CISO Corner: NSA-richtlijnen; een Utility SBOM-casestudy; Lavalampen

CISO Corner: NSA-richtlijnen; een Utility SBOM-casestudy; Lavalampen

Tijdstempel: 8 maart 2024 4:42 uur
CISO Corner: NSA-richtlijnen; een Utility SBOM-casestudy; Lavalampen PlatoBlockchain Data Intelligence. Verticaal zoeken. Ai.

Welkom bij CISO Corner, de wekelijkse samenvatting van artikelen van Dark Reading die specifiek zijn afgestemd op lezers en leiders op het gebied van beveiligingsoperaties. Elke week bieden we artikelen aan die zijn verzameld uit onze nieuwsafdeling, The Edge, DR Technology, DR Global en onze commentaarsectie. We streven ernaar een gevarieerde reeks perspectieven te presenteren ter ondersteuning van het operationeel maken van cyberbeveiligingsstrategieën, voor leiders bij organisaties in alle soorten en maten.

In dit nummer van CISO Corner:

  • De Zero-Trust-richtlijnen van de NSA zijn gericht op segmentatie

  • Beveiliging creëren door willekeur

  • Southern Company bouwt SBOM voor elektriciteitsonderstation

  • Wat cybersecurity-chefs nodig hebben van hun CEO's

  • Hoe u ervoor kunt zorgen dat open source-pakketten geen landmijnen zijn

  • DR Global: Leider uit het Midden-Oosten bij de implementatie van DMARC-e-mailbeveiliging

  • Cyberverzekeringsstrategie vereist samenwerking tussen CISO en CFO

  • Tips voor het beheren van diverse beveiligingsteams

De Zero-Trust-richtlijnen van de NSA zijn gericht op segmentatie

Door David Strom, bijdragende schrijver, Dark Reading

Zero-trust-architecturen zijn essentiële beschermingsmaatregelen voor de moderne onderneming. De nieuwste NSA-richtlijnen bieden gedetailleerde aanbevelingen over hoe de netwerkinvalshoek van het concept kan worden geïmplementeerd.

De Amerikaanse National Security Agency (NSA) heeft deze week haar richtlijnen voor zero-trust-netwerkbeveiliging gepresenteerd en biedt een concretere routekaart naar zero-trust-adoptie dan we gewend zijn. Het is een belangrijke inspanning om de kloof tussen het verlangen naar en de implementatie van het concept te overbruggen.

Het NSA-document bevat een heleboel aanbevelingen over best practices op het gebied van zero-trust, waaronder, in essentie, het segmenteren van netwerkverkeer naar voorkomen dat tegenstanders zich binnen een netwerk verplaatsen en het verkrijgen van toegang tot kritieke systemen.

Er wordt uitgelegd hoe controles op netwerksegmentatie kunnen worden uitgevoerd door middel van een reeks stappen, waaronder het in kaart brengen en begrijpen van gegevensstromen, en het implementeren van softwaregedefinieerde netwerken (SDN). Elke stap zal veel tijd en moeite vergen om te begrijpen welke delen van een bedrijfsnetwerk gevaar lopen en hoe deze het beste kunnen worden beschermd.

Het NSA-document maakt ook onderscheid tussen macro- en micronetwerksegmentatie. De eerste regelt het verkeer tussen afdelingen of werkgroepen, zodat een IT-medewerker bijvoorbeeld geen toegang heeft tot HR-servers en gegevens.

John Kindervag, die in 2010 als analist bij Forrester Research als eerste de term ‘zero trust’ definieerde, verwelkomde de stap van de NSA en merkte op dat ‘zeer weinig organisaties het belang van netwerkbeveiligingscontroles hebben begrepen bij het bouwen van zero trust’. -vertrouwen in omgevingen, en dit document draagt ​​bij aan het helpen van organisaties om de waarde ervan te begrijpen.”

Lees verder: De Zero-Trust-richtlijnen van de NSA zijn gericht op segmentatie

Zie ook: NIST Cybersecurity Framework 2.0: 4 stappen om aan de slag te gaan

Beveiliging creëren door willekeur

Door Andrada Fiscutean, bijdragende schrijver, Dark Reading

Hoe lavalampen, slingers en hangende regenbogen het internet veilig houden.

Wanneer je het kantoor van Cloudflare in San Francisco binnenstapt, is het eerste wat je opvalt een muur van lavalampen. Bezoekers stoppen vaak om selfies te maken, maar de bijzondere installatie is meer dan een artistiek statement; het is een ingenieus beveiligingshulpmiddel.

De veranderende patronen die worden gecreëerd door de zwevende wasklodders van de lampen helpen Cloudflare het internetverkeer te versleutelen door willekeurige getallen te genereren. Willekeurige getallen hebben verschillende toepassingen in cyberbeveiliging, en spelen een cruciale rol bij zaken als het maken van wachtwoorden en cryptografische sleutels.

Cloudflare's Wall of Entropy, zoals het bekend staat, gebruikt niet één maar honderd lampen, waarvan de willekeur wordt vergroot door menselijke bewegingen.

Cloudflare gebruikt ook aanvullende bronnen van fysieke entropie om willekeur voor zijn servers te creëren. “In Londen hebben we een ongelooflijke muur van dubbele slingers, en in Austin, Texas hebben we deze ongelooflijke mobiele telefoons die aan het plafond hangen en bewegen met luchtstromen”, zegt John Graham-Cumming, CTO van Cloudfare. Het kantoor van Cloudflare in Lissabon zal binnenkort beschikken over een installatie ‘gebaseerd op de oceaan’.

Andere organisaties hebben hun eigen bronnen van entropie. De Universiteit van Chili heeft bijvoorbeeld seismische metingen aan de mix toegevoegd, terwijl het Zwitserse Federale Instituut voor Technologie de lokale willekeurgenerator gebruikt die op elke computer aanwezig is op /dev/urandom, wat betekent dat deze afhankelijk is van zaken als toetsenbordaanslagen en muisklikken en netwerkverkeer om willekeur te genereren. Kudelski Security heeft een cryptografische generator voor willekeurige getallen gebruikt, gebaseerd op het ChaCha20-stroomcijfer.

Lees verder: Beveiliging creëren door willekeur

Southern Company bouwt SBOM voor elektriciteitsonderstation

Door Kelly Jackson Higgins, hoofdredacteur van Dark Reading

Het Software Bill of Materials (SBOM)-experiment van het nutsbedrijf heeft tot doel een sterkere beveiliging van de toeleveringsketen tot stand te brengen – en een betere verdediging tegen mogelijke cyberaanvallen.

Energiegigant Southern Company startte dit jaar een experiment, dat begon met een cybersecurityteam dat naar een van zijn Mississippi Power-substations reisde om de apparatuur daar fysiek te catalogiseren, foto's te maken en gegevens van netwerksensoren te verzamelen. Toen kwam het meest intimiderende – en soms frustrerende – onderdeel: het verkrijgen van details over de software-toeleveringsketen van de 17 leveranciers wier 38 apparaten het onderstation besturen.

De missie? Naar inventariseer alle hardware, software en firmware in de apparatuur die in de energiecentrale draait in een poging om een ​​software stuklijst (SBOM) te maken voor de operationele technologie (OT) site.

Voorafgaand aan het project had Southern via het Dragos-platform inzicht in zijn OT-netwerkmiddelen, maar softwaredetails waren een raadsel, zegt Alex Waitkus, hoofd cybersecurity-architect bij Southern Company en hoofd van het SBOM-project.

"We hadden geen idee welke verschillende softwareversies we gebruikten", zei hij. “We hadden meerdere zakenpartners die verschillende delen van het onderstation beheerden.”

Lees verder: Southern Company bouwt SBOM voor elektriciteitsonderstation

Zie ook: Verbeterde, Stuxnet-achtige PLC-malware heeft tot doel kritieke infrastructuur te ontwrichten

Wat cybersecurity-chefs nodig hebben van hun CEO's

Commentaar door Michael Mestrovitsj CISO, Rubrik

Door CISO's te helpen bij het navigeren door de verwachtingen die op hun schouders worden gelegd, kunnen CEO's hun bedrijven enorm ten goede komen.

Het lijkt voor de hand liggend: CEO's en hun Chief Information Security Officers (CISO's) moeten natuurlijke partners zijn. En toch heeft volgens een recent PwC-rapport slechts 30% van de CISO's het gevoel dat ze voldoende steun krijgen van hun CEO.

Alsof het verdedigen van hun organisaties tegen slechte actoren ondanks budgetbeperkingen en chronische tekorten aan cybersecurity-talent niet al moeilijk genoeg was, CISO's worden nu geconfronteerd met strafrechtelijke vervolging en woede van de toezichthouders als ze een fout maken bij de reactie op incidenten. Geen wonder dat Gartner voorspelt dat bijna de helft van de leiders op het gebied van cyberbeveiliging tegen 2025 van baan zal veranderen als gevolg van meerdere werkgerelateerde stressfactoren.

Hier zijn vier dingen die CEO's kunnen doen om te helpen: Zorg ervoor dat de CISO een directe lijn heeft met de CEO; de steun van de CISO hebben; samen met de CISO werken aan een veerkrachtstrategie; en het eens zijn over de impact van AI.

CEO's die hierop ingaan, doen niet alleen het goede voor hun CISO's, ze komen hun bedrijven ook enorm ten goede.

Lees verder: Wat cybersecurity-chefs nodig hebben van hun CEO's

Zie ook: De rol van CISO ondergaat een grote evolutie

Hoe u ervoor kunt zorgen dat open source-pakketten geen landmijnen zijn

Door Agam Shah, bijdragende schrijver, Dark Reading

CISA en OpenSSF hebben gezamenlijk nieuwe richtlijnen gepubliceerd waarin technische controles worden aanbevolen om het voor ontwikkelaars moeilijker te maken om kwaadaardige softwarecomponenten in code te verwerken.

Open source-repository's zijn van cruciaal belang voor het uitvoeren en schrijven van moderne applicaties, maar ze kunnen ook bevatten kwaadaardige, op de loer liggende codebommen, wachtend om te worden opgenomen in apps en services.

Om deze landmijnen te helpen voorkomen, hebben de Cybersecurity and Infrastructure Security Agency (CISA) en de Open Source Security Foundation (OpenSSF) nieuwe richtlijnen uitgegeven voor het beheer van het open source-ecosysteem.

Ze raden aan controles te implementeren, zoals het inschakelen van meervoudige authenticatie voor projectbeheerders, mogelijkheden voor beveiligingsrapportage van derden en waarschuwingen voor verouderde of onveilige pakketten om de blootstelling aan kwaadaardige code en pakketten die zich voordoen als open source-code in openbare opslagplaatsen te verminderen.

Organisaties negeren het risico op eigen risico: “Als we het afgelopen jaar over kwaadaardige pakketten hebben gesproken, hebben we een verdubbeling gezien ten opzichte van voorgaande jaren”, zei Ann Barron-DiCamillo, managing director en mondiaal hoofd cyberoperaties bij Citi, op de OSFF-conferentie een paar maanden geleden. “Dit wordt een realiteit in verband met onze ontwikkelingsgemeenschap.”

Lees verder: Hoe u ervoor kunt zorgen dat open source-pakketten geen landmijnen zijn

Zie ook: Miljoenen kwaadaardige opslagplaatsen overspoelen GitHub

Midden-Oosten is toonaangevend in de implementatie van DMARC-e-mailbeveiliging

Door Robert Lemos, bijdragende schrijver, Dark Reading

Toch blijven er uitdagingen bestaan, aangezien het beleid van veel landen ten aanzien van het e-mailauthenticatieprotocol laks blijft en in strijd zou kunnen komen met de beperkingen van Google en Yahoo.

Op 1 februari zijn zowel Google als Yahoo begonnen te eisen dat alle e-mail die naar hun gebruikers wordt verzonden, verifieerbare Sender Policy Framework (SPF) en Domain Key Identified Mail (DKIM)-records moet hebben, terwijl bulkafzenders (bedrijven die meer dan 5,000 e-mails per dag versturen) dat moeten doen. ook een geldig Domain-based Message Authentication Reporting and Conformance (DMARC)-record hebben.

Nog, veel organisaties lopen achter in de adoptie van deze technologieën, ondanks het feit dat ze niet nieuw zijn. Er zijn echter twee schitterende uitzonderingen: het Koninkrijk Saoedi-Arabië en de Verenigde Arabische Emiraten (VAE).

Vergeleken met ongeveer driekwart (73%) van de mondiale organisaties heeft ongeveer 90% van de organisaties in Saoedi-Arabië en 80% in de VAE de meest basale versie van DMARC geïmplementeerd die – samen met de twee andere specificaties – op e-mail gebaseerde nabootsing van identiteit veel eenvoudiger maakt. moeilijk voor aanvallers.

Over het geheel genomen lopen de landen uit het Midden-Oosten voorop bij de adoptie van DMARC. Ongeveer 80% van de leden van de Pan Arab Composite Index van S&P voert een strikt DMARC-beleid, dat hoger is dan de 100% van de FTSE72 en nog hoger dan de 61% van de Franse CAC40-index, aldus Nadim Lahoud, vice-president strategie en strategie. operaties voor Red Sift, een bedrijf voor inlichtingen over dreigingen.

Lees verder: Midden-Oosten is toonaangevend in de implementatie van DMARC-e-mailbeveiliging

Zie ook: DMARC-gegevens laten een toename van 75% zien in verdachte e-mails die in de inbox terechtkomen

Cyberverzekeringsstrategie vereist samenwerking tussen CISO en CFO

Door Fahmida Y. Rashid, hoofdredacteur, Functies, Dark Reading

De kwantificering van cyberrisico's brengt de technische expertise van de CISO en de focus van de CFO op financiële impact samen om een ​​sterker en beter begrip te ontwikkelen van wat er op het spel staat.

Cyberverzekeringen zijn voor veel organisaties de norm geworden, waarbij meer dan de helft van de respondenten in de meest recente Strategic Security Survey van Dark Reading zegt dat hun organisaties een of andere vorm van dekking hebben. Hoewel verzekeringen doorgaans het domein zijn van de raad van bestuur en de CFO's van de organisatie, betekent de technische aard van cyberrisico's dat de CISO steeds vaker wordt gevraagd om deel uit te maken van het gesprek.

In het onderzoek zegt 29% cyberverzekering dekking maakt deel uit van een bredere zakelijke verzekeringspolis en 28% zegt een polis te hebben specifiek voor cyberveiligheidsincidenten. Bijna de helft van de organisaties (46%) zegt een beleid te hebben dat betalingen via ransomware dekt.

“Hoe we over risico’s moeten praten en hoe we risico’s moeten beheren en beperken, wordt nu veel belangrijker voor de CISO-organisatie om te begrijpen”, zegt Monica Shokrai, hoofd bedrijfsrisico’s en verzekeringen bij Google Cloud, terwijl ze opmerkt dat het naar boven communiceren van risico’s iets is dat belangrijk is voor de CISO-organisatie. De CFO heeft het ‘altijd gedaan’.

In plaats van te proberen CISO's in 'cyber CFO's' te veranderen, zouden de twee organisaties moeten samenwerken om een ​​samenhangende en geïntegreerde strategie voor het bestuur te ontwikkelen, zegt ze.

Lees verder: Cyberverzekeringsstrategie vereist samenwerking tussen CISO en CFO

Verwant: Privacy verslaat ransomware als grootste zorg voor verzekeringen

Tips voor het beheren van diverse beveiligingsteams

Commentaar door Gourav Nagar, Senior Manager Security Operations, BILL

Hoe beter een beveiligingsteam samenwerkt, hoe groter de directe impact op hoe goed het de organisatie kan beschermen.

Het opbouwen van een beveiligingsteam begint met het aannemen van personeel, maar zodra het team begint samen te werken, is het van cruciaal belang om een ​​gemeenschappelijke taal en een reeks verwachtingen en processen te creëren. Op deze manier kan het team snel naar een gemeenschappelijk doel toe werken en miscommunicatie voorkomen.

Vooral voor diverse teams, waarbij het doel is dat elke persoon zijn verschillende ervaringen, unieke perspectieven en onderscheidende manieren om problemen op te lossen met zich meebrengt, zorgt het hebben van gemeenschappelijke communicatiekanalen om updates te delen en samen te werken ervoor dat teamleden meer tijd kunnen besteden aan wat ze graag doen. en maak je geen zorgen over de teamdynamiek.

Hier zijn drie strategieën om dat doel te bereiken: Huur mensen in voor diversiteit en stem ze snel af op de teamcultuur en -processen; vertrouwen creëren voor elke persoon in het team; en help uw teamleden een carrière op te bouwen in cyberbeveiliging en enthousiast te blijven over innovatie.

Natuurlijk is het aan ieder van ons om de regie over onze eigen carrière in handen te nemen. Als managers weten wij dit misschien goed, maar niet al onze teamleden weten dit misschien. Het is onze rol om elk van hen eraan te herinneren en aan te moedigen actief te leren en rollen en verantwoordelijkheden na te streven die hen enthousiast zullen houden en hen zullen helpen in hun carrière.

Lees verder: Tips voor het beheren van diverse beveiligingsteams

Zie ook: Hoe neurodiversiteit kan helpen het tekort aan personeel op het gebied van cyberbeveiliging op te vullen

Tijdstempel:

Meer van Donkere lezing