CISO Corner: NSA iránymutatások; egy Utility SBOM esettanulmány; Láva lámpák

Üdvözöljük a CISO Cornerben, a Dark Reading heti kivonatában, amely kifejezetten a biztonsági műveletek olvasóira és biztonsági vezetőire szabott cikkeket tartalmaz. Minden héten hírműködésünkből, a The Edge-ből, a DR Technology-ból, a DR Global-ból és a kommentárunkból összegyűjtött cikkeket kínálunk. Elkötelezettek vagyunk amellett, hogy sokféle perspektívát mutassunk be a kiberbiztonsági stratégiák operacionalizálásának támogatása érdekében a különféle formájú és méretű szervezetek vezetői számára.

A CISO Corner jelen számában:

Az NSA nulla bizalomra vonatkozó iránymutatásai a szegmentációra összpontosítanak

Írta: David Strom, közreműködő író, Dark Reading

A nulla megbízhatóságú architektúrák alapvető védelmi intézkedések a modern vállalat számára. Az NSA legújabb útmutatása részletes ajánlásokat ad a koncepció hálózati szempontjainak megvalósításához.

Az Egyesült Államok Nemzetbiztonsági Ügynöksége (NSA) ezen a héten ismertette a zéró bizalom nélküli hálózatbiztonságra vonatkozó irányelveit, és konkrétabb ütemtervet kínál a zéró bizalom elfogadásához, mint azt látni szoktuk. Fontos erőfeszítés, hogy megpróbáljuk áthidalni a szakadékot a koncepció iránti vágy és a megvalósítás között.

Az NSA-dokumentum rengeteg ajánlást tartalmaz a zéró bizalom bevált gyakorlatairól, beleértve alapvetően a hálózati forgalom szegmentálását blokkolja az ellenfeleket a hálózatban való mozgástól és a kritikus rendszerekhez való hozzáférést.

Bemutatja, hogyan hajthatók végre a hálózati szegmentálási vezérlések egy sor lépésen keresztül, beleértve az adatfolyamok feltérképezését és megértését, valamint a szoftver által definiált hálózatok (SDN) megvalósítását. Minden egyes lépés jelentős időt és erőfeszítést igényel annak megértéséhez, hogy az üzleti hálózat mely részei vannak veszélyben, és hogyan lehet őket a legjobban megvédeni.

Az NSA dokumentuma különbséget tesz a makro- és mikrohálózati szegmentáció között is. Az előbbi az osztályok vagy munkacsoportok között mozgó forgalmat szabályozza, így például egy informatikus nem fér hozzá a humán erőforrás szerverekhez és adatokhoz.

John Kindervag, aki 2010-ben, a Forrester Research elemzőjeként elsőként határozta meg a „zéró bizalom” fogalmát, üdvözölte az NSA lépését, és megjegyezte, hogy „nagyon kevés szervezet értette meg a hálózatbiztonsági ellenőrzések fontosságát a nulla felépülésben. – megbízható környezetek, és ez a dokumentum nagymértékben hozzájárul ahhoz, hogy a szervezetek megértsék értéküket.”

Bővebben: Az NSA nulla bizalomra vonatkozó iránymutatásai a szegmentációra összpontosítanak

Kapcsolódó: NIST Cybersecurity Framework 2.0: 4 lépés az induláshoz

Biztonság megteremtése véletlenszerűen

Írta: Andrada Fiscutean, közreműködő író, Dark Reading

Hogyan védik az internetet a lávalámpák, ingák és felfüggesztett szivárványok.

Amikor belép a Cloudflare San Francisco-i irodájába, az első dolog, amit észrevesz, egy lávalámpák fala. A látogatók gyakran megállnak szelfizni, de a különleges installáció több, mint művészi kijelentés; ez egy zseniális biztonsági eszköz.

A lámpák lebegő viaszfoltjai által létrehozott változó minták segítenek a Cloudflare-nek véletlen számok generálásával titkosítani az internetes forgalmat. A véletlen számok többféleképpen használhatók a kiberbiztonságban, és döntő szerepet játszanak olyan dolgokban, mint a jelszavak és kriptográfiai kulcsok létrehozása.

A Cloudflare Entrópiafala, mint ismeretes, nem egy, hanem 100 lámpát használ, amelyek véletlenszerűségét az emberi mozgás növeli.

A Cloudflare további fizikai entrópiaforrásokat is használ, hogy véletlenszerűséget teremtsen szerverei számára. „Londonban van ez a hihetetlen dupla ingákból álló falunk, a texasi Austinban pedig ezek a hihetetlen mobilok lógnak a mennyezetről, és légáramlatokkal mozognak” – mondja John Graham-Cumming, a Cloudfare műszaki igazgatója. A Cloudflare lisszaboni irodájában hamarosan megjelenik egy „óceánon alapuló” installáció.

Más szervezeteknek megvannak a maguk entrópiaforrásai. A Chilei Egyetem például szeizmikus mérésekkel egészítette ki a keveréket, míg a Svájci Szövetségi Műszaki Intézet a /dev/urandom minden számítógépén megtalálható helyi véletlenszerűség-generátort használja, ami azt jelenti, hogy olyan dolgokra támaszkodik, mint a billentyűzet megnyomása, az egérkattintás. és a hálózati forgalom véletlenszerűséget generál. A Kudelski Security a ChaCha20 adatfolyam titkosításán alapuló kriptográfiai véletlenszám-generátort használt.

Bővebben: Biztonság megteremtése véletlenszerűen

A Southern Company SBOM-ot épít elektromos alállomáshoz

Kelly Jackson Higgins, a Dark Reading főszerkesztője

A közüzemi szoftveranyagjegyzék (SBOM) kísérlet célja az ellátási lánc erősebb biztonságának megteremtése – és a potenciális kibertámadások elleni szigorúbb védelem megteremtése.

Az energiaipari óriás, a Southern Company idén elindított egy kísérletet, amely azzal kezdődött, hogy kiberbiztonsági csapata az egyik Mississippi Power alállomásra utazott, hogy fizikailag katalogizálja az ott található berendezéseket, fotókat készítsen és adatokat gyűjtsön a hálózati érzékelőkről. Aztán jött a legijesztőbb – és időnként frusztráló – rész: a szoftverellátási lánc részleteinek megszerzése attól a 17 gyártótól, akiknek 38 eszköze üzemelteti az alállomást.

A küldetés? Nak nek az erőműben futó berendezések összes hardverét, szoftverét és firmware-ét leltározza annak érdekében, hogy létrehozzanak egy szoftverjegyzéket (SBOM) az üzemeltetési technológiai (OT) webhelyhez.

A projekt előtt a Southern a Dragos platformon keresztül láthatta OT hálózati eszközeit, de a szoftver részletei rejtélyek voltak – mondta Alex Waitkus, a Southern Company fő kiberbiztonsági építésze és az SBOM projekt vezetője.

„Fogalmunk sem volt, hogy milyen szoftververziókat futtatunk” – mondta. "Több üzleti partnerünk volt, akik az alállomás különböző részeit kezelték."

Bővebben: A Southern Company SBOM-ot épít elektromos alállomáshoz

Kapcsolódó: A továbbfejlesztett, Stuxnet-szerű PLC kártevők célja a kritikus infrastruktúra megzavarása

Mire van szüksége a kiberbiztonsági vezetőknek a vezérigazgatóiktól

Kommentár: Michael Mestrovich CISO, Rubrik

Azáltal, hogy segítik a CISO-kat eligazodni a vállukra nehezedő elvárások között, a vezérigazgatók nagy hasznot húzhatnak vállalataik számára.

Nyilvánvalónak tűnik: a vezérigazgatóknak és információbiztonsági vezetőiknek (CISO-k) természetes partnereknek kell lenniük. Egy friss PwC-jelentés szerint azonban a CISO-k mindössze 30%-a érzi úgy, hogy elegendő támogatást kap vezérigazgatójától.

Mintha nem lenne elég nehéz megvédeni szervezeteiket a rossz szereplőktől a költségvetési korlátok és a krónikus kiberbiztonsági tehetséghiány ellenére. A CISO-k most büntetőjogi vádakkal és szabályozási haraggal néznek szembe ha hibáznak az incidensre adott válaszban. Nem csoda, hogy a Gartner előrejelzése szerint a kiberbiztonsági vezetők csaknem fele 2025-re munkahelyet vált a több munkával kapcsolatos stressz miatt.

Íme négy dolog, amivel a vezérigazgatók segíthetnek: Gondoskodjon arról, hogy a CISO-nak közvetlen kapcsolata legyen a vezérigazgatóval; vissza kell állnia a CISO-nak; együttműködik a CISO-val egy rugalmassági stratégián; és egyetértenek az AI hatásában.

Azok a vezérigazgatók, akik ezekre támaszkodnak, nem csak a CISO-jaik számára megfelelőt teszik, hanem nagy hasznot hoznak vállalataik számára.

Bővebben: Mire van szüksége a kiberbiztonsági vezetőknek a vezérigazgatóiktól

Kapcsolódó: A CISO-szerep jelentős fejlődésen megy keresztül

Hogyan biztosítható, hogy a nyílt forráskódú csomagok ne taposóaknák

Írta: Agam Shah, közreműködő író, Dark Reading

A CISA és az OpenSSF közösen új útmutatót adott ki, amelyben olyan műszaki ellenőrzéseket javasolnak, amelyek megnehezítik a fejlesztők számára a rosszindulatú szoftverkomponensek kódba való beillesztését.

A nyílt forráskódú tárolók kritikusak a modern alkalmazások futtatásához és írásához, de tartalmazhatnak is rosszindulatú, lappangó kódbombák, csak arra vár, hogy beépüljön az alkalmazásokba és szolgáltatásokba.

A taposóaknák elkerülése érdekében a Kiberbiztonsági és Infrastruktúra-biztonsági Ügynökség (CISA) és az Open Source Security Foundation (OpenSSF) új irányelveket adott ki a nyílt forráskódú ökoszisztéma kezelésére.

Olyan vezérlők bevezetését javasolják, mint például a többtényezős hitelesítés engedélyezése a projektkarbantartók számára, a harmadik féltől származó biztonsági jelentéskészítési képességek, valamint az elavult vagy nem biztonságos csomagokra vonatkozó figyelmeztetések, hogy csökkentsék a rosszindulatú kódoknak és a nyilvános tárolókban nyílt forráskódnak álcázó csomagoknak való kitettséget.

A szervezetek figyelmen kívül hagyják a kockázatot saját veszélyükre: "Ha a rosszindulatú csomagokról beszélünk az elmúlt évben, kétszeres növekedést tapasztaltunk az előző évekhez képest" - mondta Ann Barron-DiCamillo, a Citi ügyvezető igazgatója és globális kiberművelet-vezetője az OSFF konferencián. néhány hónappal ezelőtt. "Ez a fejlesztő közösségünkhöz kapcsolódó valósággá válik."

Bővebben: Hogyan biztosítható, hogy a nyílt forráskódú csomagok ne taposóaknák

Kapcsolódó: Rosszindulatú adattárak milliói árasztják el a GitHubot

A Közel-Kelet vezető szerepet tölt be a DMARC Email Security bevezetésében

Írta: Robert Lemos, közreműködő író, Dark Reading

A kihívások azonban továbbra is fennállnak, mivel sok ország e-mail hitelesítési protokolljára vonatkozó politikája továbbra is laza, és összeütközésbe kerülhet a Google és a Yahoo korlátozásaival.

Február 1-jén a Google és a Yahoo is kötelezővé tette, hogy a felhasználóknak küldött összes e-mail rendelkezzen ellenőrizhető Sender Policy Framework (SPF) és Domain Key Identified Mail (DKIM) rekordokkal, míg a tömeges küldőknek – azaz a naponta több mint 5,000 e-mailt küldő cégeknek – kötelezővé kell tenniük. érvényes tartományalapú üzenet-hitelesítési jelentés és megfelelőség (DMARC) rekordja is van.

Még, sok szervezet lemarad az elfogadásban e technológiák közül, annak ellenére, hogy nem újak. Van azonban két remek kivétel: a Szaúd-Arábiai Királyság és az Egyesült Arab Emírségek (EAE).

A globális szervezetek hozzávetőleg háromnegyedéhez (73%) képest Szaúd-Arábiában a szervezetek körülbelül 90%-a és az Egyesült Arab Emírségekben a szervezetek 80%-a alkalmazta a DMARC legalapvetőbb verzióját, amely – a két másik specifikáció mellett – sokkal inkább az e-mail-alapú megszemélyesítést teszi. nehéz a támadók számára.

Összességében a közel-keleti országok megelőzik a DMARC elfogadását. Nadim Lahoud, stratégiai és stratégiai alelnök szerint az S&P Pan Arab Composite Index tagjainak körülbelül 80%-a szigorú DMARC-politikával rendelkezik, ami magasabb, mint az FTSE100 72%-a, és még mindig magasabb, mint a francia CAC61 index 40%-a. a Red Sift, egy fenyegetésekkel foglalkozó hírszerző cég műveletei.

Bővebben: A Közel-Kelet vezető szerepet tölt be a DMARC Email Security bevezetésében

Kapcsolódó: A DMARC-adatok 75%-os növekedést mutatnak a beérkező levelekbe érkező gyanús e-mailek számában

A kiberbiztosítási stratégia CISO-CFO együttműködést igényel

Írta: Fahmida Y. Rashid, ügyvezető szerkesztő, Funkciók, Dark Reading

A kiberkockázatok számszerűsítése egyesíti a CISO technikai szakértelmét és a CFO pénzügyi hatásra való összpontosítását, hogy jobban és jobban megértsük, mi forog kockán.

A kiberbiztosítás sok szervezetnél megszokottá vált, és a Dark Reading legutóbbi Stratégiai Biztonsági Felmérésében a válaszadók több mint fele azt mondta, hogy szervezetük rendelkezik valamilyen fedezettel. Míg a biztosítás általában a szervezet igazgatótanácsának és pénzügyi igazgatóinak a területe volt, a kiberkockázat technikai természete azt jelenti, hogy a CISO-t egyre gyakrabban kérik fel, hogy vegyen részt a beszélgetésben.

A felmérésben 29% mondja számítógépes biztosítási fedezet egy tágabb üzleti biztosítási kötvény része, és 28%-uk azt mondja, hogy kifejezetten a kiberbiztonsági incidensekre vonatkozik. A szervezetek csaknem fele (46%) azt állítja, hogy olyan szabályzata van, amely lefedi a ransomware kifizetéseket.

„A CISO szervezete számára egyre fontosabbá válik, hogy hogyan beszéljünk a kockázatokról, hogyan kezeljük és mérsékeljük a kockázatokat” – mondja Monica Shokrai, a Google Cloud üzleti kockázati és biztosítási részlegének vezetője, miközben megjegyzi, hogy a kockázatok felfelé irányuló kommunikációja a legfontosabb. A pénzügyi igazgató „örökké csinál”.

Ahelyett, hogy a CISO-kat „kiber-pénzügyi igazgatókká” próbálnák alakítani, a két szervezetnek együtt kell dolgoznia, hogy koherens és integrált stratégiát dolgozzon ki az igazgatóság számára, mondja.

Bővebben: A kiberbiztosítási stratégia CISO-CFO együttműködést igényel

Összefüggő: Az adatvédelem felülmúlja a Ransomware-t, mint a legfőbb biztosítási aggályt

Tippek a különféle biztonsági csapatok kezeléséhez

Gourav Nagar, a BILL biztonsági műveletekért felelős vezető menedzsere kommentárja

Minél jobban működik együtt egy biztonsági csapat, annál nagyobb a közvetlen hatása arra, hogy mennyire tudja megvédeni a szervezetet.

A biztonsági csapat felépítése a felvétellel kezdődik, de ha a csapat elkezd együtt dolgozni, kritikus fontosságú egy közös nyelv kialakítása, valamint az elvárások és folyamatok halmaza. Így a csapat gyorsan dolgozhat egy közös célért, és elkerülheti a félreértéseket.

Különösen változatos csapatok számára, ahol a cél az, hogy mindenki saját tapasztalatát, egyedi perspektíváját és sajátos problémamegoldási módjait hozza magával, a közös kommunikációs csatornák a frissítések megosztására és az együttműködésre biztosítják, hogy a csapattagok több időt tölthessenek azzal, amit szeretnek csinálni. és ne aggódj a csapat dinamikája miatt.

Íme három stratégia e cél eléréséhez: Béreljen a sokszínűség érdekében, és gyorsan igazodjon a csapatkultúrához és folyamatokhoz; bizalmat teremtsen a csapat minden egyes tagja számára; és segíts csapattagjaidnak karriert építeni a kiberbiztonság területén, és lelkesedni az innovációk miatt.

Természetesen mindegyikünkön múlik, hogy felelősséget vállalunk-e saját karrierünkért. Vezetőként ezt jól tudjuk, de nem minden csapattagunk. A mi szerepünk, hogy emlékeztessük és bátorítsuk mindegyiküket, hogy aktívan tanuljanak és vállaljanak olyan szerepeket és felelősségeket, amelyek izgalomban tartják őket, és segítik karrierjükben.

Bővebben: Tippek a különféle biztonsági csapatok kezeléséhez

Kapcsolódó: Hogyan segíthet a neurodiverzitás pótolni a kiberbiztonsági munkaerőhiányt?

• SEO által támogatott tartalom és PR terjesztés. Erősödjön még ma.
• PlatoData.Network Vertical Generative Ai. Erősítse meg magát. Hozzáférés itt.
• PlatoAiStream. Web3 Intelligence. Felerősített tudás. Hozzáférés itt.
• PlatoESG. Carbon, CleanTech, Energia, Környezet, Nap, Hulladékgazdálkodás. Hozzáférés itt.
• PlatoHealth. Biotechnológiai és klinikai vizsgálatok intelligencia. Hozzáférés itt.
• Forrás: https://www.darkreading.com/cybersecurity-operations/ciso-corner-nsa-guidelines-utility-sbom-case-study-lava-lamps