CISO Corner: NSA:n ohjeet; Utility SBOM -tapaustutkimus; Laava lamput

Tervetuloa CISO Corneriin, Dark Readingin viikoittaiseen tiivistelmään artikkeleista, jotka on räätälöity erityisesti turvallisuustoimintojen lukijoille ja tietoturvajohtajille. Tarjoamme joka viikko artikkeleita, jotka on poimittu uutistoiminnastamme, The Edgestä, DR Technologysta, DR Globalista ja kommenttiosiostamme. Olemme sitoutuneet esittelemään erilaisia ​​näkökulmia, jotka tukevat kyberturvallisuusstrategioiden toteuttamista kaikenmuotoisten ja -kokoisten organisaatioiden johtajille.

Tässä CISO Cornerin numerossa:

NSA:n nollaluottamusohjeet keskittyvät segmentointiin

David Strom, avustava kirjoittaja, Dark Reading

Nollaluottamusarkkitehtuurit ovat välttämättömiä suojatoimenpiteitä nykyaikaiselle yritykselle. Uusimmassa NSA:n ohjeessa on yksityiskohtaisia ​​suosituksia konseptin verkostoitumiskulman toteuttamiseen.

Yhdysvaltain kansallinen turvallisuusvirasto (NSA) julkaisi nollaluottamuksen verkkoturvallisuutta koskevat suuntaviivansa tällä viikolla tarjoten konkreettisemman etenemissuunnitelman nollaluottamuksen käyttöönottoon kuin olemme tottuneet näkemään. On tärkeä pyrkimys yrittää kuroa umpeen konseptin halun ja toteuttamisen välinen kuilu.

NSA-asiakirja sisältää runsaasti suosituksia nollaluottamuksen parhaista käytännöistä, mukaan lukien pohjimmiltaan verkkoliikenteen segmentointi estää vihollisia liikkumasta verkossa ja pääsy kriittisiin järjestelmiin.

Siinä käydään läpi, kuinka verkon segmentoinnin hallinta voidaan suorittaa useiden vaiheiden avulla, mukaan lukien tietovirtojen kartoittaminen ja ymmärtäminen sekä ohjelmiston määrittämän verkon (SDN) käyttöönotto. Jokainen vaihe vie paljon aikaa ja vaivaa ymmärtääksesi, mitkä yritysverkoston osat ovat vaarassa ja miten ne voidaan parhaiten suojata.

NSA:n asiakirjassa erotetaan myös makro- ja mikroverkkosegmentointi. Edellinen ohjaa liikennettä, joka liikkuu osastojen tai työryhmien välillä, joten IT-työntekijällä ei ole pääsyä esimerkiksi henkilöstöpalvelimiin ja tietoihin.

John Kindervag, joka määritteli ensimmäisenä termin "nolla luottamus" vuonna 2010, kun hän oli Forrester Researchin analyytikko, ilmaisi tyytyväisyytensä NSA:n siirtoon ja huomautti, että "hyvin harvat organisaatiot ovat ymmärtäneet verkkoturvallisuuden valvonnan merkityksen nollan rakentamisessa. - Luota ympäristöihin, ja tämä asiakirja auttaa organisaatioita ymmärtämään niiden arvoa pitkälle."

Lue lisää: NSA:n nollaluottamusohjeet keskittyvät segmentointiin

Related: NIST Cybersecurity Framework 2.0: 4 vaihetta alkuun

Turvallisuuden luominen satunnaisuuden avulla

Andrada Fiscutean, avustava kirjoittaja, Dark Reading

Kuinka laavalamput, heilurit ja riippuvat sateenkaaret pitävät Internetin turvassa.

Kun astut sisään Cloudflaren San Franciscon toimistoon, huomaat ensimmäisenä laavalamppujen seinän. Vierailijat pysähtyvät usein ottamaan selfieitä, mutta omalaatuinen installaatio on enemmän kuin taiteellinen ilmaisu; se on nerokas suojaustyökalu.

Lamppujen kelluvien vahapilkkujen luomat muuttuvat kuviot auttavat Cloudflarea salaamaan Internet-liikenteen luomalla satunnaislukuja. Satunnaisluvuilla on monia käyttötarkoituksia kyberturvallisuudessa, ja niillä on ratkaiseva rooli esimerkiksi salasanojen ja salausavainten luomisessa.

Cloudflare's Wall of Entropy, kuten se tunnetaan, käyttää ei yhtä vaan 100 lamppua, joiden satunnaisuutta lisää ihmisen liike.

Cloudflare käyttää myös muita fyysisen entropian lähteitä luodakseen satunnaisuutta palvelimilleen. "Lontoossa meillä on tämä uskomaton kaksoisheilurien seinä, ja Austinissa, Texasissa, meillä on nämä uskomattomat matkapuhelimet, jotka roikkuvat katosta ja liikkuvat ilmavirtojen mukana", Cloudfaren teknologiajohtaja John Graham-Cumming sanoo. Cloudflaren toimistossa Lissabonissa on pian "valtamereen perustuva" asennus.

Muilla organisaatioilla on omat entropialähteensä. Esimerkiksi Chilen yliopisto on lisännyt sekoitukseen seismiset mittaukset, kun taas Sveitsin liittovaltion teknologiainstituutti käyttää paikallista satunnaisuusgeneraattoria, joka on jokaisessa tietokoneessa osoitteessa /dev/urandom, mikä tarkoittaa, että se perustuu esimerkiksi näppäimistön painalluksiin ja hiiren napsautuksiin. ja verkkoliikennettä satunnaisuuden luomiseksi. Kudelski Security on käyttänyt ChaCha20-virtasalaukseen perustuvaa kryptografista satunnaislukugeneraattoria.

Lue lisää: Turvallisuuden luominen satunnaisuuden avulla

Southern Company rakentaa SBOM:n sähköasemalle

Kirjailija Kelly Jackson Higgins, Dark Readingin päätoimittaja

Apuohjelman ohjelmistojen materiaalilasku (SBOM) -kokeilu pyrkii vahvistamaan toimitusketjun turvallisuutta ja tiukempaa puolustusta mahdollisia kyberhyökkäyksiä vastaan.

Energiajätti Southern Company aloitti tänä vuonna kokeilun, joka alkoi sen kyberturvallisuustiimin matkalla yhdelle Mississippi Power -sähköasemilleen luetteloimaan siellä olevat laitteet fyysisesti, ottamaan valokuvia ja keräämään tietoja verkon antureista. Sitten tuli pelottavin – ja toisinaan turhauttavin – osa: ohjelmistojen toimitusketjun yksityiskohtien hankkiminen 17 toimittajalta, joiden 38 laitetta käyttävät sähköasemaa.

Tehtävä? Vastaanottaja inventoi kaikki voimalaitoksessa toimivien laitteiden laitteistot, ohjelmistot ja laiteohjelmistot yrittääkseen luoda ohjelmiston materiaaliluettelon (SBOM) operatiivisen teknologian (OT) sivustolle.

Ennen projektia Southernilla oli näkyvyyttä sen OT-verkkoomaisuuksiin Dragos-alustan kautta, mutta ohjelmiston yksityiskohdat olivat arvoituksia, sanoi Alex Waitkus, Southern Companyn kyberturvallisuuden pääarkkitehti ja SBOM-projektin johtaja.

"Meillä ei ollut aavistustakaan siitä, mitä eri ohjelmistoversioita käytämme", hän sanoi. "Meillä oli useita liikekumppaneita, jotka hallinnoivat sähköaseman eri osia."

Lue lisää: Southern Company rakentaa SBOM:n sähköasemalle

Related: Paranneltu, Stuxnet-tyyppinen PLC-haittaohjelma pyrkii häiritsemään kriittistä infrastruktuuria

Mitä kyberturvallisuuspäälliköt tarvitsevat toimitusjohtajaltaan

Kommentti: Michael Mestrovich CISO, Rubrik

Toimitusjohtajat voivat hyödyttää yrityksiään suuresti auttamalla CISO:ita selviytymään heidän harteilleen asetettuista odotuksista.

Näyttää ilmeiseltä: Toimitusjohtajien ja heidän tietoturvapäällikkönsä (CISO) tulee olla luonnollisia kumppaneita. Silti PwC:n tuoreen raportin mukaan vain 30 % CISO:sta kokee saavansa riittävästi tukea toimitusjohtajaltaan.

Ikään kuin organisaatioidensa puolustaminen huonoilta toimijoilta budjettirajoitteista ja kroonisesta kyberturvallisuuden osaajapulasta huolimatta ei olisi jo tarpeeksi vaikeaa, CISO:t kohtaavat nyt rikossyytteitä ja sääntelyn vihaa jos he tekevät virheen reagoinnissaan. Ei ole ihme, että Gartner ennustaa lähes puolet kyberturvallisuusjohtajista vaihtavan työpaikkaa vuoteen 2025 mennessä useiden työhön liittyvien stressitekijöiden vuoksi.

Tässä on neljä asiaa, joita toimitusjohtajat voivat tehdä auttaakseen: Varmista, että CISO:lla on suora yhteys toimitusjohtajaan; saada CISO:n takaisin; työskennellä CISO:n kanssa kestävyysstrategian parissa; ja sopimaan tekoälyn vaikutuksesta.

Toimitusjohtajat, jotka nojaavat näihin, eivät vain tee oikein CISO:lleen, he hyödyttävät suuresti yrityksiään.

Lue lisää: Mitä kyberturvallisuuspäälliköt tarvitsevat toimitusjohtajaltaan

Related: CISO-rooli käy läpi merkittävää kehitystä

Kuinka varmistaa, että avoimen lähdekoodin paketit eivät ole maamiinoja

Agam Shah, avustava kirjoittaja, Dark Reading

CISA ja OpenSSF julkaisivat yhdessä uudet ohjeet, joissa suositellaan teknisiä valvontatoimia, jotka vaikeuttavat kehittäjien mahdollisuuksia tuoda haittaohjelmistokomponentteja koodiin.

Avoimen lähdekoodin arkistot ovat kriittisiä nykyaikaisten sovellusten käyttämiselle ja kirjoittamiselle, mutta ne voivat myös sisältää haitallisia, väijyviä koodipommeja, odottaa vain sisällyttämistä sovelluksiin ja palveluihin.

Auttaakseen välttämään näitä maamiinoja, Cybersecurity and Infrastructure Security Agency (CISA) ja Open Source Security Foundation (OpenSSF) ovat julkaisseet uudet ohjeet avoimen lähdekoodin ekosysteemin hallintaan.

He suosittelevat valvontatoimien käyttöönottoa, kuten monivaiheisen todennuksen mahdollistamista projektin ylläpitäjille, kolmannen osapuolen tietoturvaraportointiominaisuuksia ja varoituksia vanhentuneista tai turvattomista paketeista, jotta voidaan vähentää altistumista haitalliselle koodille ja avoimeksi lähdekoodiksi naamioituville paketeille julkisissa arkistoissa.

Organisaatiot jättävät huomioimatta riskinsä omalla vaarallaan: "Kun puhutaan haitallisista paketeista viimeisen vuoden aikana, olemme nähneet kaksinkertaisen kasvun edellisiin vuosiin verrattuna", sanoi Ann Barron-DiCamillo, Citin toimitusjohtaja ja globaali kybertoimintojen johtaja OSFF-konferenssissa. muutama kuukausi sitten. "Tästä on tulossa todellisuutta kehitysyhteisöömme."

Lue lisää: Kuinka varmistaa, että avoimen lähdekoodin paketit eivät ole maamiinoja

Related: Miljoonat haitalliset tietovarastot tulvii GitHubin

Lähi-itä johtaa DMARC Email Securityn käyttöönottoa

Robert Lemos, avustava kirjailija, Dark Reading

Haasteita on kuitenkin edelleen, sillä monien maiden sähköpostin todennusprotokollaa koskevat käytännöt ovat edelleen löyhät ja voivat olla ristiriidassa Googlen ja Yahoon rajoitusten kanssa.

Sekä Google että Yahoo alkoivat 1. helmikuuta vaatia, että kaikissa käyttäjilleen lähetetyissä sähköpostiviesteissä on oltava todennettavissa olevat SPF (Sender Policy Framework) ja Domain Key Identified Mail (DKIM) -tietueet, kun taas joukkolähettäjien eli yritysten, jotka lähettävät yli 5,000 XNUMX sähköpostia päivässä, on oltava tarkistettavissa. niillä on myös kelvollinen DMARC (Domain-based Message Authentication Reporting and Conformance) -tietue.

Vielä, monet organisaatiot ovat myöhässä hyväksymisessä näistä teknologioista huolimatta siitä, että ne eivät ole uusia. Siellä on kuitenkin kaksi loistavaa poikkeusta: Saudi-Arabian kuningaskunta ja Yhdistyneet arabiemiirikunnat (UAE).

Verrattuna noin kolmeen neljäsosaan (73 %) maailmanlaajuisista organisaatioista noin 90 % Saudi-Arabian ja 80 % Yhdistyneiden arabiemiirikuntien organisaatioista on ottanut käyttöön DMARC:n alkeellisimman version, joka kahden muun spesifikaation ohella tekee sähköpostiin perustuvasta toisena henkilönä esiintymisestä paljon enemmän. vaikea hyökkääjille.

Kaiken kaikkiaan Lähi-idän maat ovat edellä DMARCin käyttöönotossa. Noin 80 prosentilla S&P:n Pan Arab Composite -indeksin jäsenistä on tiukka DMARC-politiikka, joka on korkeampi kuin FTSE100:n 72 prosenttia ja vielä korkeampi kuin 61 prosenttia Ranskan CAC40-indeksistä, sanoo strategia- ja johtaja Nadim Lahoud. uhkatiedusteluyrityksen Red Sift -toiminnot.

Lue lisää: Lähi-itä johtaa DMARC Email Securityn käyttöönottoa

Related: DMARC-tiedot osoittavat, että epäilyttävien sähköpostien määrä on lisääntynyt 75 %

Kybervakuutusstrategia edellyttää CISO-CFO-yhteistyötä

Fahmida Y. Rashid, Toimitusjohtaja, Ominaisuudet, Dark Reading

Kyberriskien kvantifiointi yhdistää CISO:n teknisen asiantuntemuksen ja talousjohtajan keskittymisen taloudellisiin vaikutuksiin kehittääkseen vahvempaa ja parempaa ymmärrystä siitä, mikä on vaakalaudalla.

Kybervakuutuksista on tullut normi monille organisaatioille, ja yli puolet Dark Readingin viimeisimmän Strategic Security Surveyn vastaajista sanoi, että heidän organisaatioillaan on jonkinlainen suoja. Vaikka vakuutukset ovat yleensä olleet organisaation hallituksen ja talousjohtajien toimiala, kyberriskin tekninen luonne tarkoittaa, että CISO:ta pyydetään yhä useammin osallistumaan keskusteluun.

Kyselyssä 29 % sanoo kybervakuutus on osa laajempaa yritysvakuutusta, ja 28 % sanoo, että heillä on erityisesti kyberturvallisuustapahtumia koskeva vakuutus. Lähes puolet organisaatioista (46 %) sanoo, että heillä on politiikka, joka kattaa kiristysohjelmamaksut.

"Riskeistä puhuminen sekä riskien hallinta ja vähentäminen on nyt entistä tärkeämpää ymmärtää CISO-organisaatio", sanoo Monica Shokrai, Google Cloudin liiketoimintariski- ja vakuutusjohtaja, mutta huomauttaa samalla, että riskien kommunikointi on tärkeä asia. Talousjohtaja on "tekenyt ikuisesti".

Sen sijaan, että yrittäisivät muuttaa CISO:sta "kybertalousjohtajiksi", näiden kahden organisaation tulisi työskennellä yhdessä kehittääkseen johdonmukaisen ja integroidun strategian hallitukselle, hän sanoo.

Lue lisää: Kybervakuutusstrategia edellyttää CISO-CFO-yhteistyötä

liittyvä: Yksityisyys voittaa Ransomwaren tärkeimpänä vakuutusyhtiönä

Vinkkejä erilaisten turvallisuustiimien hallintaan

Kommentti: Gourav Nagar, BILL-turvallisuuspäällikkö

Mitä paremmin tietoturvatiimi toimii yhdessä, sitä suurempi on suora vaikutus siihen, kuinka hyvin se pystyy suojaamaan organisaatiota.

Turvatiimin rakentaminen alkaa palkkaamisesta, mutta kun tiimi alkaa työskennellä yhdessä, on tärkeää luoda yhteinen kieli sekä joukko odotuksia ja prosesseja. Näin tiimi voi työskennellä nopeasti kohti yhteistä päämäärää ja välttää viestintävirheitä.

Erityisesti erilaisille tiimeille, joissa jokaisen tavoitteena on tuoda omat erilaiset kokemuksensa, ainutlaatuiset näkökulmansa ja omat tapansa ratkaista ongelmia, yhteiset viestintäkanavat päivitysten jakamiseen ja yhteistyöhön varmistavat, että tiimin jäsenet voivat viettää enemmän aikaa siihen, mitä he rakastavat. äläkä ole huolissasi joukkueen dynamiikasta.

Tässä on kolme strategiaa tämän tavoitteen saavuttamiseksi: Vuokraa monimuotoisuus ja mukaudu nopeasti tiimin kulttuuriin ja prosesseihin; luo luottamusta jokaiselle tiimin henkilölle; ja auta tiimisi jäseniä rakentamaan ura kyberturvallisuuden parissa ja pysymään innostuneena innovaatioista.

Tietysti jokainen meistä päättää ottaa vastuun omasta urastaan. Johtajina saatamme tietää tämän hyvin, mutta eivät kaikki tiimimme jäsenet. Tehtävämme on muistuttaa ja kannustaa jokaista heistä aktiivisesti oppimaan ja harjoittamaan rooleja ja vastuita, jotka pitävät heidät innostuneina ja auttavat heitä urallaan.

Lue lisää: Vinkkejä erilaisten turvallisuustiimien hallintaan

Related: Kuinka neurodiversiteetti voi auttaa täyttämään kyberturvallisuuden työvoimapulan

• SEO-pohjainen sisällön ja PR-jakelu. Vahvista jo tänään.
• PlatoData.Network Vertical Generatiivinen Ai. Vahvista itseäsi. Pääsy tästä.
• PlatoAiStream. Web3 Intelligence. Tietoa laajennettu. Pääsy tästä.
• PlatoESG. hiili, CleanTech, energia, ympäristö, Aurinko, Jätehuolto. Pääsy tästä.
• PlatonHealth. Biotekniikan ja kliinisten kokeiden älykkyys. Pääsy tästä.
• Lähde: https://www.darkreading.com/cybersecurity-operations/ciso-corner-nsa-guidelines-utility-sbom-case-study-lava-lamps