CISO Corner: NSA retningslinjer; en Utility SBOM Case Study; Lava lamper

Velkommen til CISO Corner, Dark Readings ukentlige sammendrag av artikler skreddersydd spesifikt for lesere av sikkerhetsoperasjoner og sikkerhetsledere. Hver uke vil vi tilby artikler hentet fra hele nyhetsvirksomheten vår, The Edge, DR Technology, DR Global og vår kommentarseksjon. Vi er forpliktet til å presentere et mangfoldig sett med perspektiver for å støtte jobben med å operasjonalisere cybersikkerhetsstrategier, for ledere i organisasjoner av alle former og størrelser.

I denne utgaven av CISO Corner:

NSAs Zero-Trust-retningslinjer fokuserer på segmentering

Av David Strøm, medvirkende skribent, Dark Reading

Null-tillit-arkitekturer er viktige beskyttelsestiltak for den moderne bedriften. Den siste NSA-veiledningen gir detaljerte anbefalinger om hvordan du implementerer konseptets nettverksvinkel.

US National Security Agency (NSA) leverte sine retningslinjer for null-tillit nettverkssikkerhet denne uken, og tilbyr et mer konkret veikart mot null-tillit-adopsjon enn vi er vant til å se. Det er en viktig innsats for å prøve å bygge bro mellom ønske om og implementering av konseptet.

NSA-dokumentet inneholder en rekke anbefalinger om beste praksis uten tillit, inkludert grunnleggende segmentering av nettverkstrafikk til blokkere motstandere fra å bevege seg rundt i et nettverk og få tilgang til kritiske systemer.

Den går gjennom hvordan nettverkssegmenteringskontroller kan oppnås gjennom en rekke trinn, inkludert kartlegging og forståelse av dataflyter, og implementering av programvaredefinert nettverk (SDN). Hvert trinn vil ta mye tid og krefter på å forstå hvilke deler av et forretningsnettverk som er i fare, og hvordan de best kan beskyttes.

NSA-dokumentet skiller også mellom makro- og mikronettverkssegmentering. Førstnevnte kontrollerer trafikken som beveger seg mellom avdelinger eller arbeidsgrupper, så en IT-arbeider har for eksempel ikke tilgang til personalservere og data.

John Kindervag, som var den første som definerte begrepet «null tillit» tilbake i 2010, da han var analytiker ved Forrester Research, ønsket NSAs trekk velkommen, og la merke til at «svært få organisasjoner har forstått viktigheten av nettverkssikkerhetskontroller i å bygge null. -tillitsmiljøer, og dette dokumentet går langt for å hjelpe organisasjoner med å forstå verdien deres.»

Les mer: NSAs Zero-Trust-retningslinjer fokuserer på segmentering

Relatert: NIST Cybersecurity Framework 2.0: 4 trinn for å komme i gang

Skape sikkerhet gjennom tilfeldighet

Av Andrada Fiscutean, bidragsyter, Dark Reading

Hvordan lavalamper, pendler og opphengte regnbuer holder Internett trygt.

Når du går inn på Cloudflares kontor i San Francisco, er det første du legger merke til en vegg av lavalamper. Besøkende stopper ofte for å ta selfies, men den særegne installasjonen er mer enn et kunstnerisk utsagn; det er et genialt sikkerhetsverktøy.

De skiftende mønstrene som skapes av lampenes flytende voksklatter hjelper Cloudflare med å kryptere internetttrafikk ved å generere tilfeldige tall. Tilfeldige tall har en rekke bruksområder innen cybersikkerhet, og spiller en avgjørende rolle i ting som å lage passord og kryptografiske nøkler.

Cloudflares Wall of Entropy, som det er kjent, bruker ikke én, men 100 lamper, og deres tilfeldighet økte av menneskelig bevegelse.

Cloudflare bruker også ekstra kilder til fysisk entropi for å skape tilfeldighet for sine servere. "I London har vi denne utrolige veggen av doble pendler, og i Austin, Texas, har vi disse utrolige mobilene som henger fra taket og beveger seg med luftstrømmer," sier Cloudfare CTO John Graham-Cumming. Cloudflares kontor i Lisboa vil snart inneholde en installasjon "basert på havet."

Andre organisasjoner har sine egne kilder til entropi. Universitetet i Chile, for eksempel, har lagt til seismiske målinger til blandingen, mens det sveitsiske føderale teknologiske instituttet bruker den lokale tilfeldighetsgeneratoren som finnes på hver datamaskin på /dev/urandom, noe som betyr at den er avhengig av ting som tastaturtrykk, museklikk , og nettverkstrafikk for å generere tilfeldighet. Kudelski Security har brukt en kryptografisk tilfeldig tallgenerator basert på ChaCha20-strømchifferet.

Les mer: Skape sikkerhet gjennom tilfeldighet

Southern Company bygger SBOM for elektrisk kraftstasjon

Av Kelly Jackson Higgins, sjefredaktør, Dark Reading

Verktøyets programvarelisteeksperiment (SBOM) tar sikte på å etablere sterkere forsyningskjedesikkerhet – og strammere forsvar mot potensielle nettangrep.

Energigiganten Southern Company startet et eksperiment i år, som begynte med at nettsikkerhetsteamet deres reiste til en av Mississippi Power-transformatorstasjonene for å fysisk katalogisere utstyret der, ta bilder og samle data fra nettverkssensorer. Så kom den mest skremmende – og til tider frustrerende – delen: å skaffe informasjon om programvareforsyningskjeden fra de 17 leverandørene hvis 38 enheter driver transformatorstasjonen.

Oppdraget? Til inventar all maskinvare, programvare og fastvare i utstyr som kjører i kraftverket i et forsøk på å lage en programvarefortegnelse (SBOM) for operasjonsteknologi-nettstedet (OT).

Før prosjektet hadde Southern innsyn i sine OT-nettverksressurser der via Dragos-plattformen, men programvaredetaljer var en gåte, sa Alex Waitkus, hovedarkitekt for cybersikkerhet i Southern Company og leder for SBOM-prosjektet.

"Vi hadde ingen anelse om hvilke forskjellige versjoner av programvare vi kjørte," sa han. "Vi hadde flere forretningspartnere som administrerte forskjellige deler av transformatorstasjonen."

Les mer: Southern Company bygger SBOM for elektrisk kraftstasjon

Relatert: Forbedret, Stuxnet-lignende PLC-malware tar sikte på å forstyrre kritisk infrastruktur

Hva Cybersecurity Chiefs trenger fra administrerende direktører

Kommentar av Michael Mestrovich CISO, Rubrik

Ved å hjelpe CISOer med å navigere etter forventningene som legges på deres skuldre, kan administrerende direktører ha stor nytte av bedriftene deres.

Det virker åpenbart: administrerende direktører og deres sjefer for informasjonssikkerhet (CISOer) bør være naturlige partnere. Og likevel, ifølge en fersk PwC-rapport, føler bare 30 % av CISOer at de får tilstrekkelig støtte fra administrerende direktør.

Som om det ikke allerede var vanskelig nok å forsvare organisasjonene sine mot dårlige aktører til tross for budsjettbegrensninger og kronisk mangel på cybersikkerhetstalenter, CISOer står nå overfor kriminelle anklager og regulatorisk vrede hvis de gjør en feil i hendelsesresponsen. Ikke så rart at Gartner spår at nesten halvparten av cybersikkerhetsledere vil bytte jobb innen 2025 på grunn av flere arbeidsrelaterte stressfaktorer.

Her er fire ting administrerende direktører kan gjøre for å hjelpe: Sørg for at CISO har en direkte linje til administrerende direktør; ha CISOs tilbake; samarbeide med CISO om en resiliensstrategi; og er enige om AIs innvirkning.

Administrerende direktører som lener seg inn i disse, gjør ikke bare det rette for sine CISO-er, de er til stor fordel for selskapene deres.

Les mer: Hva Cybersecurity Chiefs trenger fra administrerende direktører

Relatert: CISO-rollen gjennomgår en stor utvikling

Hvordan sikre at åpen kildekode-pakker ikke er landminer

Av Agam Shah, medvirkende skribent, Dark Reading

CISA og OpenSSF publiserte i fellesskap ny veiledning som anbefaler tekniske kontroller for å gjøre det vanskeligere for utviklere å bringe skadelige programvarekomponenter inn i kode.

Repositories med åpen kildekode er avgjørende for å kjøre og skrive moderne applikasjoner, men de kan også inneholde ondsinnede, lurende kodebomber, som bare venter på å bli integrert i apper og tjenester.

For å unngå disse landminene har Cybersecurity and Infrastructure Security Agency (CISA) og Open Source Security Foundation (OpenSSF) utstedt nye retningslinjer for å administrere åpen kildekode-økosystemet.

De anbefaler å implementere kontroller som aktivering av multifaktorautentisering for prosjektvedlikeholdere, tredjeparts sikkerhetsrapporteringsfunksjoner og advarsler for utdaterte eller usikre pakker for å redusere eksponeringen for ondsinnet kode og pakker som maskerer seg som åpen kildekode på offentlige depoter.

Organisasjoner ignorerer risikoen på egen risiko: "Når vi snakker om ondsinnede pakker det siste året, har vi sett en dobling i forhold til tidligere år," sa Ann Barron-DiCamillo, administrerende direktør og global leder for cyberoperasjoner i Citi, på OSFF-konferansen noen måneder siden. "Dette er i ferd med å bli en realitet knyttet til utviklingssamfunnet vårt."

Les mer: Hvordan sikre at åpen kildekode-pakker ikke er landminer

Relatert: Millioner av ondsinnede depoter oversvømmer GitHub

Midtøsten leder i distribusjon av DMARC Email Security

Av Robert Lemos, medvirkende skribent, Dark Reading

Likevel gjenstår det utfordringer ettersom mange nasjoners retningslinjer for e-postautentiseringsprotokollen forblir slappe og kan gå i strid med Googles og Yahoos restriksjoner.

1. februar begynte både Google og Yahoo å kreve at all e-post som sendes til brukerne deres har verifiserbare Sender Policy Framework (SPF) og Domain Key Identified Mail (DKIM), mens masseavsendere – selskaper som sender ut mer enn 5,000 e-poster per dag – må har også en gyldig DMARC-oppføring (Domain-based Message Authentication Reporting and Conformance).

Ennå, mange organisasjoner henger etter i adopsjonen av disse teknologiene, til tross for at de ikke er nye. Det er imidlertid to lysende unntak der ute: Kongeriket Saudi-Arabia og De forente arabiske emirater (UAE).

Sammenlignet med omtrent tre fjerdedeler (73 %) av globale organisasjoner, har omtrent 90 % av organisasjonene i Saudi-Arabia og 80 % i UAE implementert den mest grunnleggende versjonen av DMARC som – sammen med de to andre spesifikasjonene – gjør e-postbasert etterligning mye mer vanskelig for angripere.

Totalt sett ligger nasjoner i Midtøsten foran med å ta i bruk DMARC. Omtrent 80 % av medlemmene av S&Ps Pan Arab Composite Index har en streng DMARC-policy, som er høyere enn FTSE100s 72 %, og fortsatt høyere enn 61 % av Frankrikes CAC40-indeks, ifølge Nadim Lahoud, visepresident for strategi og operasjoner for Red Sift, et trusseletterretningsfirma.

Les mer: Midtøsten leder i distribusjon av DMARC Email Security

Relatert: DMARC-data viser 75 % økning i mistenkelige e-poster som treffer innbokser

Cyberforsikringsstrategi krever CISO-CFO-samarbeid

Av Fahmida Y. Rashid, administrerende redaktør, funksjoner, mørk lesing

Kvantifisering av cyberrisiko samler CISOs tekniske ekspertise og finansdirektørens fokus på økonomisk påvirkning for å utvikle en sterkere og bedre forståelse av hva som står på spill.

Cyberforsikring har blitt normen for mange organisasjoner, med mer enn halvparten av respondentene i Dark Readings siste strategiske sikkerhetsundersøkelse sier at deres organisasjoner har en form for dekning. Mens forsikring typisk har vært domenet til organisasjonens styre og finansdirektører, betyr den tekniske karakteren av cyberrisiko at CISO i økende grad blir bedt om å være en del av samtalen.

I undersøkelsen sier 29 % cyberforsikringsdekning er en del av en bredere forretningsforsikring, og 28 % sier at de har en forsikring spesielt for cybersikkerhetshendelser. Nesten halvparten av organisasjonene (46 %) sier de har en policy som dekker løsepengevarebetalinger.

«Hvordan man kan snakke om risiko og hvordan man håndterer og reduserer risikoer, blir nå mye viktigere for CISO-organisasjonen å forstå,» sier Monica Shokrai, leder for forretningsrisiko og forsikring i Google Cloud, mens hun bemerker at å kommunisere risiko oppover er noe av CFO har "gjort for alltid."

I stedet for å prøve å gjøre CISO-er til «cyber-CFOer», bør de to organisasjonene samarbeide for å utvikle en sammenhengende og integrert strategi for styret, sier hun.

Les mer: Cyberforsikringsstrategi krever CISO-CFO-samarbeid

I slekt: Personvern slår løsepengevare som topp forsikringsbekymring

Tips om å administrere ulike sikkerhetsteam

Kommentar av Gourav Nagar, Senior Manager of Security Operations, BILL

Jo bedre et sikkerhetsteam jobber sammen, jo større er den direkte innvirkningen på hvor godt det kan beskytte organisasjonen.

Å bygge et sikkerhetsteam begynner med ansettelse, men når teamet begynner å jobbe sammen, er det avgjørende å skape et felles språk og et sett med forventninger og prosesser. På denne måten kan teamet raskt jobbe mot et felles mål og unngå feilkommunikasjon.

Spesielt for forskjellige team, der målet er at hver person skal bringe sine forskjellige erfaringer, unike perspektiver og særegne måter å løse problemer på, å ha felles kommunikasjonskanaler for å dele oppdateringer og samarbeide sikrer at teammedlemmer kan bruke mer tid på det de elsker å gjøre og ikke bekymre deg for teamdynamikken.

Her er tre strategier for å nå dette målet: Ansette for mangfold og raskt tilpasse seg teamkultur og prosesser; skape tillit for hver enkelt person på laget; og hjelpe teammedlemmene dine med å bygge en karriere innen cybersikkerhet og holde deg begeistret med innovasjon.

Det er selvfølgelig opp til hver enkelt av oss å ta eierskap til vår egen karriere. Som ledere vet vi kanskje dette godt, men ikke alle teammedlemmene våre vet det. Vår rolle er å minne og oppmuntre hver enkelt av dem til aktivt å lære og forfølge roller og ansvar som vil holde dem begeistret og hjelpe dem i karrieren.

Les mer: Tips om å administrere ulike sikkerhetsteam

Relatert: Hvordan nevrodiversitet kan bidra til å fylle mangelen på arbeidsstyrke på nettsikkerhet

• SEO-drevet innhold og PR-distribusjon. Bli forsterket i dag.
• PlatoData.Network Vertical Generative Ai. Styrk deg selv. Tilgang her.
• PlatoAiStream. Web3 Intelligence. Kunnskap forsterket. Tilgang her.
• PlatoESG. Karbon, CleanTech, Energi, Miljø, Solenergi, Avfallshåndtering. Tilgang her.
• PlatoHelse. Bioteknologisk og klinisk etterretning. Tilgang her.
• kilde: https://www.darkreading.com/cybersecurity-operations/ciso-corner-nsa-guidelines-utility-sbom-case-study-lava-lamps