CISO Corner: NSA suunised; Utility SBOM juhtumiuuring; Laavalambid

Tere tulemast CISO Cornerisse, mis on Dark Readingi iganädalane kokkuvõte artiklitest, mis on kohandatud spetsiaalselt turvatoimingute lugejatele ja turvajuhtidele. Igal nädalal pakume artikleid, mis on kogutud meie uudisteoperatsioonist The Edge, DR Technology, DR Global ja meie kommentaaride jaotisest. Oleme pühendunud mitmekülgsete vaatenurkade esitamisele, et toetada küberjulgeolekustrateegiate elluviimist igas vormis ja suurusega organisatsioonide juhtidele.

Selles CISO Corneri numbris:

NSA null-usaldusjuhised keskenduvad segmenteerimisele

Autor David Strom, kaaskirjanik, Dark Reading

Usaldusvaba arhitektuurid on kaasaegse ettevõtte jaoks olulised kaitsemeetmed. Viimased NSA juhised annavad üksikasjalikke soovitusi kontseptsiooni võrgustamisnurga rakendamiseks.

USA Riiklik Julgeolekuagentuur (NSA) esitas sel nädalal oma juhised null-usaldusvõrgu turvalisuse kohta, pakkudes konkreetsema teekaardi usalduse nulli vastuvõtmiseks, kui me oleme harjunud nägema. See on oluline püüdlus püüda ületada lõhet kontseptsiooni soovi ja elluviimise vahel.

NSA dokument sisaldab palju soovitusi null-usalduse parimate tavade kohta, sealhulgas põhimõtteliselt võrguliikluse segmenteerimiseks takistada vastastel võrgus ringi liikumast ja juurdepääsu kriitilistele süsteemidele.

Selles kirjeldatakse, kuidas võrgu segmenteerimise juhtelemente saab teostada mitme sammu kaudu, sealhulgas andmevoogude kaardistamine ja mõistmine ning tarkvarapõhise võrgunduse (SDN) rakendamine. Iga samm võtab palju aega ja vaeva, et mõista, millised ärivõrgu osad on ohus ja kuidas neid kõige paremini kaitsta.

NSA dokumendis tehakse vahet ka makro- ja mikrovõrgu segmenteerimisel. Esimene juhib osakondade või töörühmade vahelist liiklust, nii et IT-töötajal puudub juurdepääs näiteks personaliserveritele ja andmetele.

John Kindervag, kes 2010. aastal Forrester Researchi analüütikuna defineeris esimesena mõiste "null usaldus", tervitas NSA sammu, märkides, et "väga vähesed organisatsioonid on mõistnud võrgu turvakontrolli tähtsust nulli loomisel. - usaldage keskkondi ja see dokument aitab organisatsioonidel mõista nende väärtust.

Loe rohkem: NSA null-usaldusjuhised keskenduvad segmenteerimisele

Seotud: NIST küberturvalisuse raamistik 2.0: 4 sammu alustamiseks

Turvalisuse loomine juhuslikkuse kaudu

Andrada Fiscutean, kaaskirjanik, Dark Reading

Kuidas laavalambid, pendlid ja rippuvad vikerkaared hoiavad Internetti turvalisena.

Kui astute Cloudflare'i San Francisco kontorisse, märkate esimese asjana laavalampide seina. Külastajad peatuvad sageli selfie'de tegemiseks, kuid omapärane installatsioon on midagi enamat kui kunstiline avaldus; see on geniaalne turvatööriist.

Lampide hõljuvate vahalaikude loodud muutuvad mustrid aitavad Cloudflare'il krüptida Interneti-liiklust, genereerides juhuslikke numbreid. Juhuslikel arvudel on küberjulgeolekus mitmesuguseid kasutusviiseja mängivad olulist rolli sellistes asjades nagu paroolide ja krüptovõtmete loomine.

Cloudflare'i entroopia müür, nagu teada, kasutab mitte ühte, vaid 100 lampi, mille juhuslikkust suurendab inimese liikumine.

Cloudflare kasutab oma serverites juhuslikkuse loomiseks ka täiendavaid füüsilise entroopia allikaid. "Londonis on meil see uskumatu topeltpendlitest sein ja Texase osariigis Austinis ripuvad need uskumatud mobiilid laes ja liiguvad koos õhuvooludega," ütleb Cloudfare'i tehnoloogiadirektor John Graham-Cumming. Cloudflare'i kontoris Lissabonis on peagi "ookeanil põhinev" installatsioon.

Teistel organisatsioonidel on oma entroopiaallikad. Näiteks Tšiili ülikool on lisanud segule seismilised mõõtmised, samas kui Šveitsi föderaalne tehnoloogiainstituut kasutab igas arvutis /dev/urandom olevat kohalikku juhuslikkuse generaatorit, mis tähendab, et see tugineb sellistele asjadele nagu klaviatuurivajutused, hiireklõpsud. ja võrguliiklust juhuslikkuse tekitamiseks. Kudelski Security on kasutanud ChaCha20 voošifril põhinevat krüptograafilist juhuslike arvude generaatorit.

Loe rohkem: Turvalisuse loomine juhuslikkuse kaudu

Southern Company ehitab SBOM-i elektrialajaama jaoks

Autor Kelly Jackson Higgins, Dark Readingi peatoimetaja

Utiliidi tarkvaramaterjalide materjalide (SBOM) katse eesmärk on luua tugevam tarneahela turvalisus ja tugevam kaitse võimalike küberrünnakute vastu.

Energiahiiglane Southern Company alustas sel aastal eksperimenti, mis algas sellega, et selle küberjulgeoleku meeskond sõitis ühte oma Mississippi Poweri alajaama, et seal olevad seadmed füüsiliselt kataloogida, pildistada ja võrguanduritelt andmeid koguda. Seejärel tuli kõige hirmutavam ja kohati masendav osa: tarkvara tarneahela üksikasjade hankimine 17 müüjalt, kelle 38 seadet alajaama juhivad.

Missioon? To inventeerida kogu elektrijaamas töötavate seadmete riistvara, tarkvara ja püsivara Püüdes luua operatsioonitehnoloogia (OT) saidi jaoks tarkvara materjalide arve (SBOM).

Enne projekti oli Southernil Dragose platvormi kaudu nähtav OT-võrgu vara, kuid tarkvara üksikasjad olid mõistatus, ütles Southern Company küberjulgeoleku peaarhitekt ja SBOM-i projekti juht Alex Waitkus.

"Meil polnud aimugi, milliseid tarkvara erinevaid versioone me kasutame," ütles ta. "Meil oli mitu äripartnerit, kes haldasid alajaama erinevaid osi."

Loe rohkem: Southern Company ehitab SBOM-i elektrialajaama jaoks

Seotud: Täiustatud, Stuxnetile sarnane PLC pahavara eesmärk on häirida kriitilist infrastruktuuri

Mida vajavad küberjulgeoleku juhid oma tegevjuhtidelt

Kommentaar Michael Mestrovitš CISO, Rubrik

Aidates CISO-del nende õlgadele seatud ootustes orienteeruda, saavad tegevjuhid nende ettevõtetele palju kasu.

Tundub ilmne: tegevjuhid ja nende infoturbe juhid (CISO) peaksid olema loomulikud partnerid. Ja siiski, vastavalt hiljutisele PwC aruandele, ainult 30% CISOdest tunnevad, et saavad oma tegevjuhilt piisavalt tuge.

Justkui poleks oma organisatsioonide kaitsmine halbade tegijate eest hoolimata eelarvepiirangutest ja kroonilisest küberjulgeoleku talentide nappusest juba piisavalt keeruline, CISOd seisavad nüüd silmitsi kriminaalsüüdistuste ja regulatiivse vihaga kui nad teevad juhtumile reageerimisel vea. Pole ime, et Gartner ennustab, et peaaegu pooled küberjulgeoleku juhtidest vahetavad 2025. aastaks mitme tööga seotud stressiteguri tõttu töökohta.

Siin on neli asja, mida tegevjuhid saavad aidata: Veenduge, et CISO-l oleks otseühendus tegevjuhiga; omama CISO-d tagama; teha koostööd CISOga vastupidavusstrateegia kallal; ja leppida kokku AI mõjus.

Tegevjuhid, kes neid toetavad, ei tee mitte ainult oma CISO-de jaoks õiget asja, vaid toovad nende ettevõtetele palju kasu.

Loe rohkem: Mida vajavad küberjulgeoleku juhid oma tegevjuhtidelt

Seotud: CISO roll läbib suure evolutsiooni

Kuidas tagada, et avatud lähtekoodiga paketid poleks maamiinid

Autor Agam Shah, kaaskirjanik, Dark Reading

CISA ja OpenSSF avaldasid ühiselt uued juhised, milles soovitatakse tehnilisi juhtelemente, et muuta arendajatel raskemaks pahatahtliku tarkvara komponentide koodi toomist.

Avatud lähtekoodiga hoidlad on kaasaegsete rakenduste käitamiseks ja kirjutamiseks üliolulised, kuid need võivad sisaldada ka pahatahtlikud, varitsevad koodipommid, ootavad lihtsalt rakendustesse ja teenustesse lisamist.

Nende maamiinide vältimiseks on küberturvalisuse ja infrastruktuuri turvalisuse agentuur (CISA) ja Open Source Security Foundation (OpenSSF) välja andnud uued juhised avatud lähtekoodiga ökosüsteemi haldamiseks.

Nad soovitavad rakendada juhtelemente, nagu mitmefaktorilise autentimise lubamine projekti hooldajatele, kolmandate osapoolte turvaaruandlusvõimalused ja hoiatused aegunud või ebaturvaliste pakettide eest, et vähendada kokkupuudet pahatahtliku koodiga ja pakettidega, mis maskeeruvad avalikes hoidlates avatud lähtekoodina.

Organisatsioonid eiravad ohtu oma ohus: "Rääkides pahatahtlikest pakettidest viimase aasta jooksul, oleme näinud kahekordset kasvu võrreldes eelmiste aastatega," ütles Citi tegevdirektor ja globaalne küberoperatsioonide juht Ann Barron-DiCamillo OSFF-i konverentsil. paar kuud tagasi. "See on muutumas meie arengukogukonnaga seotud reaalsuseks."

Loe rohkem: Kuidas tagada, et avatud lähtekoodiga paketid poleks maamiinid

Seotud: GitHubi ujutavad üle miljonid pahatahtlikud hoidlad

Lähis-Ida juhib DMARC e-posti turvalisuse juurutamist

Autor Robert Lemos, kaaskirjanik, Dark Reading

Siiski on endiselt probleeme, kuna paljude riikide e-posti autentimisprotokolli eeskirjad on lõdvad ja võivad sattuda Google'i ja Yahoo piirangute vastu.

1. veebruaril hakkasid nii Google kui ka Yahoo nõudma, et kõigil kasutajatele saadetavatel meilidel oleksid kontrollitavad saatjapoliitika raamistiku (SPF) ja domeeni võtmega tuvastatud meili (DKIM) kirjed, samas kui hulgisaatjad – ettevõtted, kes saadavad päevas üle 5,000 meili – peavad neil on ka kehtiv domeenipõhise sõnumi autentimise aruandluse ja vastavuse (DMARC) kirje.

Kuid paljud organisatsioonid jäävad vastuvõtmisega maha hoolimata sellest, et need pole uued. Siiski on seal kaks silmatorkavat erandit: Saudi Araabia Kuningriik ja Araabia Ühendemiraadid (AÜE).

Võrreldes ligikaudu kolmveerandiga (73%) ülemaailmsetest organisatsioonidest, on umbes 90% Saudi Araabia ja 80% AÜE organisatsioonidest juurutanud DMARC-i kõige elementaarsema versiooni, mis – lisaks kahele muule spetsifikatsioonile – muudab meilipõhise esinemise palju enamaks. ründajatele raske.

Üldiselt on Lähis-Ida riigid DMARC-i kasutuselevõtul ees. Strateegia ja strateegia asepresidendi Nadim Lahoudi sõnul on umbes 80% S&P Pan Arab Composite indeksi liikmetest range DMARC-poliitika, mis on kõrgem kui FTSE100 72% ja veel kõrgem kui 61% Prantsusmaa CAC40 indeksist. operatsioone ohuluurefirma Red Sift jaoks.

Loe rohkem: Lähis-Ida juhib DMARC e-posti turvalisuse juurutamist

Seotud: DMARC-i andmed näitavad, et postkastidesse jõudvate kahtlaste meilide arv on suurenenud 75%.

Küberkindlustuse strateegia nõuab CISO-CFO koostööd

Fahmida Y. Rashid, funktsioonide tegevtoimetaja, Dark Reading

Küberriskide kvantifitseerimine ühendab CISO tehnilised teadmised ja finantsjuhi keskendumise finantsmõjudele, et arendada tugevamat ja paremat arusaama sellest, mis on kaalul.

Küberkindlustus on muutunud paljude organisatsioonide jaoks normiks, kusjuures enam kui pooled Dark Readingi viimases strateegilises turvalisuse uuringus vastanutest ütlesid, et nende organisatsioonidel on mingisugune kindlustuskaitse. Kui kindlustus on tavaliselt olnud organisatsiooni direktorite nõukogu ja finantsjuhtide pärusmaa, siis küberriski tehniline olemus tähendab, et CISO-l palutakse üha enam vestluses osaleda.

Küsitluses väidab 29%. küberkindlustuskaitse on osa laiemast ettevõtete kindlustuspoliisist ja 28% väidab, et neil on spetsiaalselt küberjulgeolekuintsidentide poliitika. Peaaegu pooled organisatsioonidest (46%) väidavad, et neil on lunavaramakseid hõlmav poliitika.

„Seda, kuidas rääkida riskidest ning kuidas riske juhtida ja maandada, muutub CISO organisatsiooni jaoks nüüd palju olulisemaks,“ ütleb Monica Shokrai, Google Cloudi äririskide ja kindlustuse juht, märkides samas, et riskidest teavitamine on midagi muud. CFO on teinud "igavesti".

Ta ütleb, et selle asemel, et püüda muuta CISOd küberfinantsjuhtideks, peaksid kaks organisatsiooni tegema koostööd, et töötada välja juhatuse jaoks ühtne ja integreeritud strateegia.

Loe rohkem: Küberkindlustuse strateegia nõuab CISO-CFO koostööd

seotud: Privaatsus ületab lunavara kui peamise kindlustusprobleemi

Näpunäiteid erinevate turvameeskondade haldamiseks

BILLi turvaoperatsioonide vanemjuhi Gourav Nagari kommentaar

Mida paremini turvameeskond koostööd teeb, seda suurem on otsene mõju sellele, kui hästi ta suudab organisatsiooni kaitsta.

Turvameeskonna loomine algab töölevõtmisest, kuid kui meeskond hakkab koostööd tegema, on ülioluline luua ühine keel ning ootused ja protsessid. Nii saab meeskond kiiresti ühise eesmärgi nimel töötada ja vältida suhtlemisvigu.

Eriti erinevatele meeskondadele, kus eesmärk on, et iga inimene tooks kaasa oma erinevad kogemused, ainulaadsed vaatenurgad ja omanäolised probleemide lahendamise viisid, ühised suhtluskanalid uuenduste jagamiseks ja koostööks tagavad, et meeskonnaliikmed saavad rohkem aega veeta sellele, mida nad armastavad. ja ärge muretsege meeskonna dünaamika pärast.

Siin on kolm strateegiat selle eesmärgi saavutamiseks: palkage mitmekesisuse huvides ja kohanege kiiresti meeskonnakultuuri ja protsessidega; luua usaldust iga meeskonnaliikme vastu; ja aidake oma meeskonnaliikmetel küberjulgeoleku alal karjääri luua ja uuendustest põnevil püsida.

Loomulikult on igaühe enda asi oma karjääri eest vastutada. Juhtidena võime seda hästi teada, kuid mitte kõik meie meeskonnaliikmed seda ei tea. Meie roll on meelde tuletada ja julgustada igaüks neist aktiivselt õppima ning täitma rolle ja kohustusi, mis hoiavad neid põnevil ja aitavad neid nende karjääris.

Loe rohkem: Näpunäiteid erinevate turvameeskondade haldamiseks

Seotud: Kuidas neurodiversiteet võib aidata täita küberjulgeoleku tööjõupuudust?

• SEO-põhise sisu ja PR-levi. Võimenduge juba täna.
• PlatoData.Network Vertikaalne generatiivne Ai. Jõustage ennast. Juurdepääs siia.
• PlatoAiStream. Web3 luure. Täiustatud teadmised. Juurdepääs siia.
• PlatoESG. Süsinik, CleanTech, Energia, Keskkond päikeseenergia, Jäätmekäitluse. Juurdepääs siia.
• PlatoTervis. Biotehnoloogia ja kliiniliste uuringute luureandmed. Juurdepääs siia.
• Allikas: https://www.darkreading.com/cybersecurity-operations/ciso-corner-nsa-guidelines-utility-sbom-case-study-lava-lamps