सीआईएसओ कॉर्नर: एनएसए दिशानिर्देश; एक उपयोगिता एसबीओएम केस स्टडी; लावा लैंप

सीआईएसओ कॉर्नर में आपका स्वागत है, डार्क रीडिंग का साप्ताहिक लेख विशेष रूप से सुरक्षा संचालन पाठकों और सुरक्षा नेताओं के लिए तैयार किया गया है। प्रत्येक सप्ताह, हम अपने समाचार ऑपरेशन, द एज, डीआर टेक्नोलॉजी, डीआर ग्लोबल और हमारे कमेंटरी अनुभाग से प्राप्त लेख पेश करेंगे। हम सभी आकार और साइज़ के संगठनों के नेताओं के लिए साइबर सुरक्षा रणनीतियों के संचालन के काम का समर्थन करने के लिए विविध दृष्टिकोण प्रस्तुत करने के लिए प्रतिबद्ध हैं।

सीआईएसओ कॉर्नर के इस अंक में:

एनएसए के जीरो-ट्रस्ट दिशानिर्देश विभाजन पर ध्यान केंद्रित करते हैं

डेविड स्ट्रोम द्वारा, योगदानकर्ता लेखक, डार्क रीडिंग

जीरो-ट्रस्ट आर्किटेक्चर आधुनिक उद्यम के लिए आवश्यक सुरक्षात्मक उपाय हैं। नवीनतम एनएसए मार्गदर्शन अवधारणा के नेटवर्किंग कोण को लागू करने के तरीके पर विस्तृत सिफारिशें प्रदान करता है।

अमेरिकी राष्ट्रीय सुरक्षा एजेंसी (एनएसए) ने इस सप्ताह शून्य-विश्वास नेटवर्क सुरक्षा के लिए अपने दिशानिर्देश दिए, जो हम देखने के आदी हैं, उससे कहीं अधिक शून्य-विश्वास अपनाने की दिशा में एक अधिक ठोस रोडमैप पेश करते हैं। यह अवधारणा की इच्छा और कार्यान्वयन के बीच की खाई को पाटने का एक महत्वपूर्ण प्रयास है।

एनएसए दस्तावेज़ में शून्य-विश्वास सर्वोत्तम प्रथाओं पर ढेर सारी सिफ़ारिशें शामिल हैं, जिनमें मूलभूत रूप से नेटवर्क ट्रैफ़िक को विभाजित करना शामिल है विरोधियों को एक नेटवर्क में घूमने से रोकें और महत्वपूर्ण प्रणालियों तक पहुंच प्राप्त करना।

यह बताता है कि कैसे नेटवर्क विभाजन नियंत्रण को चरणों की एक श्रृंखला के माध्यम से पूरा किया जा सकता है, जिसमें मैपिंग और डेटा प्रवाह को समझना, और सॉफ्टवेयर-परिभाषित नेटवर्किंग (एसडीएन) को लागू करना शामिल है। प्रत्येक चरण में यह समझने में काफी समय और प्रयास लगेगा कि व्यवसाय नेटवर्क के कौन से हिस्से खतरे में हैं और उनकी सर्वोत्तम सुरक्षा कैसे की जाए।

एनएसए दस्तावेज़ मैक्रो- और माइक्रो-नेटवर्क विभाजन के बीच भी अंतर करता है। पहला विभागों या कार्यसमूहों के बीच चलने वाले ट्रैफ़िक को नियंत्रित करता है, इसलिए उदाहरण के लिए, एक आईटी कार्यकर्ता के पास मानव संसाधन सर्वर और डेटा तक पहुंच नहीं होती है।

जॉन किंडरवाग, जो 2010 में "शून्य विश्वास" शब्द को परिभाषित करने वाले पहले व्यक्ति थे, जब वह फॉरेस्टर रिसर्च में एक विश्लेषक थे, उन्होंने एनएसए के कदम का स्वागत किया, यह देखते हुए कि "बहुत कम संगठनों ने शून्य के निर्माण में नेटवर्क सुरक्षा नियंत्रण के महत्व को समझा है -पर्यावरण पर भरोसा करें, और यह दस्तावेज़ संगठनों को उनके मूल्य को समझने में मदद करने की दिशा में एक लंबा रास्ता तय करता है।

अधिक पढ़ें: एनएसए के जीरो-ट्रस्ट दिशानिर्देश विभाजन पर ध्यान केंद्रित करते हैं

संबंधित: एनआईएसटी साइबर सुरक्षा फ्रेमवर्क 2.0: आरंभ करने के लिए 4 चरण

यादृच्छिकता के माध्यम से सुरक्षा बनाना

एंड्राडा फिस्क्यूटियन द्वारा, योगदानकर्ता लेखक, डार्क रीडिंग

कैसे लावा लैंप, पेंडुलम और निलंबित इंद्रधनुष इंटरनेट को सुरक्षित रखते हैं।

जब आप क्लाउडफ़ेयर के सैन फ्रांसिस्को कार्यालय के अंदर कदम रखते हैं, तो सबसे पहले आपकी नज़र लावा लैंप की एक दीवार पर पड़ती है। आगंतुक अक्सर सेल्फी लेने के लिए रुकते हैं, लेकिन अनोखा इंस्टालेशन एक कलात्मक बयान से कहीं अधिक है; यह एक सरल सुरक्षा उपकरण है.

लैंप के मोम के तैरते हुए टुकड़ों द्वारा बनाए गए बदलते पैटर्न क्लाउडफ़ेयर को यादृच्छिक संख्याएँ उत्पन्न करके इंटरनेट ट्रैफ़िक को एन्क्रिप्ट करने में मदद करते हैं। साइबर सुरक्षा में यादृच्छिक संख्याओं के विभिन्न प्रकार के उपयोग होते हैं, और पासवर्ड और क्रिप्टोग्राफ़िक कुंजी बनाने जैसी चीज़ों में महत्वपूर्ण भूमिका निभाते हैं।

क्लाउडफ्लेयर की वॉल ऑफ एन्ट्रॉपी, जैसा कि ज्ञात है, एक नहीं बल्कि 100 लैंप का उपयोग करती है, उनकी यादृच्छिकता मानव आंदोलन के कारण बढ़ जाती है।

क्लाउडफ्लेयर अपने सर्वर के लिए यादृच्छिकता बनाने के लिए भौतिक एन्ट्रापी के अतिरिक्त स्रोतों का भी उपयोग करता है। क्लाउडफेयर सीटीओ जॉन ग्राहम-कमिंग कहते हैं, "लंदन में, हमारे पास डबल पेंडुलम की यह अविश्वसनीय दीवार है, और ऑस्टिन, टेक्सास में, हमारे पास छत से लटकते और हवा की धाराओं के साथ चलते हुए ये अविश्वसनीय मोबाइल हैं।" लिस्बन में क्लाउडफ्लेयर के कार्यालय में जल्द ही "समुद्र पर आधारित" इंस्टॉलेशन की सुविधा होगी।

अन्य संगठनों के पास एन्ट्रापी के अपने स्वयं के स्रोत हैं। उदाहरण के लिए, चिली विश्वविद्यालय ने मिश्रण में भूकंपीय माप को जोड़ा है, जबकि स्विस फेडरल इंस्टीट्यूट ऑफ टेक्नोलॉजी प्रत्येक कंप्यूटर पर /dev/urandom पर मौजूद स्थानीय यादृच्छिकता जनरेटर का उपयोग करता है, जिसका अर्थ है कि यह कीबोर्ड प्रेस, माउस क्लिक जैसी चीजों पर निर्भर करता है। , और यादृच्छिकता उत्पन्न करने के लिए नेटवर्क ट्रैफ़िक। कुडेल्स्की सिक्योरिटी ने चाचा20 स्ट्रीम सिफर पर आधारित एक क्रिप्टोग्राफ़िक यादृच्छिक संख्या जनरेटर का उपयोग किया है।

अधिक पढ़ें: यादृच्छिकता के माध्यम से सुरक्षा बनाना

साउदर्न कंपनी इलेक्ट्रिक पावर सबस्टेशन के लिए एसबीओएम का निर्माण करती है

केली जैक्सन हिगिंस, प्रधान संपादक, डार्क रीडिंग द्वारा

उपयोगिता के सॉफ्टवेयर बिल ऑफ मैटेरियल्स (एसबीओएम) प्रयोग का उद्देश्य मजबूत आपूर्ति श्रृंखला सुरक्षा स्थापित करना है - और संभावित साइबर हमलों के खिलाफ सख्त सुरक्षा स्थापित करना है।

ऊर्जा की दिग्गज कंपनी सदर्न कंपनी ने इस साल एक प्रयोग शुरू किया, जिसकी शुरुआत उसकी साइबर सुरक्षा टीम ने अपने मिसिसिपी पावर सबस्टेशनों में से एक की यात्रा करके वहां के उपकरणों को भौतिक रूप से सूचीबद्ध करने, तस्वीरें लेने और नेटवर्क सेंसर से डेटा इकट्ठा करने के लिए की। फिर सबसे चुनौतीपूर्ण - और कभी-कभी, निराशाजनक - हिस्सा आया: उन 17 विक्रेताओं से सॉफ़्टवेयर आपूर्ति श्रृंखला विवरण प्राप्त करना जिनके 38 उपकरण सबस्टेशन चलाते हैं।

लक्ष्य? को बिजली संयंत्र में चल रहे उपकरणों में सभी हार्डवेयर, सॉफ्टवेयर और फर्मवेयर की सूची बनाएं परिचालन प्रौद्योगिकी (ओटी) साइट के लिए सामग्रियों का एक सॉफ्टवेयर बिल (एसबीओएम) बनाने के प्रयास में।

प्रोजेक्ट से पहले, साउदर्न को अपने ड्रैगोस प्लेटफॉर्म के माध्यम से अपने ओटी नेटवर्क संपत्तियों में दृश्यता थी, लेकिन सॉफ्टवेयर विवरण एक पहेली थे, साउदर्न कंपनी के प्रमुख साइबर सुरक्षा वास्तुकार और एसबीओएम परियोजना के प्रमुख एलेक्स वेटकस ने कहा।

उन्होंने कहा, ''हमें नहीं पता था कि हम सॉफ्टवेयर के कौन से अलग-अलग संस्करण चला रहे हैं।'' "हमारे कई व्यापारिक साझेदार थे जो सबस्टेशन के विभिन्न हिस्सों का प्रबंधन करते थे।"

अधिक पढ़ें: साउदर्न कंपनी इलेक्ट्रिक पावर सबस्टेशन के लिए एसबीओएम का निर्माण करती है

संबंधित: बेहतर, स्टक्सनेट-जैसे पीएलसी मैलवेयर का उद्देश्य महत्वपूर्ण बुनियादी ढांचे को बाधित करना है

साइबर सुरक्षा प्रमुखों को अपने सीईओ से क्या चाहिए?

माइकल मेस्त्रोविच सीआईएसओ, रूब्रिक द्वारा टिप्पणी

सीआईएसओ को उनके कंधों पर रखी गई अपेक्षाओं को पूरा करने में मदद करके, सीईओ अपनी कंपनियों को बहुत लाभ पहुंचा सकते हैं।

यह स्पष्ट प्रतीत होता है: सीईओ और उनके मुख्य सूचना सुरक्षा अधिकारी (सीआईएसओ) को स्वाभाविक भागीदार होना चाहिए। और फिर भी, पीडब्ल्यूसी की हालिया रिपोर्ट के अनुसार, केवल 30% सीआईएसओ को लगता है कि उन्हें अपने सीईओ से पर्याप्त समर्थन मिलता है।

मानो बजट की कमी और साइबर सुरक्षा प्रतिभा की पुरानी कमी के बावजूद अपने संगठनों को बुरे तत्वों से बचाना पहले से ही उतना मुश्किल नहीं था, सीआईएसओ को अब आपराधिक आरोपों और नियामक क्रोध का सामना करना पड़ रहा है यदि वे घटना की प्रतिक्रिया में कोई गलती करते हैं। यह थोड़ा आश्चर्य की बात है कि गार्टनर ने भविष्यवाणी की है कि लगभग आधे साइबर सुरक्षा नेता काम से संबंधित कई तनावों के कारण 2025 तक नौकरियां बदल देंगे।

यहां चार चीजें हैं जो सीईओ मदद के लिए कर सकते हैं: सुनिश्चित करें कि सीआईएसओ की सीईओ से सीधी लाइन हो; सीआईएसओ का समर्थन प्राप्त है; लचीलेपन की रणनीति पर सीआईएसओ के साथ काम करें; और एआई के प्रभाव पर सहमत हैं।

जो सीईओ इनमें रुचि रखते हैं, वे न केवल अपने सीआईएसओ के लिए सही काम कर रहे हैं, बल्कि वे अपनी कंपनियों को भी काफी फायदा पहुंचा रहे हैं।

अधिक पढ़ें: साइबर सुरक्षा प्रमुखों को अपने सीईओ से क्या चाहिए?

संबंधित: सीआईएसओ की भूमिका में बड़ा विकास हो रहा है

कैसे सुनिश्चित करें कि ओपन सोर्स पैकेज बारूदी सुरंगें नहीं हैं

अगम शाह द्वारा, योगदानकर्ता लेखक, डार्क रीडिंग

सीआईएसए और ओपनएसएसएफ ने संयुक्त रूप से नए मार्गदर्शन प्रकाशित किए हैं, जिसमें डेवलपर्स के लिए दुर्भावनापूर्ण सॉफ़्टवेयर घटकों को कोड में लाना कठिन बनाने के लिए तकनीकी नियंत्रण की सिफारिश की गई है।

ओपन सोर्स रिपॉजिटरी आधुनिक अनुप्रयोगों को चलाने और लिखने के लिए महत्वपूर्ण हैं, लेकिन उनमें ये भी शामिल हो सकते हैं दुर्भावनापूर्ण, गुप्त कोड बम, बस ऐप्स और सेवाओं में शामिल होने की प्रतीक्षा कर रहा है।

उन बारूदी सुरंगों से बचने में मदद के लिए, साइबर सुरक्षा और इंफ्रास्ट्रक्चर सुरक्षा एजेंसी (सीआईएसए) और ओपन सोर्स सिक्योरिटी फाउंडेशन (ओपनएसएसएफ) ने ओपन सोर्स पारिस्थितिकी तंत्र के प्रबंधन के लिए नए दिशानिर्देश जारी किए हैं।

वे सार्वजनिक रिपॉजिटरी पर ओपन सोर्स कोड के रूप में छिपे दुर्भावनापूर्ण कोड और पैकेजों के जोखिम को कम करने में मदद करने के लिए परियोजना अनुरक्षकों के लिए मल्टीफैक्टर प्रमाणीकरण, तृतीय-पक्ष सुरक्षा रिपोर्टिंग क्षमताओं और पुराने या असुरक्षित पैकेजों के लिए चेतावनियों को सक्षम करने जैसे नियंत्रण लागू करने की सलाह देते हैं।

संगठन अपने जोखिम पर ध्यान नहीं देते हैं: ओएसएफएफ सम्मेलन में सिटी में साइबर ऑपरेशंस के प्रबंध निदेशक और वैश्विक प्रमुख एन बैरोन-डिकैमिलो ने कहा, "पिछले साल की तुलना में दुर्भावनापूर्ण पैकेजों के बारे में बात करते हुए, हमने पिछले वर्षों की तुलना में दोगुनी वृद्धि देखी है।" कुछ महीने पहले। "यह हमारे विकास समुदाय से जुड़ी एक वास्तविकता बनती जा रही है।"

अधिक पढ़ें: कैसे सुनिश्चित करें कि ओपन सोर्स पैकेज बारूदी सुरंगें नहीं हैं

संबंधित: लाखों दुर्भावनापूर्ण रिपॉजिटरी GitHub में बाढ़ आ गईं

DMARC ईमेल सुरक्षा की तैनाती में मध्य पूर्व अग्रणी

रॉबर्ट लेमोस द्वारा, योगदानकर्ता लेखक, डार्क रीडिंग

फिर भी चुनौतियां बनी हुई हैं क्योंकि ईमेल प्रमाणीकरण प्रोटोकॉल के लिए कई देशों की नीतियां ढीली बनी हुई हैं और Google और Yahoo के प्रतिबंधों के बावजूद चल सकती हैं।

1 फरवरी को, Google और Yahoo दोनों ने यह अनिवार्य करना शुरू कर दिया कि उनके उपयोगकर्ताओं को भेजे गए सभी ईमेल में सत्यापन योग्य प्रेषक नीति फ्रेमवर्क (SPF) और डोमेन कुंजी पहचाने गए मेल (DKIM) रिकॉर्ड हों, जबकि थोक प्रेषक - प्रति दिन 5,000 से अधिक ईमेल भेजने वाली कंपनियां - होनी चाहिए उनके पास एक वैध डोमेन-आधारित संदेश प्रमाणीकरण रिपोर्टिंग और अनुरूपता (डीएमएआरसी) रिकॉर्ड भी है।

फिर भी, कई संगठन इसे अपनाने में पीछे हैं इन तकनीकों में से, इस तथ्य के बावजूद कि वे नई नहीं हैं। हालाँकि, वहाँ दो चमकदार अपवाद हैं: सऊदी अरब साम्राज्य और संयुक्त अरब अमीरात (यूएई)।

लगभग तीन-चौथाई (73%) वैश्विक संगठनों की तुलना में, सऊदी अरब में लगभग 90% संगठनों और संयुक्त अरब अमीरात में 80% संगठनों ने DMARC का सबसे बुनियादी संस्करण लागू किया है, जो दो अन्य विशिष्टताओं के साथ-साथ ईमेल-आधारित प्रतिरूपण को और भी अधिक बनाता है। हमलावरों के लिए मुश्किल.

कुल मिलाकर, मध्य पूर्वी देश DMARC को अपनाने में आगे हैं। रणनीति और उपाध्यक्ष नादिम लाहौद के अनुसार, एसएंडपी के पैन अरब कंपोजिट इंडेक्स के लगभग 80% सदस्यों के पास सख्त डीएमएआरसी नीति है, जो एफटीएसई100 के 72% से अधिक है, और फ्रांस के सीएसी61 इंडेक्स के 40% से भी अधिक है। ख़तरे की ख़ुफ़िया एजेंसी रेड सिफ़्ट के लिए संचालन।

अधिक पढ़ें: DMARC ईमेल सुरक्षा की तैनाती में मध्य पूर्व अग्रणी

संबंधित: DMARC डेटा इनबॉक्स में आने वाले संदिग्ध ईमेल में 75% की वृद्धि दर्शाता है

साइबर बीमा रणनीति के लिए सीआईएसओ-सीएफओ सहयोग की आवश्यकता है

फहमीदा वाई. राशिद, प्रबंध संपादक, फीचर्स, डार्क रीडिंग द्वारा

साइबर-जोखिम परिमाणीकरण सीआईएसओ की तकनीकी विशेषज्ञता और वित्तीय प्रभाव पर सीएफओ के फोकस को एक साथ लाता है ताकि दांव पर क्या है इसकी मजबूत और बेहतर समझ विकसित हो सके।

साइबर बीमा कई संगठनों के लिए आदर्श बन गया है, डार्क रीडिंग के सबसे हालिया रणनीतिक सुरक्षा सर्वेक्षण में आधे से अधिक उत्तरदाताओं ने कहा कि उनके संगठनों के पास कुछ प्रकार का कवरेज है। जबकि बीमा आम तौर पर संगठन के निदेशक मंडल और सीएफओ का डोमेन रहा है, साइबर जोखिम की तकनीकी प्रकृति का मतलब है कि सीआईएसओ को बातचीत का हिस्सा बनने के लिए कहा जा रहा है।

सर्वे में 29% का कहना है साइबर बीमा कवरेज एक व्यापक व्यवसाय बीमा पॉलिसी का हिस्सा है, और 28% का कहना है कि उनके पास विशेष रूप से साइबर सुरक्षा घटनाओं के लिए एक पॉलिसी है। लगभग आधे संगठनों (46%) का कहना है कि उनके पास एक नीति है जो रैंसमवेयर भुगतान को कवर करती है।

Google क्लाउड में व्यावसायिक जोखिम और बीमा प्रमुख मोनिका शोकराय कहती हैं, "जोखिम के बारे में कैसे बात करें और जोखिमों को कैसे प्रबंधित करें और कम करें, यह समझना अब सीआईएसओ संगठन के लिए बहुत महत्वपूर्ण हो गया है।" सीएफओ "हमेशा से ऐसा कर रहा है।"

वह कहती हैं कि सीआईएसओ को "साइबर सीएफओ" में बदलने की कोशिश करने के बजाय, दोनों संगठनों को बोर्ड के लिए एक सुसंगत और एकीकृत रणनीति विकसित करने के लिए मिलकर काम करना चाहिए।

अधिक पढ़ें: साइबर बीमा रणनीति के लिए सीआईएसओ-सीएफओ सहयोग की आवश्यकता है

सम्बंधित: गोपनीयता ने रैनसमवेयर को शीर्ष बीमा चिंता के रूप में पछाड़ दिया

विविध सुरक्षा टीमों के प्रबंधन पर युक्तियाँ

बिल, सुरक्षा संचालन के वरिष्ठ प्रबंधक गौरव नागर द्वारा टिप्पणी

एक सुरक्षा टीम जितना बेहतर ढंग से एक साथ काम करती है, उसका सीधा प्रभाव इस बात पर उतना ही बड़ा होता है कि वह संगठन की कितनी अच्छी तरह सुरक्षा कर सकती है।

सुरक्षा टीम का निर्माण भर्ती से शुरू होता है, लेकिन एक बार जब टीम एक साथ काम करना शुरू कर देती है, तो एक सामान्य भाषा और अपेक्षाओं और प्रक्रियाओं का एक सेट बनाना महत्वपूर्ण है। इस तरह, टीम एक सामान्य लक्ष्य की ओर तेजी से काम कर सकती है और गलत संचार से बच सकती है।

विशेष रूप से विविध टीमों के लिए, जहां लक्ष्य प्रत्येक व्यक्ति के लिए अपने अलग-अलग अनुभव, अद्वितीय दृष्टिकोण और समस्याओं को हल करने के विशिष्ट तरीके लाना है, अपडेट साझा करने और सहयोग करने के लिए सामान्य संचार चैनल होने से यह सुनिश्चित होता है कि टीम के सदस्य जो करना पसंद करते हैं उस पर अधिक समय बिता सकें। और टीम की गतिशीलता के बारे में चिंता न करें।

उस लक्ष्य को प्राप्त करने के लिए यहां तीन रणनीतियां हैं: विविधता के लिए किराया और टीम संस्कृति और प्रक्रियाओं में तेजी से तालमेल बिठाना; टीम के प्रत्येक व्यक्ति के लिए विश्वास पैदा करें; और अपनी टीम के सदस्यों को साइबर सुरक्षा में करियर बनाने और नवाचार से उत्साहित रहने में मदद करें।

निःसंदेह, यह हममें से प्रत्येक पर निर्भर है कि हम अपने करियर का स्वामित्व स्वयं लें। प्रबंधकों के रूप में, हम इसे अच्छी तरह से जानते होंगे, लेकिन हमारी टीम के सभी सदस्य नहीं जानते होंगे। हमारी भूमिका उनमें से प्रत्येक को सक्रिय रूप से सीखने और भूमिकाओं और जिम्मेदारियों को निभाने के लिए याद दिलाना और प्रोत्साहित करना है जो उन्हें उत्साहित रखेगी और उनके करियर में मदद करेगी।

अधिक पढ़ें: विविध सुरक्षा टीमों के प्रबंधन पर युक्तियाँ

संबंधित: न्यूरोडायवर्सिटी साइबर सुरक्षा कार्यबल की कमी को पूरा करने में कैसे मदद कर सकती है

• एसईओ संचालित सामग्री और पीआर वितरण। आज ही प्रवर्धित हो जाओ।
• प्लेटोडेटा.नेटवर्क वर्टिकल जेनरेटिव एआई। स्वयं को शक्तिवान बनाएं। यहां पहुंचें।
• प्लेटोआईस्ट्रीम। Web3 इंटेलिजेंस। ज्ञान प्रवर्धित। यहां पहुंचें।
• प्लेटोईएसजी. कार्बन, क्लीनटेक, ऊर्जा, पर्यावरण, सौर, कचरा प्रबंधन। यहां पहुंचें।
• प्लेटोहेल्थ। बायोटेक और क्लिनिकल परीक्षण इंटेलिजेंस। यहां पहुंचें।
• स्रोत: https://www.darkreading.com/cybersecurity-operations/ciso-corner-nsa-guidelines-utility-sbom-case-study-lava-lamps