CISO コーナー: NSA ガイドライン。ユーティリティ SBOM のケーススタディ。溶岩ランプ

CISO コーナー: NSA ガイドライン。ユーティリティ SBOM のケーススタディ。溶岩ランプ

タイムスタンプ:8年2024月4日午後42時
CISO コーナー: NSA ガイドライン。ユーティリティ SBOM のケーススタディ。溶岩ランプ PlatoBlockchain データ インテリジェンス。垂直検索。あい。

CISO コーナーへようこそ。Dark Reading の毎週の記事のダイジェストは、特にセキュリティ運用の読者とセキュリティ リーダー向けに調整されています。毎週、ニュース業務、ザ エッジ、DR テクノロジー、DR グローバル、および解説セクションから収集した記事を提供します。私たちは、あらゆる形態や規模の組織のリーダー向けに、サイバーセキュリティ戦略の運用をサポートするための多様な視点を提供することに取り組んでいます。

今号の CISO コーナーでは次のようになります。

  • NSA のゼロトラスト ガイドラインはセグメンテーションに焦点を当てています

  • ランダム性によるセキュリティの構築

  • Southern Company が変電所用の SBOM を構築

  • サイバーセキュリティ責任者が CEO に求めるもの

  • オープンソースパッケージが地雷ではないことを確認する方法

  • DR Global: 中東が DMARC 電子メール セキュリティの導入をリード

  • サイバー保険戦略には CISO と CFO の連携が必要

  • 多様なセキュリティ チームを管理するためのヒント

NSA のゼロトラスト ガイドラインはセグメンテーションに焦点を当てています

David Strom、寄稿ライター、Dark Reading

ゼロトラスト アーキテクチャは、現代の企業にとって不可欠な保護手段です。最新の NSA ガイダンスでは、ネットワークの概念の実装方法について詳細な推奨事項が提供されています。

米国家安全保障局 (NSA) は今週、ゼロトラスト ネットワーク セキュリティに関するガイドラインを発表し、これまで見慣れたものよりもゼロトラスト導入に向けたより具体的なロードマップを提示しました。コンセプトへの願望と実現の間のギャップを埋めることは重要な取り組みです。

NSA 文書には、ゼロトラストのベスト プラクティスに関する推奨事項が多数含まれており、その中には基本的にネットワーク トラフィックをセグメント化することも含まれます。 敵がネットワーク内を移動するのをブロックする 重要なシステムにアクセスできるようになります。

データ フローのマッピングと理解、ソフトウェア デファインド ネットワーク (SDN) の実装など、一連の手順を通じてネットワーク セグメンテーション制御を実現する方法について説明します。ビジネス ネットワークのどの部分が危険にさらされているか、そしてそれらを最適に保護する方法を理解するには、各ステップにかなりの時間と労力がかかります。

NSA 文書では、マクロネットワークとマイクロネットワークのセグメンテーションも区別しています。前者は部門間またはワークグループ間を移動するトラフィックを制御するため、たとえば IT 従業員は人事サーバーやデータにアクセスできません。

Forrester Research のアナリストだった 2010 年に「ゼロ トラスト」という用語を最初に定義したジョン キンダーベイグ氏は、「ゼロ トラストを構築する際のネットワーク セキュリティ管理の重要性を理解している組織はほとんどない」と述べ、NSA の動きを歓迎しました。この文書は、組織がその価値を理解するのに大いに役立ちます。」

続きを読む: NSA のゼロトラスト ガイドラインはセグメンテーションに焦点を当てています

関連する NIST サイバーセキュリティ フレームワーク 2.0: 始めるための 4 つのステップ

ランダム性によるセキュリティの構築

Andrada Fiscutean 著、寄稿ライター、Dark Reading

溶岩ランプ、振り子、吊り下げられた虹がインターネットの安全をどのように保っているのか。

Cloudflare のサンフランシスコ オフィスに足を踏み入れると、最初に目に入るのは、溶岩ランプの壁です。訪問者はよく立ち止まって自撮り写真を撮りますが、この独特のインスタレーションは芸術的な表現以上のものです。それは独創的なセキュリティツールです。

ランプの浮遊するワックスの塊によって作成される変化するパターンは、Cloudflare が乱数を生成することによってインターネット トラフィックを暗号化するのに役立ちます。 乱数はサイバーセキュリティにおいてさまざまな用途に使用されます、パスワードや暗号キーの作成などで重要な役割を果たします。

Cloudflare のエントロピーの壁は、知られているように、100 つではなく XNUMX 個のランプを使用しており、そのランダム性は人間の動きによって増加します。

Cloudflareはまた、追加の物理エントロピーソースを使用して、サーバーのランダム性を作成します。 「ロンドンには、二重振り子の信じられないほどの壁があり、テキサス州オースティンには、天井から吊り下げられ、気流に乗って動く信じられないほどのモバイルがあります」と、クラウドフェアの最高技術責任者(CTO)ジョン・グラハム・カミング氏は言う。リスボンにあるCloudflareのオフィスには間もなく「海をベースにした」インスタレーションが設置される予定だ。

他の組織は独自のエントロピー源を持っています。たとえば、チリ大学は地震測定を組み合わせに加えていますが、スイス連邦工科大学は /dev/urandom にあるすべてのコンピュータに存在するローカル乱数発生器を使用しています。これは、キーボードの押下やマウスのクリックなどに依存していることを意味します。 、およびネットワーク トラフィックを使用してランダム性を生成します。 Kudelski Security は、ChaCha20 ストリーム暗号に基づく暗号化乱数ジェネレーターを使用しました。

続きを読む: ランダム性によるセキュリティの構築

Southern Company が変電所用の SBOM を構築

ケリー・ジャクソン・ヒギンズ著、Dark Reading編集長

この電力会社のソフトウェア部品表 (SBOM) 実験は、より強力なサプライ チェーン セキュリティを確立し、潜在的なサイバー攻撃に対するより強固な防御を確立することを目的としています。

エネルギー大手サザン・カンパニーは今年、実験を開始した。その実験は、同社のサイバーセキュリティーチームがミシシッピ州電力変電所の17つに出張し、そこにある機器を物理的にカタログ化し、写真を撮り、ネットワークセンサーからデータを収集することから始まった。次に、最も困難で、時にはイライラする部分が発生しました。それは、変電所を稼働させる 38 台のデバイスを所有する XNUMX のベンダーからソフトウェア サプライ チェーンの詳細を取得することです。

ミッションは?に 発電所内で稼働している機器のすべてのハードウェア、ソフトウェア、ファームウェアの一覧表を作成する 運用テクノロジー (OT) サイトのソフトウェア部品表 (SBOM) を作成する取り組みです。

サザン社のプリンシパルサイバーセキュリティアーキテクトであり、SBOMプロジェクトの責任者であるアレックス・ウェイトカス氏は、プロジェクトに先立ち、サザン社はドラゴスプラットフォームを通じて同社のOTネットワーク資産を可視化できたが、ソフトウェアの詳細は謎だった、と述べた。

「私たちは、実行しているソフトウェアのさまざまなバージョンが何であるかまったく知りませんでした」と彼は言いました。 「変電所のさまざまな部分を管理する複数のビジネス パートナーがいました。」

続きを読む: Southern Company が変電所用の SBOM を構築

関連する 改良された Stuxnet に似た PLC マルウェアは重要インフラの破壊を狙う

サイバーセキュリティ責任者が CEO に求めるもの

Michael Mestrovich CISO、ルーブリックによる解説

CISO が自らの肩にかかる期待に対処できるように支援することで、CEO は会社に大きな利益をもたらすことができます。

当然のことのように思えますが、CEO とその最高情報セキュリティ責任者 (CISO) は自然なパートナーであるべきです。しかし、PwC の最近のレポートによると、CEO から十分なサポートを受けていると感じている CISO はわずか 30% です。

予算の制約や慢性的なサイバーセキュリティの人材不足にもかかわらず、組織を悪者から守ることはすでに十分に難しいことではないかのように、 CISOは現在、刑事告発と規制当局の怒りに直面している インシデント対応でミスをした場合。 Gartner が、サイバーセキュリティ リーダーのほぼ半数が、仕事に関連した複数のストレス要因により 2025 年までに転職すると予測しているのも不思議ではありません。

CEO が支援するためにできる 4 つのことは次のとおりです。 CISO が CEO と直接連絡できるようにする。 CISO の支援を得てください。 CISO と協力して回復戦略を策定します。 AI の影響についても同意します。

これらを重視する CEO は、CISO にとって正しいことをしているだけでなく、会社に大きな利益をもたらしています。

続きを読む: サイバーセキュリティ責任者が CEO に求めるもの

関連する CISOの役割が大きく進化

オープンソースパッケージが地雷ではないことを確認する方法

著者:Agam Shah、寄稿ライター、Dark Reading

CISA と OpenSSF は共同で、開発者が悪意のあるソフトウェア コンポーネントをコードに組み込むことを困難にする技術的制御を推奨する新しいガイダンスを発表しました。

オープンソース リポジトリは、最新のアプリケーションを実行および作成するために重要ですが、次のものが含まれる場合もあります。 悪意のある潜伏コード爆弾、アプリやサービスに組み込まれるのを待っているだけです。

これらの地雷を回避するために、サイバーセキュリティ・インフラストラクチャー・セキュリティー庁 (CISA) とオープンソース・セキュリティー財団 (OpenSSF) は、オープンソース・エコシステムを管理するための新しいガイドラインを発行しました。

彼らは、悪意のあるコードやパブリック リポジトリ上のオープン ソース コードを装ったパッケージへの露出を減らすために、プロジェクト管理者向けの多要素認証、サードパーティのセキュリティ レポート機能、古いパッケージまたは安全でないパッケージの警告を有効にするなどの制御を実装することを推奨しています。

組織は自らの危険にさらされているリスクを無視している。「昨年、悪意のあるパッケージについて言えば、前年比で 2 倍の増加が見られました」と、シティのマネジング ディレクター兼サイバー運用グローバル責任者のアン バロン ディカミロ氏は OSFF カンファレンスで述べました。数ヶ月前。 「これは私たちの開発コミュニティに関連して現実になりつつあります。」

続きを読む: オープンソースパッケージが地雷ではないことを確認する方法

関連する 数百万の悪意のあるリポジトリが GitHub に殺到

中東がDMARC電子メールセキュリティの導入をリード

Robert Lemos、寄稿ライター、Dark Reading

しかし、電子メール認証プロトコルに関する多くの国の政策は依然として緩く、Google や Yahoo の制限に抵触する可能性があるため、課題は依然として残っています。

1 月 5,000 日、Google と Yahoo の両社は、ユーザーに送信されるすべての電子メールに検証可能な送信者ポリシー フレームワーク (SPF) およびドメイン キー識別メール (DKIM) レコードを含めることを義務付け始めました。一方、一括送信者 (XNUMX 日あたり XNUMX 通以上の電子メールを送信する企業) は、有効な Domain-based Message Authentication Reporting and Conformance (DMARC) レコードも持っています。

しかし、 多くの組織は導入が遅れています これらのテクノロジーは新しいものではありませんが、ただし、サウジアラビア王国とアラブ首長国連邦 (U​​AE) という 2 つの輝かしい例外があります。

世界の組織の約 73 分の 90 (80%) と比較して、サウジアラビアの組織の約 XNUMX%、UAE の組織の XNUMX% は、他の XNUMX つの仕様と同様に、電子メールベースのなりすましをより強力にする DMARC の最も基本的なバージョンを実装しています。攻撃者にとっては困難です。

全体として、中東諸国は DMARC の導入で先行しています。戦略部門副社長のナディム・ラフード氏によると、S&Pの汎アラブ総合指数の構成銘柄の約80%は厳格なDMARCポリシーを持っており、これはFTSE100の72%よりも高く、フランスのCAC61指数の40%よりもさらに高いという。脅威インテリジェンス企業である Red Shift の業務。

続きを読む: 中東がDMARC電子メールセキュリティの導入をリード

関連する DMARC データによると、受信トレイに届く不審なメールが 75% 増加

サイバー保険戦略には CISO と CFO の連携が必要

著者: Fahmida Y. Rashid、編集長、機能、ダーク リーディング

サイバーリスクの定量化は、CISO の技術的専門知識と財務上の影響に対する CFO の焦点を組み合わせて、何が危機に瀕しているのかについてより強力かつより適切な理解を深めます。

サイバー保険は多くの組織にとって標準となっており、Dark Reading の最新の戦略的セキュリティ調査では回答者の半数以上が、自社が何らかの形で保険に加入していると回答しています。保険は通常、組織の取締役会と CFO の領域でしたが、サイバー リスクの技術的な性質により、CISO が会話に参加することがますます求められています。

調査では、29% が次のように答えています。 サイバー保険の補償範囲 は広範なビジネス保険契約の一部であり、28% がサイバーセキュリティ インシデントに特化した保険に加入していると回答しています。組織のほぼ半数 (46%) は、ランサムウェアの支払いを対象とするポリシーを持っていると述べています。

Google Cloud のビジネス リスクおよび保険部門責任者である Monica Shokrai 氏は、「リスクについてどのように話し、リスクを管理および軽減するかは、CISO 組織にとって理解することがますます重要になってきています」と述べていますが、リスクを上向きに伝えることは重要であると指摘しています。 CFOは「永遠にやり続けている」。

CISOを「サイバーCFO」にしようとするのではなく、2つの組織が協力して取締役会のための一貫した統合戦略を策定する必要がある、と彼女は言う。

続きを読む: サイバー保険戦略には CISO と CFO の連携が必要

関連記事: プライバシーが保険上の最大の懸念事項としてランサムウェアを上回る

多様なセキュリティ チームを管理するためのヒント

BILL セキュリティ オペレーション シニア マネージャー、Gourav Nagar 氏のコメント

セキュリティ チームが連携すればするほど、組織をどれだけ適切に保護できるかに直接的な影響が大きくなります。

セキュリティ チームの構築は採用から始まります, しかし、チームが協力し始めたら、共通言語と一連の期待とプロセスを作成することが重要です。こうすることで、チームは共通の目標に向かって迅速に取り組み、コミュニケーションのミスを避けることができます。

特に多様なチームの場合、各人が異なる経験、独自の視点、独自の問題解決方法を持ち寄ることが目標であり、最新情報を共有して共同作業するための共通のコミュニケーション チャネルがあることで、チーム メンバーは自分のやりたいことにより多くの時間を費やすことができます。チームのダイナミクスについて心配する必要はありません。

その目標を達成するための 3 つの戦略を次に示します。多様性を考慮して雇用し、チームの文化とプロセスを迅速に調整します。チームの全員に信頼を築きます。チームメンバーがサイバーセキュリティ分野でキャリアを築き、イノベーションに興奮し続けるよう支援します。

もちろん、自分のキャリアに責任を持つのは私たち一人ひとりにかかっています。私たちはマネージャーとしてこのことをよく知っているかもしれませんが、チームメンバー全員が知っているわけではありません。私たちの役割は、彼らが興奮し続け、キャリアに役立つ役割と責任を積極的に学び、追求することを思い出させ、奨励することです。

続きを読む: 多様なセキュリティ チームを管理するためのヒント

関連する ニューロダイバーシティがサイバーセキュリティ人材不足を埋めるのにどのように役立つか

タイムスタンプ:

より多くの 暗い読書