Kącik CISO: Wytyczne NSA; studium przypadku SBOM w zakresie narzędzi użyteczności publicznej; Lampy lawowe

Kącik CISO: Wytyczne NSA; studium przypadku SBOM w zakresie narzędzi użyteczności publicznej; Lampy lawowe

Znacznik czasu: 8 marca 2024 4:42
Kącik CISO: Wytyczne NSA; studium przypadku SBOM w zakresie narzędzi użyteczności publicznej; Lampy lawowe PlatoBlockchain Data Intelligence. Wyszukiwanie pionowe. AI.

Witamy w CISO Corner, cotygodniowym podsumowaniu artykułów Dark Reading dostosowanych specjalnie do czytelników zajmujących się bezpieczeństwem i liderów bezpieczeństwa. Co tydzień będziemy udostępniać artykuły z naszych serwisów informacyjnych, The Edge, DR Technology, DR Global oraz z naszej sekcji komentarzy. Zależy nam na prezentowaniu różnorodnego zestawu perspektyw, aby wesprzeć zadanie operacjonalizacji strategii cyberbezpieczeństwa dla liderów w organizacjach wszystkich kształtów i rozmiarów.

W tym numerze CISO Corner:

  • Wytyczne NSA dotyczące zerowego zaufania skupiają się na segmentacji

  • Tworzenie bezpieczeństwa poprzez losowość

  • Firma Southern buduje SBOM dla podstacji elektroenergetycznej

  • Czego szefowie cyberbezpieczeństwa potrzebują od swoich dyrektorów generalnych

  • Jak upewnić się, że pakiety open source nie są minami lądowymi

  • DR Global: Bliski Wschód liderem we wdrażaniu zabezpieczeń poczty e-mail DMARC

  • Strategia cyberbezpieczeństwa wymaga współpracy CISO-CFO

  • Wskazówki dotyczące zarządzania różnorodnymi zespołami ds. bezpieczeństwa

Wytyczne NSA dotyczące zerowego zaufania skupiają się na segmentacji

David Strom, współautor książki Dark Reading

Architektury zerowego zaufania są niezbędnymi środkami ochronnymi dla współczesnego przedsiębiorstwa. Najnowsze wytyczne NSA zawierają szczegółowe zalecenia dotyczące wdrażania koncepcji sieciowości.

Amerykańska Agencja Bezpieczeństwa Narodowego (NSA) przedstawiła w tym tygodniu swoje wytyczne dotyczące bezpieczeństwa sieci o zerowym zaufaniu, oferując bardziej konkretny niż zwykle plan działania prowadzący do przyjęcia zerowego zaufania. Próba wypełnienia luki między pragnieniem a wdrożeniem koncepcji jest ważnym wysiłkiem.

Dokument NSA zawiera mnóstwo zaleceń dotyczących najlepszych praktyk zerowego zaufania, w tym przede wszystkim segmentacji ruchu sieciowego blokować przeciwnikom poruszanie się po sieci i uzyskanie dostępu do krytycznych systemów.

Omówiono w nim, w jaki sposób można przeprowadzić kontrolę segmentacji sieci w szeregu etapów, obejmujących mapowanie i zrozumienie przepływów danych oraz wdrażanie sieci definiowanych programowo (SDN). Każdy krok będzie wymagał dużo czasu i wysiłku, aby zrozumieć, które części sieci biznesowej są zagrożone i jak najlepiej je chronić.

Dokument NSA rozróżnia także segmentację makro- i mikrosieci. Ten pierwszy kontroluje ruch przemieszczający się pomiędzy działami lub grupami roboczymi, dzięki czemu pracownik IT nie ma dostępu na przykład do serwerów i danych kadrowych.

John Kindervag, który jako pierwszy zdefiniował termin „zero zaufania” w 2010 r., kiedy był analitykiem w Forrester Research, z zadowoleniem przyjął posunięcie NSA, zauważając, że „bardzo niewiele organizacji rozumiało znaczenie kontroli bezpieczeństwa sieci w budowaniu zerowego zaufania”. -zaufają środowiskom, a ten dokument w dużym stopniu pomaga organizacjom zrozumieć ich wartość.

Czytaj więcej: Wytyczne NSA dotyczące zerowego zaufania skupiają się na segmentacji

Związane z: Ramy cyberbezpieczeństwa NIST 2.0: 4 kroki, aby rozpocząć

Tworzenie bezpieczeństwa poprzez losowość

Autor: Andrada Fiscutean, współautor książki Dark Reading

Jak lampy lawowe, wahadła i wiszące tęcze zapewniają bezpieczeństwo w Internecie.

Kiedy wchodzisz do biura Cloudflare w San Francisco, pierwszą rzeczą, którą zauważasz, jest ściana lamp lawowych. Odwiedzający często zatrzymują się, aby zrobić sobie selfie, ale osobliwa instalacja to coś więcej niż tylko wypowiedź artystyczna; to genialne narzędzie bezpieczeństwa.

Zmieniające się wzory tworzone przez unoszące się w powietrzu plamy wosku pomagają Cloudflare szyfrować ruch internetowy poprzez generowanie losowych liczb. Liczby losowe mają różnorodne zastosowania w cyberbezpieczeństwiei odgrywają kluczową rolę w takich czynnościach, jak tworzenie haseł i kluczy kryptograficznych.

Ściana Entropii Cloudflare, jak wiadomo, wykorzystuje nie jedną, ale 100 lamp, których losowość jest zwiększana przez ruch człowieka.

Cloudflare wykorzystuje również dodatkowe źródła entropii fizycznej, aby stworzyć losowość dla swoich serwerów. „W Londynie mamy niesamowitą ścianę podwójnych wahadeł, a w Austin w Teksasie mamy te niesamowite telefony komórkowe zwisające z sufitu i poruszające się wraz z prądami powietrza” – mówi dyrektor techniczny Cloudfare, John Graham-Cumming. W biurze Cloudflare w Lizbonie wkrótce pojawi się instalacja „oparta na oceanie”.

Inne organizacje mają własne źródła entropii. Na przykład Uniwersytet Chile dodał do tego pomiary sejsmiczne, podczas gdy Szwajcarski Federalny Instytut Technologii korzysta z lokalnego generatora losowości znajdującego się na każdym komputerze pod adresem /dev/urandom, co oznacza, że ​​opiera się na takich czynnikach, jak naciśnięcia klawiatury i kliknięcia myszą i ruch sieciowy w celu wygenerowania losowości. Kudelski Security wykorzystał kryptograficzny generator liczb losowych oparty na szyfrze strumieniowym ChaCha20.

Czytaj więcej: Tworzenie bezpieczeństwa poprzez losowość

Firma Southern buduje SBOM dla podstacji elektroenergetycznej

Autor: Kelly Jackson Higgins, redaktor naczelny Dark Reading

Eksperyment dotyczący zestawienia materiałów oprogramowania (SBOM) ma na celu zapewnienie większego bezpieczeństwa łańcucha dostaw i skuteczniejszej ochrony przed potencjalnymi cyberatakami.

Gigant energetyczny Southern Company rozpoczął w tym roku eksperyment, który rozpoczął się od podróży jego zespołu ds. cyberbezpieczeństwa do jednej z podstacji Mississippi Power w celu fizycznego skatalogowania znajdującego się tam sprzętu, zrobienia zdjęć i zebrania danych z czujników sieciowych. Potem nadeszła najbardziej zniechęcająca — a czasami frustrująca — część: uzyskanie szczegółów łańcucha dostaw oprogramowania od 17 dostawców, których 38 urządzeń obsługuje podstację.

Misja? Do inwentaryzację całego sprzętu, oprogramowania i oprogramowania sprzętowego w sprzęcie działającym w elektrowni w celu stworzenia zestawienia materiałów oprogramowania (SBOM) dla witryny technologii operacyjnej (OT).

Przed rozpoczęciem projektu firma Southern miała wgląd w swoje zasoby sieciowe OT za pośrednictwem platformy Dragos, ale szczegóły oprogramowania pozostawały zagadką, powiedział Alex Waitkus, główny architekt cyberbezpieczeństwa w Southern Company i szef projektu SBOM.

„Nie mieliśmy pojęcia, z jakich wersji oprogramowania korzystamy” – powiedział. „Mieliśmy wielu partnerów biznesowych, którzy zarządzali różnymi częściami podstacji”.

Czytaj więcej: Firma Southern buduje SBOM dla podstacji elektroenergetycznej

Związane z: Udoskonalone złośliwe oprogramowanie PLC podobne do Stuxneta ma na celu zakłócanie infrastruktury krytycznej

Czego szefowie cyberbezpieczeństwa potrzebują od swoich dyrektorów generalnych

Komentarz Michaela Mestrovicha CISO, Rubrik

Pomagając CISO sprostać oczekiwaniom, jakie spoczywają na ich barkach, dyrektorzy generalni mogą przynieść ogromne korzyści swoim firmom.

Wydaje się oczywiste: dyrektorzy generalni i ich dyrektorzy ds. bezpieczeństwa informacji (CISO) powinni być naturalnymi partnerami. A jednak, według niedawnego raportu PwC, tylko 30% CISO uważa, że ​​otrzymuje wystarczające wsparcie od swojego dyrektora generalnego.

Jakby obrona organizacji przed złymi aktorami pomimo ograniczeń budżetowych i chronicznych niedoborów talentów w dziedzinie cyberbezpieczeństwa nie była już wystarczająco trudna, CISO stoją teraz w obliczu zarzutów karnych i gniewu organów regulacyjnych jeśli popełnią błąd w odpowiedzi na incydent. Nic dziwnego, że Gartner przewiduje, że prawie połowa liderów ds. cyberbezpieczeństwa zmieni pracę do 2025 r. z powodu wielu czynników stresogennych związanych z pracą.

Oto cztery rzeczy, które dyrektorzy generalni mogą zrobić, aby pomóc: Zapewnić CISO bezpośredni kontakt z dyrektorem generalnym; mieć wsparcie CISO; współpracować z CISO nad strategią odporności; i zgadzam się co do wpływu sztucznej inteligencji.

Dyrektorzy generalni, którzy się na tym opierają, nie tylko robią to, co właściwe dla swoich CISO, ale przynoszą ogromne korzyści swoim firmom.

Czytaj więcej: Czego szefowie cyberbezpieczeństwa potrzebują od swoich dyrektorów generalnych

Związane z: Rola CISO przechodzi poważną ewolucję

Jak upewnić się, że pakiety open source nie są minami lądowymi

Autor: Agam Shah, współautor książki Dark Reading

CISA i OpenSSF wspólnie opublikowały nowe wytyczne zalecające środki techniczne mające na celu utrudnienie programistom umieszczania w kodzie komponentów złośliwego oprogramowania.

Repozytoria open source mają kluczowe znaczenie dla uruchamiania i pisania nowoczesnych aplikacji, ale mogą również zawierać złośliwe, czające się bomby kodowe, tylko czekające na włączenie do aplikacji i usług.

Aby pomóc uniknąć tych min lądowych, Agencja ds. Bezpieczeństwa Cyberbezpieczeństwa i Infrastruktury (CISA) oraz Fundacja Bezpieczeństwa Open Source (OpenSSF) wydały nowe wytyczne dotyczące zarządzania ekosystemem open source.

Zalecają wdrożenie mechanizmów kontrolnych, takich jak włączenie uwierzytelniania wieloskładnikowego dla opiekunów projektów, możliwości raportowania bezpieczeństwa stron trzecich oraz ostrzeżenia dotyczące nieaktualnych lub niepewnych pakietów, aby pomóc zmniejszyć narażenie na złośliwy kod i pakiety udające kod open source w publicznych repozytoriach.

Organizacje ignorują ryzyko na własne ryzyko: „Jeśli chodzi o szkodliwe pakiety w ciągu ostatniego roku, zaobserwowaliśmy dwukrotny wzrost w porównaniu z poprzednimi latami” – powiedziała Ann Barron-DiCamillo, dyrektor zarządzająca i globalna szefowa operacji cybernetycznych w Citi, na konferencji OSFF kilka miesięcy temu. „To staje się rzeczywistością związaną z naszą społecznością programistów”.

Czytaj więcej: Jak upewnić się, że pakiety open source nie są minami lądowymi

Związane z: Miliony złośliwych repozytoriów zalewają GitHub

Bliski Wschód liderem we wdrażaniu zabezpieczeń poczty e-mail DMARC

Robert Lemos, współautor książki Dark Reading

Jednak wyzwania pozostają nadal, ponieważ zasady wielu krajów dotyczące protokołu uwierzytelniania poczty elektronicznej są nadal luźne i mogą naruszać ograniczenia Google i Yahoo.

1 lutego zarówno Google, jak i Yahoo zaczęły wymagać, aby wszystkie e-maile wysyłane do ich użytkowników miały możliwe do zweryfikowania rekordy Sender Policy Framework (SPF) i Domain Key Identified Mail (DKIM), natomiast nadawcy masowi – firmy wysyłające ponad 5,000 e-maili dziennie – muszą posiadać także ważny rekord raportowania i zgodności uwierzytelniania wiadomości w oparciu o domenę (DMARC).

Jeszcze, wiele organizacji ma opóźnienia w przyjęciu tych technologii, mimo że nie są one nowe. Istnieją jednak dwa znakomite wyjątki: Królestwo Arabii Saudyjskiej i Zjednoczone Emiraty Arabskie (ZEA).

W porównaniu do około trzech czwartych (73%) organizacji globalnych, około 90% organizacji w Arabii Saudyjskiej i 80% w Zjednoczonych Emiratach Arabskich wdrożyło najbardziej podstawową wersję DMARC, która – wraz z dwiema innymi specyfikacjami – sprawia, że ​​podszywanie się pod wiadomości e-mail jest znacznie łatwiejsze trudne dla napastników.

Ogólnie rzecz biorąc, kraje Bliskiego Wschodu przodują w przyjęciu DMARC. Około 80% członków indeksu Pan Arab Composite Index S&P prowadzi rygorystyczną politykę DMARC, która jest wyższa niż 100% indeksu FTSE72 i jeszcze wyższa niż 61% francuskiego indeksu CAC40, twierdzi Nadim Lahoud, wiceprezes ds. strategii i operacje dla Red Sift, firmy zajmującej się badaniem zagrożeń.

Czytaj więcej: Bliski Wschód liderem we wdrażaniu zabezpieczeń poczty e-mail DMARC

Związane z: Dane DMARC pokazują 75% wzrost liczby podejrzanych e-maili trafiających do skrzynek odbiorczych

Strategia cyberbezpieczeństwa wymaga współpracy CISO-CFO

Autor: Fahmida Y. Rashid, redaktor naczelny ds. funkcji, Dark Reading

Kwantyfikacja ryzyka cybernetycznego łączy wiedzę techniczną CISO i skupienie się dyrektora finansowego na skutkach finansowych, aby lepiej i lepiej zrozumieć, o co toczy się gra.

Ubezpieczenie cybernetyczne stało się normą w wielu organizacjach, a ponad połowa respondentów najnowszego strategicznego badania bezpieczeństwa przeprowadzonego przez Dark Reading stwierdziła, że ​​ich organizacje są objęte jakąś formą ubezpieczenia. Chociaż ubezpieczenia były zazwyczaj domeną zarządu i dyrektorów finansowych organizacji, techniczny charakter zagrożeń cybernetycznych oznacza, że ​​CISO jest coraz częściej proszone o włączenie się do dyskusji.

W ankiecie twierdzi tak 29%. ubezpieczenie cybernetyczne stanowi część szerszej polisy ubezpieczeniowej dla firm, a 28% twierdzi, że posiada polisę specjalnie na wypadek incydentów związanych z cyberbezpieczeństwem. Prawie połowa organizacji (46%) twierdzi, że posiada politykę obejmującą płatności za oprogramowanie ransomware.

„Zrozumienie tego, jak rozmawiać o ryzyku oraz jak nim zarządzać i je ograniczać, staje się obecnie coraz ważniejsze dla organizacji CISO” – mówi Monica Shokrai, dyrektor ds. ryzyka biznesowego i ubezpieczeń w Google Cloud, zauważając jednocześnie, że komunikowanie ryzyka w górę jest czymś, co Dyrektor finansowy „robi od zawsze”.

Zamiast próbować przekształcać CISO w „cyber-dyrektorów finansowych”, obie organizacje powinny współpracować w celu opracowania spójnej i zintegrowanej strategii dla zarządu, mówi.

Czytaj więcej: Strategia cyberbezpieczeństwa wymaga współpracy CISO-CFO

Związane z: Prywatność przewyższa oprogramowanie ransomware jako główny problem ubezpieczeniowy

Wskazówki dotyczące zarządzania różnorodnymi zespołami ds. bezpieczeństwa

Komentarz Gourava Nagara, starszego menedżera ds. operacji bezpieczeństwa, BILL

Im lepiej zespół ds. bezpieczeństwa współpracuje, tym większy bezpośredni wpływ na to, jak dobrze może chronić organizację.

Budowanie zespołu ochrony zaczyna się od zatrudnienia, ale gdy zespół zacznie współpracować, niezwykle ważne jest stworzenie wspólnego języka oraz zestawu oczekiwań i procesów. W ten sposób zespół może szybko osiągnąć wspólny cel i uniknąć nieporozumień w komunikacji.

Szczególnie w przypadku zróżnicowanych zespołów, w których celem jest, aby każda osoba wniosła odmienne doświadczenia, unikalne perspektywy i charakterystyczne sposoby rozwiązywania problemów, posiadanie wspólnych kanałów komunikacji w celu udostępniania aktualizacji i współpracy zapewnia członkom zespołu możliwość spędzania więcej czasu na tym, co kochają robić i nie martw się o dynamikę zespołu.

Oto trzy strategie osiągnięcia tego celu: Zatrudniaj ze względu na różnorodność i szybko dopasowuj się do kultury i procesów zespołu; buduj zaufanie każdej osoby w zespole; i pomóż członkom swojego zespołu budować karierę w cyberbezpieczeństwie i zachwycaj się innowacjami.

Oczywiście to od każdego z nas zależy, czy przejmiemy odpowiedzialność za własną karierę. Jako menedżerowie możemy o tym dobrze wiedzieć, ale nie wszyscy członkowie naszego zespołu mogą to wiedzieć. Naszą rolą jest przypominanie i zachęcanie każdego z nich do aktywnego uczenia się oraz podejmowania ról i obowiązków, które będą je ekscytować i pomogą w karierze.

Czytaj więcej: Wskazówki dotyczące zarządzania różnorodnymi zespołami ds. bezpieczeństwa

Związane z: Jak neuroróżnorodność może pomóc w uzupełnieniu niedoborów siły roboczej w zakresie cyberbezpieczeństwa

Znak czasu:

Więcej z Mroczne czytanie