vez que el equipo comienza a trabajar en conjunto, es fundamental crear un lenguaje común y un conjunto de expectativas y procesos. De esta manera, el equipo puede trabajar rápidamente hacia un objetivo común y evitar errores de comunicación.

Especialmente para equipos diversos, donde el objetivo es que cada persona aporte sus diferentes experiencias, perspectivas únicas y formas distintivas de resolver problemas, tener canales de comunicación comunes para compartir actualizaciones y colaborar garantiza que los miembros del equipo puedan dedicar más tiempo a lo que aman hacer. y no preocuparse por la dinámica del equipo.

Aquí hay tres estrategias para lograr ese objetivo: contratar para la diversidad y alinearse rápidamente con la cultura y los procesos del equipo; crear confianza para cada persona del equipo; y ayude a los miembros de su equipo a desarrollar una carrera en ciberseguridad y mantenerse entusiasmados con la innovación.

Por supuesto, depende de cada uno de nosotros tomar posesión de nuestras propias carreras. Como gerentes, es posible que lo sepamos bien, pero no todos los miembros de nuestro equipo lo saben. Nuestro papel es recordar y alentar a cada uno de ellos a aprender activamente y asumir roles y responsabilidades que los mantendrán entusiasmados y los ayudarán en sus carreras.

Más información: Consejos para gestionar equipos de seguridad diversos

Relacionado: Cómo la neurodiversidad puede ayudar a cubrir la escasez de mano de obra en ciberseguridad

• Distribución de relaciones públicas y contenido potenciado por SEO. Consiga amplificado hoy.
• PlatoData.Network Vertical Generativo Ai. Empodérate. Accede Aquí.
• PlatoAiStream. Inteligencia Web3. Conocimiento amplificado. Accede Aquí.
• PlatoESG. Carbón, tecnología limpia, Energía, Ambiente, Solar, Gestión de residuos. Accede Aquí.
• PlatoSalud. Inteligencia en Biotecnología y Ensayos Clínicos. Accede Aquí.
• Fuente: https://www.darkreading.com/cybersecurity-operations/ciso-corner-nsa-guidelines-utility-sbom-case-study-lava-lamps