CISO 코너: NSA 지침; 유틸리티 SBOM 사례 연구 용암 램프

CISO 코너: NSA 지침; 유틸리티 SBOM 사례 연구 용암 램프

타임 스탬프 : 8 년 2024 월 4 일 오후 42:XNUMX
CISO 코너: NSA 지침; 유틸리티 SBOM 사례 연구 라바 램프 PlatoBlockchain 데이터 인텔리전스. 수직 검색. 일체 포함.

보안 운영 독자와 보안 리더를 위해 특별히 제작된 Dark Reading의 주간 기사 요약인 CISO 코너에 오신 것을 환영합니다. 매주 우리는 뉴스 운영, The Edge, DR Technology, DR Global 및 논평 섹션에서 수집한 기사를 제공할 것입니다. 우리는 모든 형태와 규모의 조직 리더들을 위해 사이버 보안 전략 운영 작업을 지원하기 위해 다양한 관점을 제시하기 위해 최선을 다하고 있습니다.

이번 호 CISO 코너에서는:

  • NSA의 제로 트러스트 지침은 분할에 중점을 둡니다.

  • 무작위성을 통해 보안 구축

  • Southern Company, 전력 변전소용 SBOM 구축

  • 사이버 보안 책임자가 CEO에게 필요한 것

  • 오픈 소스 패키지가 지뢰가 아닌지 확인하는 방법

  • DR Global: DMARC 이메일 보안 배포를 선도하는 중동

  • 사이버 보험 전략에는 CISO-CFO 협력이 필요합니다

  • 다양한 보안 팀 관리에 대한 팁

NSA의 제로 트러스트 지침은 분할에 중점을 둡니다.

작성자: David Strom, 기고 작가, Dark Reading

제로 트러스트 아키텍처는 현대 기업에 필수적인 보호 조치입니다. 최신 NSA 지침은 네트워킹 측면의 개념을 구현하는 방법에 대한 자세한 권장 사항을 제공합니다.

미국 국가안보국(NSA)은 이번 주에 제로 트러스트 네트워크 보안에 대한 지침을 전달하여 지금까지 보아온 것보다 제로 트러스트 도입을 향한 보다 구체적인 로드맵을 제시했습니다. 개념에 대한 욕구와 구현 사이의 격차를 해소하려는 노력이 중요합니다.

NSA 문서에는 기본적으로 네트워크 트래픽 분할을 포함하여 제로 트러스트 모범 사례에 대한 많은 권장 사항이 포함되어 있습니다. 공격자가 네트워크를 돌아다니는 것을 차단합니다. 중요한 시스템에 대한 액세스 권한을 얻습니다.

데이터 흐름 매핑 및 이해, SDN(소프트웨어 정의 네트워킹) 구현을 포함한 일련의 단계를 통해 네트워크 분할 제어를 수행하는 방법을 안내합니다. 비즈니스 네트워크의 어떤 부분이 위험에 처해 있는지, 그리고 이를 가장 잘 보호할 수 있는 방법을 이해하려면 각 단계마다 상당한 시간과 노력이 필요합니다.

NSA 문서는 또한 매크로 네트워크 세분화와 마이크로 네트워크 세분화를 구분합니다. 전자는 부서나 작업 그룹 간에 이동하는 트래픽을 제어하므로 IT 작업자는 예를 들어 인사 서버 및 데이터에 액세스할 수 없습니다.

Forrester Research의 분석가였던 2010년에 "제로 트러스트"라는 용어를 처음으로 정의한 John Kindervag는 NSA의 움직임을 환영하며 "제로 트러스트 구축에서 네트워크 보안 제어의 중요성을 이해한 조직은 거의 없습니다. -신뢰할 수 있는 환경을 제공하며 이 문서는 조직이 자신의 가치를 이해하는 데 큰 도움이 됩니다.”

더 읽기 : NSA의 제로 트러스트 지침은 분할에 중점을 둡니다.

관련 : NIST 사이버보안 프레임워크 2.0: 시작하기 위한 4단계

무작위성을 통해 보안 구축

작성자: Andrada Fiscutean, 기고 작가, Dark Reading

라바 램프, 진자, 매달린 무지개가 인터넷을 안전하게 유지하는 방법

Cloudflare의 샌프란시스코 사무실에 들어서면 가장 먼저 눈에 띄는 것은 라바 램프의 벽입니다. 방문객들은 종종 멈춰 서서 셀카를 찍는데, 독특한 설치물은 예술적인 표현 그 이상입니다. 그것은 독창적인 보안 도구입니다.

램프의 떠다니는 왁스 덩어리에 의해 생성된 변화하는 패턴은 Cloudflare가 난수를 생성하여 인터넷 트래픽을 암호화하는 데 도움이 됩니다. 난수는 사이버 보안에서 다양한 용도로 사용됩니다., 비밀번호 및 암호화 키 생성과 같은 작업에서 중요한 역할을 합니다.

Cloudflare의 엔트로피 벽(Wall of Entropy)은 알려진 대로 100개가 아닌 XNUMX개의 램프를 사용하며, 램프의 무작위성은 인간의 움직임에 따라 증가합니다.

Cloudflare는 또한 추가 물리적 엔트로피 소스를 사용하여 서버에 대한 무작위성을 생성합니다. Cloudfare CTO John Graham-Cumming은 “런던에는 이중 진자로 이루어진 놀라운 벽이 있고, 텍사스주 오스틴에는 천장에 매달려 기류를 따라 움직이는 놀라운 모바일이 있습니다.”라고 말합니다. 리스본에 있는 Cloudflare 사무실에서는 곧 "바다를 기반으로 한" 설치물을 선보일 예정입니다.

다른 조직에는 고유한 엔트로피 소스가 있습니다. 예를 들어 칠레 대학은 지진 측정을 혼합에 추가한 반면, 스위스 연방 기술 연구소는 /dev/urandom에 있는 모든 컴퓨터에 있는 로컬 무작위 생성기를 사용합니다. 즉, 키보드 누르기, 마우스 클릭 등에 의존합니다. 및 네트워크 트래픽을 통해 무작위성을 생성합니다. Kudelski Security는 ChaCha20 스트림 암호를 기반으로 하는 암호화 난수 생성기를 사용했습니다.

더 읽기 : 무작위성을 통해 보안 구축

Southern Company, 전력 변전소용 SBOM 구축

작성자: Kelly Jackson Higgins, Dark Reading 편집장

이 유틸리티의 소프트웨어 자재 명세서(SBOM) 실험은 더 강력한 공급망 보안을 구축하고 잠재적인 사이버 공격에 대해 더 강력한 방어를 구축하는 것을 목표로 합니다.

에너지 대기업인 Southern Company는 올해 실험을 시작했습니다. 사이버 보안 팀은 미시시피 전력 변전소 중 한 곳으로 이동하여 그곳의 장비를 물리적으로 분류하고 사진을 찍고 네트워크 센서에서 데이터를 수집하는 것으로 시작되었습니다. 그런 다음 가장 어렵고 때로는 실망스러운 부분이 나왔습니다. 변전소를 운영하는 17개 장치를 보유한 38개 공급업체로부터 소프트웨어 공급망 세부 정보를 얻는 것입니다.

임무? 에게 발전소에서 실행되는 장비의 모든 하드웨어, 소프트웨어 및 펌웨어 목록을 작성합니다. 운영 기술(OT) 사이트를 위한 소프트웨어 자재 명세서(SBOM)를 작성하려는 노력의 일환입니다.

Southern Company의 수석 사이버 보안 설계자이자 SBOM 프로젝트 책임자인 Alex Waitkus는 프로젝트 이전에 Southern은 Dragos 플랫폼을 통해 그곳의 OT 네트워크 자산에 대한 가시성을 갖고 있었지만 소프트웨어 세부 사항은 수수께끼였다고 말했습니다.

“우리는 우리가 실행하고 있는 소프트웨어의 다양한 버전이 무엇인지 전혀 몰랐습니다.”라고 그는 말했습니다. "우리는 변전소의 다양한 부분을 관리하는 여러 비즈니스 파트너를 보유하고 있었습니다."

더 읽기 : Southern Company, 전력 변전소용 SBOM 구축

관련 : 개선된 스턱스넷(Stuxnet)과 유사한 PLC 악성 코드는 주요 인프라를 교란하는 것을 목표로 합니다.

사이버 보안 책임자가 CEO에게 필요한 것

Michael Mestrovich CISO, Rubrik의 해설

CISO가 자신의 어깨에 놓인 기대치를 헤쳐 나갈 수 있도록 지원함으로써 CEO는 회사에 큰 이익을 줄 수 있습니다.

이는 분명한 사실입니다. CEO와 최고정보보안책임자(CISO)는 자연스러운 파트너가 되어야 합니다. 그러나 최근 PwC 보고서에 따르면 CISO의 30%만이 CEO로부터 충분한 지원을 받고 있다고 생각합니다.

예산 제약과 만성적인 사이버 보안 인력 부족에도 불구하고 악의적인 행위자로부터 조직을 방어하는 것만으로는 충분하지 않은 것처럼, CISO는 이제 형사 고발과 규제의 분노에 직면해 있습니다. 사고 대응에 실수를 한 경우. Gartner가 사이버 보안 리더의 거의 절반이 다양한 업무 관련 스트레스 요인으로 인해 2025년까지 직업을 바꿀 것이라고 예측한 것은 놀라운 일이 아닙니다.

CEO가 도울 수 있는 네 가지 일은 다음과 같습니다. CISO가 CEO와 직접 연결되도록 합니다. CISO의 지원을 받습니다. 탄력성 전략에 관해 CISO와 협력합니다. AI의 영향에 동의합니다.

이를 활용하는 CEO는 CISO를 위해 올바른 일을 할 뿐만 아니라 회사에도 큰 이익을 가져다 줍니다.

더 읽기 : 사이버 보안 책임자가 CEO에게 필요한 것

관련 : CISO 역할은 대대적인 발전을 거칩니다.

오픈 소스 패키지가 지뢰가 아닌지 확인하는 방법

작성자: Agam Shah, 기고 작가, Dark Reading

CISA와 OpenSSF는 개발자가 악성 소프트웨어 구성 요소를 코드로 가져오는 것을 더 어렵게 만드는 기술 제어를 권장하는 새로운 지침을 공동으로 발표했습니다.

오픈 소스 리포지토리는 최신 애플리케이션을 실행하고 작성하는 데 중요하지만 다음을 포함할 수도 있습니다. 악의적이고 숨어있는 코드 폭탄, 앱과 서비스에 통합되기를 기다리고 있습니다.

이러한 지뢰를 방지하기 위해 CISA(사이버 보안 및 인프라 보안 기관)와 OpenSSF(오픈 소스 보안 재단)는 오픈 소스 생태계 관리에 대한 새로운 지침을 발표했습니다.

그들은 공개 저장소에서 오픈 소스 코드로 가장하는 악성 코드 및 패키지에 대한 노출을 줄이는 데 도움이 되도록 프로젝트 관리자를 위한 다단계 인증 활성화, 제3자 보안 보고 기능, 오래되거나 안전하지 않은 패키지에 대한 경고 등의 제어 기능을 구현할 것을 권장합니다.

조직은 위험을 무릅쓰고 위험을 무시합니다. OSFF 컨퍼런스에서 Citi의 전무이사이자 사이버 운영 글로벌 책임자인 Ann Barron-DiCamillo는 "지난해 악성 패키지에 대한 이야기가 전년도에 비해 2배 증가한 것을 확인했습니다"라고 말했습니다. 몇 개월 전에. "이것은 우리 개발 커뮤니티와 관련된 현실이 되고 있습니다."

더 읽기 : 오픈 소스 패키지가 지뢰가 아닌지 확인하는 방법

관련 : 수백만 개의 악성 저장소가 홍수를 일으키고 있습니다. GitHub

DMARC 이메일 보안 배포를 선도하는 중동

작성자: Robert Lemos, 기고 작가, Dark Reading

그러나 이메일 인증 프로토콜에 대한 많은 국가의 정책이 여전히 느슨하고 Google 및 Yahoo의 제한 사항을 위반할 수 있기 때문에 여전히 과제가 남아 있습니다.

1월 5,000일부터 Google과 Yahoo는 사용자에게 전송되는 모든 이메일에 검증 가능한 SPF(발신자 정책 프레임워크) 및 DKIM(도메인 키 식별 메일) 기록을 포함하도록 의무화하기 시작했습니다. 반면, 하루에 XNUMX개 이상의 이메일을 보내는 회사인 대량 발신자에게는 필수 기록이 있어야 합니다. 유효한 DMARC(Domain-based Message Authentication Reporting and Conformance) 레코드도 있어야 합니다.

그러나, 많은 조직에서 채택이 지연됨 새로운 기술이 아님에도 불구하고 이러한 기술 중 하나입니다. 하지만 두 가지 예외가 있습니다. 바로 사우디아라비아 왕국과 아랍에미리트(UAE)입니다.

전 세계 조직의 약 73분의 90(80%)에 비해 사우디아라비아 조직의 약 XNUMX%, UAE 조직의 XNUMX%가 다른 두 가지 사양과 함께 이메일 기반 가장을 훨씬 더 많이 수행하는 가장 기본적인 버전의 DMARC를 구현했습니다. 공격자에게는 어렵습니다.

전반적으로 중동 국가들은 DMARC 채택에 앞서 있습니다. Nadim Lahoud 전략 및 부사장에 따르면 S&P Pan Arab Composite Index 회원 중 약 80%가 엄격한 DMARC 정책을 갖고 있는데 이는 FTSE100의 72%보다 높고 프랑스 CAC61 지수의 40%보다 여전히 높습니다. 위협 정보 회사인 Red Sift의 운영.

더 읽기 : DMARC 이메일 보안 배포를 선도하는 중동

관련 : DMARC 데이터에 따르면 받은 편지함에 도달하는 의심스러운 이메일이 75% 증가한 것으로 나타났습니다

사이버 보험 전략에는 CISO-CFO 협력이 필요합니다

작성자: Fahmida Y. Rashid, 편집장, 기능, Dark Reading

사이버 위험 정량화는 CISO의 기술 전문 지식과 재무 영향에 대한 CFO의 초점을 결합하여 무엇이 위험에 처해 있는지에 대한 더 강력하고 더 나은 이해를 개발합니다.

사이버 보험은 많은 조직에서 표준이 되었습니다. Dark Reading의 가장 최근 전략적 보안 설문 조사에 참여한 응답자의 절반 이상이 자신의 조직이 어떤 형태로든 보험을 갖고 있다고 답했습니다. 보험은 일반적으로 조직의 이사회와 CFO의 영역이었지만, 사이버 위험의 기술적 특성으로 인해 CISO가 대화에 참여하도록 요청받는 경우가 점점 늘어나고 있습니다.

설문 조사에서 29%는 다음과 같이 말합니다. 사이버 보험 보장 광범위한 비즈니스 보험 정책의 일부이며, 28%는 특히 사이버 보안 사고에 대한 정책이 있다고 말합니다. 조직의 거의 절반(46%)이 랜섬웨어 지불에 대한 정책을 갖고 있다고 답했습니다.

Google Cloud의 비즈니스 위험 및 보험 책임자인 Monica Shokrai는 "위험에 대해 이야기하는 방법과 위험을 관리하고 완화하는 방법은 이제 CISO 조직이 이해하는 것이 훨씬 더 중요해지고 있습니다."라고 말하면서 위험을 위쪽으로 전달하는 것이 중요하다고 지적했습니다. CFO는 "영원히 일을 해왔습니다."

그녀는 CISO를 "사이버 CFO"로 바꾸려고 노력하는 대신 두 조직이 협력하여 이사회를 위한 일관되고 통합된 전략을 개발해야 한다고 말했습니다.

더 읽기 : 사이버 보험 전략에는 CISO-CFO 협력이 필요합니다

관련: 개인 정보 보호가 랜섬웨어를 제치고 최고의 보험 문제로 떠오름

다양한 보안 팀 관리에 대한 팁

BILL 보안 운영 수석 관리자 Gourav Nagar의 논평

보안 팀이 더 잘 협력할수록 조직을 얼마나 잘 보호할 수 있는지에 대한 직접적인 영향은 더 커집니다.

보안팀 구축은 채용부터 시작됩니다하지만 팀이 함께 작업하기 시작하면 공통 언어와 일련의 기대치 및 프로세스를 만드는 것이 중요합니다. 이렇게 하면 팀은 공통 목표를 향해 빠르게 작업하고 잘못된 의사소통을 피할 수 있습니다.

특히 각 개인이 서로 다른 경험, 고유한 관점 및 고유한 문제 해결 방법을 가져오는 것이 목표인 다양한 팀의 경우 업데이트를 공유하고 협업할 수 있는 공통 커뮤니케이션 채널을 사용하면 팀원이 자신이 좋아하는 작업에 더 많은 시간을 할애할 수 있습니다. 팀 역학에 대해 걱정하지 마세요.

그 목표를 달성하기 위한 세 가지 전략은 다음과 같습니다. 다양성을 위해 채용하고 팀 문화와 프로세스에 신속하게 맞춰줍니다. 팀의 모든 구성원에 대한 신뢰를 구축합니다. 팀 구성원이 사이버 보안 분야에서 경력을 쌓고 혁신에 흥미를 갖도록 돕습니다.

물론, 자신의 경력에 ​​대한 주인의식을 갖는 것은 우리 각자에게 달려 있습니다. 관리자로서 우리는 이 사실을 잘 알고 있을지 모르지만, 모든 팀원이 그런 것은 아닙니다. 우리의 역할은 각 직원이 자신의 경력에 ​​흥미를 갖고 도움을 줄 수 있는 역할과 책임을 적극적으로 배우고 추구하도록 상기시키고 격려하는 것입니다.

더 읽기 : 다양한 보안 팀 관리에 대한 팁

관련 : 신경다양성이 사이버 보안 인력 부족을 해결하는 데 어떻게 도움이 될 수 있습니까?

타임 스탬프 :

더보기 어두운 독서