פינת CISO: הנחיות NSA; מחקר מקרה של SBOM שירות; מנורות לבה

ברוכים הבאים ל-CISO Corner, התקציר השבועי של מאמרים של Dark Reading המותאמים במיוחד לקוראי פעולות אבטחה ולמנהיגי אבטחה. בכל שבוע, נציע מאמרים שנאספו מכל מבצע החדשות שלנו, The Edge, DR Technology, DR Global ומדור הפרשנות שלנו. אנו מחויבים להציג מערך מגוון של נקודות מבט כדי לתמוך בעבודה של הפעלת אסטרטגיות אבטחת סייבר, עבור מנהיגים בארגונים מכל הצורות והגדלים.

בגיליון זה של CISO Corner:

הנחיות אפס אמון של NSA מתמקדות בפילוח

מאת דיוויד שטרום, סופר תורם, קריאה אפלה

ארכיטקטורות אפס אמון הן אמצעי הגנה חיוניים לארגון המודרני. ההנחיה העדכנית של NSA מספקת המלצות מפורטות כיצד ליישם את זווית הרשת של הרעיון.

הסוכנות לביטחון לאומי של ארה"ב (NSA) מסרה השבוע את ההנחיות שלה לאבטחת רשת אפס אמון, ומציעה מפת דרכים קונקרטית יותר לאימוץ אפס אמון ממה שהתרגלנו לראות. זה מאמץ חשוב לנסות לגשר על הפער בין הרצון ליישום הרעיון.

מסמך ה-NSA מכיל המון המלצות על שיטות עבודה מומלצות אפס אמון, כולל, ביסודו, פילוח תעבורת רשת ל לחסום יריבים מלהסתובב ברשת וקבלת גישה למערכות קריטיות.

הוא מדריך כיצד ניתן לבצע בקרות פילוח רשת באמצעות סדרה של שלבים, כולל מיפוי והבנת זרימות נתונים, והטמעת רשתות מוגדרות באמצעות תוכנה (SDN). כל שלב ייקח הרבה זמן ומאמץ כדי להבין אילו חלקים ברשת עסקית נמצאים בסיכון וכיצד להגן עליהם בצורה הטובה ביותר.

מסמך ה-NSA גם מבדיל בין פילוח מאקרו ומיקרו-רשת. הראשון שולט בתעבורה הנעה בין מחלקות או קבוצות עבודה, כך שלעובד IT אין גישה לשרתי משאבי אנוש ונתונים, למשל.

ג'ון קינדרוואג, שהיה הראשון להגדיר את המונח "אפס אמון" עוד ב-2010, כשהיה אנליסט ב-Forrester Research, בירך על המהלך של ה-NSA וציין כי "מעט מאוד ארגונים הבינו את החשיבות של בקרות אבטחת רשת בבניית אפס. -סביבות אמון, והמסמך הזה עושה דרך ארוכה בסיוע לארגונים להבין את הערך שלהם."

קרא עוד: הנחיות אפס אמון של NSA מתמקדות בפילוח

מידע נוסף: NIST Cybersecurity Framework 2.0: 4 שלבים לתחילת העבודה

יצירת ביטחון באמצעות אקראיות

מאת Andrada Fiscutean, סופר תורם, קריאה אפלה

איך מנורות לבה, מטוטלות וקשתות תלויות שומרים על בטיחות האינטרנט.

כשאתה נכנס למשרד של Cloudflare בסן פרנסיסקו, הדבר הראשון שאתה שם לב אליו הוא קיר של מנורות לבה. המבקרים עוצרים לעתים קרובות לצלם סלפי, אבל המיצב המוזר הוא יותר מהצהרה אמנותית; זה כלי אבטחה גאוני.

הדפוסים המשתנים שנוצרו על ידי כתמי השעווה הצפים של המנורות עוזרים ל-Cloudflare להצפין את תעבורת האינטרנט על ידי יצירת מספרים אקראיים. למספרים אקראיים יש מגוון שימושים באבטחת סייבר, וממלאים תפקיד מכריע בדברים כמו יצירת סיסמאות ומפתחות קריפטוגרפיים.

חומת האנטרופיה של Cloudflare, כידוע, משתמשת לא אחת אלא ב-100 מנורות, האקראיות שלהן גדלה על ידי תנועה אנושית.

Cloudflare משתמשת גם במקורות נוספים של אנטרופיה פיזית כדי ליצור אקראיות עבור השרתים שלה. "בלונדון יש לנו את הקיר המדהים הזה של מטוטלות כפולות, ובאוסטין, טקסס, יש לנו את הניידים המדהימים האלה תלויים מהתקרה ונעים עם זרמי אוויר", אומר CTO של Cloudfare, ג'ון גרהם-קאמינג. המשרד של Cloudflare בליסבון יציג בקרוב התקנה "מבוססת על האוקיינוס".

לארגונים אחרים יש מקורות אנטרופיה משלהם. אוניברסיטת צ'ילה, למשל, הוסיפה מדידות סיסמיות לתערובת, בעוד שהמכון הפדרלי השוויצרי לטכנולוגיה משתמש במחולל האקראיות המקומי הקיים בכל מחשב ב-/dev/urandom, כלומר הוא מסתמך על דברים כמו לחיצות מקלדת, לחיצות עכבר ותעבורת רשת כדי ליצור אקראיות. Kudelski Security השתמשה במחולל מספרים אקראיים קריפטוגרפי המבוסס על צופן הזרם ChaCha20.

קרא עוד: יצירת ביטחון באמצעות אקראיות

החברה הדרומית בונה SBOM עבור תחנת כוח חשמלית

מאת קלי ג'קסון היגינס, עורכת ראשית, Dark Reading

ניסוי התוכנה של כלי התוכנה (SBOM) נועד ליצור אבטחה חזקה יותר של שרשרת האספקה ​​- והגנות הדוקות יותר מפני התקפות סייבר פוטנציאליות.

ענקית האנרגיה Southern Company פתחה בניסוי השנה, שהחל בכך שצוות אבטחת הסייבר שלה נסע לאחת מתחנות המשנה שלה ב-Misissippi Power כדי לקטלג פיזית את הציוד שם, לצלם תמונות ולאסוף נתונים מחיישני רשת. ואז הגיע החלק הכי מרתיע - ולעתים גם מתסכל - רכישת פרטי שרשרת אספקת התוכנה מ-17 הספקים ש-38 המכשירים שלהם מפעילים את תחנת המשנה.

המשימה? ל מלאי את כל החומרה, התוכנה והקושחה בציוד הפועל בתחנת הכוח במאמץ ליצור כתב חומרי תוכנה (SBOM) עבור אתר הטכנולוגיה התפעולית (OT).

לפני הפרויקט, ל-Southern הייתה נראות לנכסי רשת ה-OT שלה שם דרך פלטפורמת Dragos שלה, אבל פרטי התוכנה היו חידה, אמר אלכס ווייטקוס, אדריכל אבטחת סייבר ראשי בחברת Southern וראש פרויקט SBOM.

"לא היה לנו מושג מהן הגרסאות השונות של התוכנה שאנו מריצים", אמר. "היו לנו מספר שותפים עסקיים שניהלו חלקים שונים של תחנת המשנה."

קרא עוד: החברה הדרומית בונה SBOM עבור תחנת כוח חשמלית

מידע נוסף: תוכנה זדונית משופרת דמוית Stuxnet שואפת לשבש תשתית קריטית

מה שראשי אבטחת סייבר צריכים מהמנכ"לים שלהם

פרשנות מאת מיכאל מסטרוביץ' CISO, רובריק

על ידי סיוע ל-CISOs לנווט את הציפיות המונחות על כתפיהם, מנכ"לים יכולים להועיל רבות לחברות שלהם.

זה נראה מובן מאליו: מנכ"לים ומנהלי אבטחת המידע הראשיים שלהם (CISOs) צריכים להיות שותפים טבעיים. ועדיין, לפי דוח של PwC לאחרונה, רק 30% מה-CISO מרגישים שהם מקבלים תמיכה מספקת מהמנכ"ל שלהם.

כאילו ההגנה על הארגונים שלהם מפני שחקנים רעים למרות מגבלות תקציב ומחסור כרוני בכשרונות אבטחת סייבר לא הייתה כבר מספיק קשה, CISOs עומדים כעת בפני אישומים פליליים וזעם רגולטורי אם הם עושים טעות בתגובה לאירוע. לא פלא שגרטנר צופה שכמעט מחצית ממובילי אבטחת הסייבר יחליפו עבודה עד 2025 בגלל גורמי לחץ מרובים הקשורים לעבודה.

להלן ארבעה דברים שמנכ"לים יכולים לעשות כדי לעזור: להבטיח ל-CISO יש קו ישיר למנכ"ל; לקבל את גב ה-CISO; לעבוד עם ה-CISO על אסטרטגיית חוסן; ולהסכים על ההשפעה של AI.

מנכ"לים שנשענים על אלה לא רק עושים את הדבר הנכון עבור ה-CISO שלהם, הם מרוויחים מאוד מהחברות שלהם.

קרא עוד: מה שראשי אבטחת סייבר צריכים מהמנכ"לים שלהם

מידע נוסף: תפקיד CISO עובר אבולוציה גדולה

כיצד להבטיח שחבילות קוד פתוח אינן מוקשים

מאת אגם שאה, סופרת תורמת, קריאה אפלה

CISA ו-OpenSSF פרסמו במשותף הנחיות חדשות הממליצות על בקרות טכניות כדי להקשות על מפתחים להכניס רכיבי תוכנה זדוניים לקוד.

מאגרי קוד פתוח הם קריטיים להפעלה ולכתיבה של יישומים מודרניים, אך הם יכולים גם להכיל פצצות קוד זדוניות ואורבות, רק מחכה להשתלב באפליקציות ובשירותים.

כדי לסייע בהימנעות ממוקשים אלה, הסוכנות לאבטחת סייבר ותשתיות (CISA) וקרן האבטחה בקוד פתוח (OpenSSF) פרסמו הנחיות חדשות לניהול מערכת האקולוגית בקוד פתוח.

הם ממליצים ליישם בקרות כגון הפעלת אימות רב-גורמי עבור מנהלי פרויקטים, יכולות דיווח אבטחה של צד שלישי ואזהרות על חבילות מיושנות או לא מאובטחות כדי לסייע בהפחתת החשיפה לקוד זדוני וחבילות המתחזות לקוד מקור פתוח במאגרים ציבוריים.

ארגונים מתעלמים מהסיכון שבסכנתם: "אם מדברים על חבילות זדוניות במהלך השנה האחרונה, ראינו עלייה פי שניים לעומת שנים קודמות", אמרה אן ברון-דיקמילו, מנהלת ומנהלת פעולות סייבר גלובליות ב-Citi, בוועידת OSFF לפני כמה חודשים. "זה הופך למציאות הקשורה לקהילת הפיתוח שלנו."

קרא עוד: כיצד להבטיח שחבילות קוד פתוח אינן מוקשים

מידע נוסף: מיליוני מאגרים זדוניים מציפים את GitHub

המזרח התיכון מוביל בפריסה של אבטחת דוא"ל DMARC

מאת רוברט למוס, סופר תורם, קריאה אפלה

עם זאת, עדיין נותרו אתגרים מכיוון שמדיניות מדינות רבות לגבי פרוטוקול אימות הדוא"ל נותרות רופפות ועלולות להתנגש עם ההגבלות של גוגל ויאהו.

ב-1 בפברואר, גם גוגל וגם יאהו החלו לחייב שלכל הדואר האלקטרוני שנשלח למשתמשים שלהן יהיו רשומות של Sender Policy Framework (SPF) ורשומות דואר מזוהה מפתח דומיין (DKIM), בעוד ששולחים בכמות גדולה - חברות ששולחות יותר מ-5,000 אימיילים ביום - חייבים יש גם רשומת דיווח ותאימות של הודעות אימות מבוסס-דומיין (DMARC) חוקית.

ובכל זאת, ארגונים רבים מפגרים באימוץ של טכנולוגיות אלו, למרות העובדה שהן אינן חדשות. עם זאת, ישנם שני חריגים נוצצים בחוץ: ממלכת ערב הסעודית ואיחוד האמירויות הערביות (איחוד האמירויות).

בהשוואה לכשלושה רבעים (73%) מהארגונים הגלובליים, כ-90% מהארגונים בערב הסעודית ו-80% באיחוד האמירויות יישמו את הגרסה הבסיסית ביותר של DMARC אשר - לצד שני המפרטים האחרים - הופכת את ההתחזות המבוססת על דואר אלקטרוני להרבה יותר. קשה לתוקפים.

בסך הכל, מדינות המזרח התיכון מקדימות את האימוץ של DMARC. לכ-80% מהחברים במדד הפאן-ערבי המרוכב של S&P יש מדיניות DMARC קפדנית, שהיא גבוהה מ-100% של FTSE72, וגבוהה עדיין מ-61% של מדד CAC40 של צרפת, על פי נדים לחוד, סגן נשיא לאסטרטגיה מבצעים עבור Red Sift, חברת מודיעין איומים.

קרא עוד: המזרח התיכון מוביל בפריסה של אבטחת דוא"ל DMARC

מידע נוסף: נתוני DMARC מראים עלייה של 75% בהודעות דוא"ל חשודות שפוגעות בתיבות הדואר הנכנס

אסטרטגיית ביטוח סייבר דורשת שיתוף פעולה CISO-CFO

מאת פאחמידה י. ראשיד, עורכת מנהלת, תכונות, קריאה חשוכה

כימות סיכוני סייבר מפגיש בין המומחיות הטכנית של ה-CISO לבין ההתמקדות של סמנכ"ל הכספים בהשפעה פיננסית כדי לפתח הבנה חזקה וטובה יותר של מה עומד על הפרק.

ביטוח סייבר הפך לנורמה עבור ארגונים רבים, כאשר יותר ממחצית מהנשאלים בסקר האבטחה האסטרטגי האחרון של Dark Reading אמרו שלארגונים שלהם יש כיסוי כלשהו. בעוד שביטוח היה בדרך כלל נחלתם של מועצת המנהלים וסמנכ"לי הכספים של הארגון, האופי הטכני של סיכון הסייבר אומר שה-CISO מתבקש יותר ויותר להיות חלק מהשיחה.

בסקר אומרים 29%. כיסוי ביטוח סייבר הוא חלק מפוליסת ביטוח עסק רחבה יותר, ו-28% אומרים שיש להם פוליסה ספציפית לאירועי אבטחת סייבר. כמעט מחצית מהארגונים (46%) אומרים שיש להם מדיניות המכסה תשלומי כופר.

"איך לדבר על סיכונים וכיצד לנהל ולצמצם סיכונים הופך עכשיו להרבה יותר חשוב לארגון ה-CISO להבין", אומרת מוניקה שוקראי, ראש תחום סיכונים וביטוח עסקי ב-Google Cloud, תוך שהיא מציינת שתקשורת הסיכון כלפי מעלה היא משהו סמנכ"ל הכספים "עושה לנצח".

במקום לנסות להפוך את CISO ל"סמנכ"לי כספים סייבר", שני הארגונים צריכים לעבוד יחד כדי לפתח אסטרטגיה קוהרנטית ומשולבת עבור הדירקטוריון, היא אומרת.

קרא עוד: אסטרטגיית ביטוח סייבר דורשת שיתוף פעולה CISO-CFO

מוצרים מקושרים: הפרטיות מנצחת את תוכנת הכופר כדאגת הביטוח המובילה

טיפים לניהול צוותי אבטחה מגוונים

פרשנות של גורב נגר, מנהל בכיר פעולות אבטחה, BILL

ככל שצוות אבטחה יעבוד טוב יותר יחד, כך תהיה ההשפעה הישירה גדולה יותר על מידת ההגנה שלו על הארגון.

בניית צוות אבטחה מתחילה בגיוס עובדים, אבל ברגע שהצוות מתחיל לעבוד יחד, זה קריטי ליצור שפה משותפת ומערכת של ציפיות ותהליכים. בדרך זו, הצוות יכול לעבוד לעבר מטרה משותפת במהירות ולמנוע תקלות מוטעות.

במיוחד עבור צוותים מגוונים, כאשר המטרה היא שכל אדם יביא את החוויות השונות שלו, נקודות המבט הייחודיות והדרכים הייחודיות לפתרון בעיות, ערוצי תקשורת משותפים לשיתוף עדכונים ושיתוף פעולה מבטיח שחברי הצוות יוכלו להשקיע יותר זמן במה שהם אוהבים לעשות ואל תדאג לגבי הדינמיקה של הצוות.

להלן שלוש אסטרטגיות להשגת מטרה זו: גיוס עבור גיוון והתיישר במהירות על תרבות ותהליכי הצוות; ליצור אמון עבור כל אדם בצוות; ועזור לחברי הצוות שלך לבנות קריירה בתחום אבטחת סייבר ולהישאר נרגש עם חדשנות.

כמובן, זה תלוי בכל אחד מאיתנו לקחת בעלות על הקריירה שלו. כמנהלים, אנחנו אולי יודעים זאת היטב, אבל לא כל חברי הצוות שלנו יודעים זאת. התפקיד שלנו הוא להזכיר ולעודד כל אחד מהם ללמוד באופן פעיל ולממש תפקידים ואחריות שישאירו אותם נרגשים ויעזרו להם בקריירה שלהם.

קרא עוד: טיפים לניהול צוותי אבטחה מגוונים

מידע נוסף: כיצד המגוון הנוירודי יכול לעזור למלא את המחסור בכוח העבודה באבטחת סייבר

• הפצת תוכן ויחסי ציבור מופעל על ידי SEO. קבל הגברה היום.
• PlatoData.Network Vertical Generative Ai. העצים את עצמך. גישה כאן.
• PlatoAiStream. Web3 Intelligence. הידע מוגבר. גישה כאן.
• PlatoESG. פחמן, קלינטק, אנרגיה, סביבה, שמש, ניהול פסולת. גישה כאן.
• PlatoHealth. מודיעין ביוטכנולוגיה וניסויים קליניים. גישה כאן.
• מקור: https://www.darkreading.com/cybersecurity-operations/ciso-corner-nsa-guidelines-utility-sbom-case-study-lava-lamps