CISO kotiček: Smernice NSA; študija primera SBOM za komunalno podjetje; Lava svetilke

Dobrodošli v CISO Corner, tedenski povzetek člankov Dark Reading, ki je posebej prilagojen bralcem varnostnih operacij in voditeljem varnosti. Vsak teden bomo ponudili članke, zbrane iz naših novic, The Edge, DR Technology, DR Global in našega razdelka s komentarji. Zavezani smo k predstavitvi raznolikega nabora perspektiv za podporo delu operacionalizacije strategij kibernetske varnosti za vodje v organizacijah vseh oblik in velikosti.

V tej številki CISO Corner:

Smernice NSA o ničelnem zaupanju se osredotočajo na segmentacijo

David Strom, sodelujoči pisec, Dark Reading

Arhitekture brez zaupanja so bistveni zaščitni ukrepi za sodobno podjetje. Najnovejše smernice NSA zagotavljajo podrobna priporočila o tem, kako implementirati omrežni kot koncepta.

Ameriška agencija za nacionalno varnost (NSA) je ta teden objavila svoje smernice za varnost omrežja brez zaupanja in ponudila bolj konkreten načrt za sprejetje brez zaupanja, kot smo ga vajeni. Pomembno prizadevanje je poskusiti premostiti vrzel med željo po konceptu in njegovim izvajanjem.

Dokument NSA vsebuje veliko priporočil o najboljših praksah brez zaupanja, vključno s temeljnim segmentiranjem omrežnega prometa na blokiranje nasprotnikov pri gibanju po omrežju in pridobivanje dostopa do kritičnih sistemov.

Predstavlja, kako je mogoče doseči nadzor segmentacije omrežja z nizom korakov, vključno s preslikavo in razumevanjem podatkovnih tokov ter izvajanjem programsko definiranega omrežja (SDN). Vsak korak bo zahteval precej časa in truda, da bomo razumeli, kateri deli poslovnega omrežja so ogroženi in kako jih najbolje zaščititi.

Dokument NSA prav tako razlikuje med segmentacijo makro in mikro omrežja. Prvi nadzoruje promet, ki poteka med oddelki ali delovnimi skupinami, tako da IT-delavec na primer nima dostopa do strežnikov in podatkov o človeških virih.

John Kindervag, ki je leta 2010, ko je bil analitik pri Forrester Research, prvi opredelil izraz "ničelno zaupanje", je pozdravil potezo NSA in opozoril, da je "zelo malo organizacij razumelo pomen nadzora varnosti omrežja pri izgradnji nič -okolja zaupanja in ta dokument je v veliki meri pripomogel k temu, da bi organizacije razumele svojo vrednost.«

Preberite več: Smernice NSA o ničelnem zaupanju se osredotočajo na segmentacijo

Povezano: NIST Cybersecurity Framework 2.0: 4 koraki za začetek

Ustvarjanje varnosti z naključnostjo

Andrada Fiscutean, sodelujoči pisec, Dark Reading

Kako lava svetilke, nihala in viseče mavrice varujejo internet.

Ko stopite v pisarno podjetja Cloudflare v San Franciscu, je prva stvar, ki jo opazite, stena lava svetilk. Obiskovalci se pogosto ustavijo, da posnamejo selfije, vendar je nenavadna instalacija več kot le umetniška izjava; je genialno varnostno orodje.

Spreminjajoči se vzorci, ki jih ustvarjajo lebdeče kapljice voska svetilk, pomagajo Cloudflare šifrirati internetni promet z ustvarjanjem naključnih števil. Naključna števila imajo različne uporabe v kibernetski varnosti, in igrajo ključno vlogo pri stvareh, kot je ustvarjanje gesel in kriptografskih ključev.

Cloudflarejev Wall of Entropy, kot je znano, ne uporablja ene, ampak 100 svetilk, njihova naključnost se poveča s človeškim gibanjem.

Cloudflare uporablja tudi dodatne vire fizične entropije za ustvarjanje naključnosti za svoje strežnike. »V Londonu imamo to neverjetno steno dvojnih nihal, v Austinu v Teksasu pa imamo te neverjetne mobilnike, ki visijo s stropa in se premikajo z zračnimi tokovi,« pravi John Graham-Cumming, tehnični direktor Cloudfare. Cloudflarejeva pisarna v Lizboni bo kmalu vsebovala namestitev, ki temelji na oceanu.

Druge organizacije imajo svoje vire entropije. Univerza v Čilu je na primer mešanici dodala seizmične meritve, medtem ko švicarski zvezni inštitut za tehnologijo uporablja lokalni generator naključnosti, ki je prisoten v vsakem računalniku na naslovu /dev/urandom, kar pomeni, da se zanaša na stvari, kot so pritiski tipkovnice, kliki miške in omrežni promet za ustvarjanje naključnosti. Kudelski Security je uporabil kriptografski generator naključnih števil, ki temelji na pretočni šifri ChaCha20.

Preberite več: Ustvarjanje varnosti z naključnostjo

Southern Company gradi SBOM za transformatorsko postajo

Kelly Jackson Higgins, glavna urednica, Dark Reading

Eksperiment programske opreme (SBOM) je namenjen vzpostavitvi močnejše varnosti dobavne verige — in strožje obrambe pred morebitnimi kibernetskimi napadi.

Energetski velikan Southern Company je letos sprožil eksperiment, ki se je začel s tem, da je njegova ekipa za kibernetsko varnost odpotovala v eno od svojih energetskih postaj Mississippi, da bi tam fizično katalogizirala opremo, posnela fotografije in zbrala podatke iz omrežnih senzorjev. Nato je prišel najbolj zastrašujoč – in včasih frustrirajoč – del: pridobivanje podrobnosti dobavne verige programske opreme od 17 prodajalcev, katerih 38 naprav poganja postajo.

Poslanstvo? Za popis vse strojne, programske in vdelane programske opreme v opremi, ki deluje v elektrarni v prizadevanju za ustvarjanje kosovnice programske opreme (SBOM) za spletno mesto operativne tehnologije (OT).

Pred projektom je imel Southern vpogled v svoja omrežna sredstva OT prek svoje platforme Dragos, vendar so bile podrobnosti o programski opremi uganka, je dejal Alex Waitkus, glavni arhitekt kibernetske varnosti pri Southern Company in vodja projekta SBOM.

"Nismo imeli pojma, katere različne različice programske opreme uporabljamo," je dejal. "Imeli smo več poslovnih partnerjev, ki so upravljali različne dele transformatorske postaje."

Preberite več: Southern Company gradi SBOM za transformatorsko postajo

Povezano: Izboljšana zlonamerna programska oprema PLC, podobna Stuxnetu, želi motiti kritično infrastrukturo

Kaj vodje kibernetske varnosti potrebujejo od svojih izvršnih direktorjev

Komentar Michaela Mestrovicha CISO, Rubrik

S pomočjo CEO-jem pri krmarjenju s pričakovanji, ki so jim naložena, lahko CEO svojim podjetjem zelo koristi.

Zdi se očitno: izvršni direktorji in njihovi glavni uradniki za informacijsko varnost (CISO) bi morali biti naravni partnerji. In vendar, glede na nedavno poročilo PwC, le 30 % CISO meni, da prejemajo zadostno podporo svojega izvršnega direktorja.

Kot da obramba njihovih organizacij pred slabimi akterji kljub proračunskim omejitvam in kroničnemu pomanjkanju talentov za kibernetsko varnost ne bi bila že dovolj težka, CISO se zdaj soočajo s kazenskimi obtožbami in regulativno jezo če naredijo napako pri odzivu na incident. Ni čudno, da Gartner napoveduje, da bo skoraj polovica vodij na področju kibernetske varnosti do leta 2025 zamenjala službo zaradi številnih stresnih dejavnikov, povezanih z delom.

Tu so štiri stvari, ki jih lahko izvršni direktorji storijo, da bi jim pomagali: zagotoviti, da ima CISO neposredno linijo z izvršnim direktorjem; imeti hrbet CISO; sodelovanje s CISO pri strategiji odpornosti; in se strinjajo o vplivu AI.

Izvršni direktorji, ki se zanašajo na to, ne delajo le prave stvari za svoje CISO, ampak svojim podjetjem zelo koristijo.

Preberite več: Kaj vodje kibernetske varnosti potrebujejo od svojih izvršnih direktorjev

Povezano: Vloga CISO je podvržena velikemu razvoju

Kako zagotoviti, da odprtokodni paketi niso kopenske mine

Avtor Agam Shah, sodelujoči pisec, Dark Reading

CISA in OpenSSF sta skupaj objavila nove smernice, ki priporočajo tehnične kontrole, da bi razvijalcem otežili vnos komponent zlonamerne programske opreme v kodo.

Odprtokodni repozitoriji so ključni za izvajanje in pisanje sodobnih aplikacij, lahko pa tudi vsebujejo zlonamerne, skrite kodne bombe, ki samo čaka na vključitev v aplikacije in storitve.

Da bi se izognili tem minam, sta Agencija za kibernetsko varnost in varnost infrastrukture (CISA) in Open Source Security Foundation (OpenSSF) izdali nove smernice za upravljanje odprtokodnega ekosistema.

Priporočajo uvedbo nadzora, kot je omogočanje večfaktorske avtentikacije za vzdrževalce projektov, zmogljivosti varnostnega poročanja tretjih oseb in opozorila za zastarele ali nevarne pakete, da bi zmanjšali izpostavljenost zlonamerni kodi in paketom, ki se v javnih repozitorijih predstavljajo kot odprtokodna koda.

Organizacije ignorirajo tveganje na lastno odgovornost: »Ko govorimo o zlonamernih paketih v zadnjem letu, smo opazili dvakratno povečanje v primerjavi s prejšnjimi leti,« je na konferenci OSFF povedala Ann Barron-DiCamillo, generalna direktorica in globalna vodja kibernetskih operacij pri Citi. pred nekaj meseci. "To postaja resničnost, povezana z našo razvojno skupnostjo."

Preberite več: Kako zagotoviti, da odprtokodni paketi niso kopenske mine

Povezano: Milijoni zlonamernih skladišč preplavijo GitHub

Bližnji vzhod vodi pri uvajanju e-poštne varnosti DMARC

Robert Lemos, sodelujoči pisec, Dark Reading

Kljub temu izzivi ostajajo, saj so politike številnih držav za protokol za preverjanje pristnosti e-pošte še vedno ohlapne in bi lahko bile v nasprotju z omejitvami Googla in Yahooja.

1. februarja sta tako Google kot Yahoo začela zahtevati, da mora vsa e-pošta, poslana njunim uporabnikom, imeti preverljive zapise o ogrodju pravilnika pošiljatelja (SPF) in DKIM (Domain Key Identified Mail), medtem ko morajo množični pošiljatelji – podjetja, ki pošiljajo več kot 5,000 e-poštnih sporočil na dan – imajo tudi veljaven zapis poročanja o preverjanju pristnosti sporočil in skladnosti (DMARC).

Še, številne organizacije zaostajajo pri sprejemanju teh tehnologij, kljub dejstvu, da niso nove. Obstajata pa dve svetli izjemi: Kraljevina Savdska Arabija in Združeni arabski emirati (ZAE).

V primerjavi s približno tremi četrtinami (73 %) svetovnih organizacij je približno 90 % organizacij v Savdski Arabiji in 80 % v ZAE implementiralo najosnovnejšo različico DMARC, ki – skupaj z drugima dvema specifikacijama – naredi lažno predstavljanje na podlagi e-pošte veliko bolj težko za napadalce.

Na splošno so države Bližnjega vzhoda v prednosti pri sprejemanju DMARC. Približno 80 % članov indeksa S&P Pan Arab Composite ima strogo politiko DMARC, kar je višje od 100 % indeksa FTSE72 in še vedno višje od 61 % francoskega indeksa CAC40, pravi Nadim Lahoud, podpredsednik za strategijo in operacije za Red Sift, podjetje za obveščanje o grožnjah.

Preberite več: Bližnji vzhod vodi pri uvajanju e-poštne varnosti DMARC

Povezano: Podatki DMARC kažejo 75-odstotno povečanje števila sumljivih e-poštnih sporočil, ki pridejo v mapo »Prejeto«.

Strategija kibernetskega zavarovanja zahteva sodelovanje CISO-CFO

Avtor: Fahmida Y. Rashid, glavni urednik, Features, Dark Reading

Kvantifikacija kibernetskega tveganja združuje tehnično strokovno znanje in izkušnje CISO in osredotočenost finančnega direktorja na finančni učinek za razvoj močnejšega in boljšega razumevanja, kaj je na kocki.

Kibernetsko zavarovanje je postalo pravilo za številne organizacije, pri čemer je več kot polovica anketirancev v zadnji raziskavi strateške varnosti Dark Reading izjavila, da imajo njihove organizacije neko obliko kritja. Medtem ko je bilo zavarovanje običajno domena upravnih odborov in finančnih direktorjev organizacije, tehnična narava kibernetskega tveganja pomeni, da se od CISO vse pogosteje zahteva, da sodeluje pri pogovoru.

V raziskavi pravi 29 % kibernetsko zavarovanje je del širše poslovne zavarovalne police, 28 % pa pravi, da imajo polico posebej za incidente kibernetske varnosti. Skoraj polovica organizacij (46 %) pravi, da imajo politiko, ki pokriva plačila izsiljevalske programske opreme.

"Kako govoriti o tveganju ter kako obvladovati in ublažiti tveganja, postaja zdaj veliko bolj pomembno, da jih razume organizacija CISO," pravi Monica Shokrai, vodja oddelka za poslovna tveganja in zavarovanje pri Google Cloud, medtem ko ugotavlja, da je komuniciranje tveganja navzgor nekaj, kar Finančni direktor je "počel večno."

Namesto da bi CISO poskušali spremeniti v "kibernetske finančne direktorje", bi morali organizaciji sodelovati pri razvoju skladne in integrirane strategije za upravni odbor, pravi.

Preberite več: Strategija kibernetskega zavarovanja zahteva sodelovanje CISO-CFO

Podobni: Zasebnost premaga izsiljevalsko programsko opremo kot največjo zavarovalniško skrb

Nasveti za vodenje različnih varnostnih ekip

Komentar Gourava Nagarja, višjega vodje varnostnih operacij, BILL

Bolje ko varnostna ekipa sodeluje, večji je neposreden vpliv na to, kako dobro lahko zaščiti organizacijo.

Oblikovanje varnostne ekipe se začne z najemom, a ko ekipa začne sodelovati, je ključnega pomena ustvariti skupni jezik ter nabor pričakovanj in procesov. Na ta način lahko ekipa hitro deluje v smeri skupnega cilja in se izogne ​​napačni komunikaciji.

Zlasti za raznolike ekipe, kjer je cilj, da vsaka oseba prinese svoje različne izkušnje, edinstvene perspektive in značilne načine reševanja problemov, skupni komunikacijski kanali za izmenjavo posodobitev in sodelovanje zagotavljajo, da lahko člani ekipe porabijo več časa za to, kar radi počnejo. in ne skrbite za timsko dinamiko.

Tu so tri strategije za dosego tega cilja: Zaposlite zaradi raznolikosti in se hitro uskladite s skupinsko kulturo in procesi; ustvariti zaupanje za vsako osebo v ekipi; in pomagajte članom svoje ekipe zgraditi kariero na področju kibernetske varnosti in ostati navdušeni nad inovacijami.

Seveda pa je odvisno od vsakega izmed nas, ali bo lastno kariero prevzel v svoje roke. Kot menedžerji se tega morda dobro zavedamo, ne morejo pa vsi člani naše ekipe. Naša vloga je spomniti in spodbuditi vsakega izmed njih, da se aktivno uči in opravlja vloge in odgovornosti, ki jih bodo navdušile in jim pomagale pri njihovi karieri.

Preberite več: Nasveti za vodenje različnih varnostnih ekip

Povezano: Kako lahko nevrodiverziteta pomaga zapolniti pomanjkanje delovne sile za kibernetsko varnost

• Distribucija vsebine in PR s pomočjo SEO. Okrepite se še danes.
• PlatoData.Network Vertical Generative Ai. Opolnomočite se. Dostopite tukaj.
• PlatoAiStream. Web3 Intelligence. Razširjeno znanje. Dostopite tukaj.
• PlatoESG. Ogljik, CleanTech, Energija, Okolje, sončna energija, Ravnanje z odpadki. Dostopite tukaj.
• PlatoHealth. Obveščanje o biotehnologiji in kliničnih preskušanjih. Dostopite tukaj.
• vir: https://www.darkreading.com/cybersecurity-operations/ciso-corner-nsa-guidelines-utility-sbom-case-study-lava-lamps