CISO Köşesi: NSA Yönergeleri; Faydalı SBOM Vaka Çalışması; Lav Lambaları

Dark Reading'in özellikle güvenlik operasyonları okuyucuları ve güvenlik liderleri için hazırlanmış haftalık makale özeti olan CISO Corner'a hoş geldiniz. Her hafta haber operasyonumuz The Edge, DR Technology, DR Global ve Yorumlar bölümümüzden derlenen makaleleri sunacağız. Her şekil ve büyüklükteki kuruluştaki liderler için siber güvenlik stratejilerini operasyonel hale getirme işini desteklemek amacıyla çeşitli perspektifler sunmaya kendimizi adadık.

CISO Corner'ın bu sayısında:

NSA'nın Sıfır Güven Yönergeleri Segmentasyona Odaklanıyor

Yazan: David Strom, Katkıda Bulunan Yazar, Dark Reading

Sıfır güven mimarileri modern işletmeler için temel koruyucu önlemlerdir. En son NSA kılavuzu, konseptin ağ oluşturma açısının nasıl uygulanacağına dair ayrıntılı öneriler sunuyor.

ABD Ulusal Güvenlik Ajansı (NSA), bu hafta sıfır güven ağ güvenliğine ilişkin yönergelerini sunarak, sıfır güvenin benimsenmesine yönelik görmeye alışık olduğumuzdan daha somut bir yol haritası sundu. Kavramın arzu edilmesi ile uygulanması arasındaki boşluğu doldurmaya çalışmak önemli bir çabadır.

NSA belgesi, temel olarak ağ trafiğini rakiplerin ağda hareket etmesini engellemek ve kritik sistemlere erişim kazanmak.

Veri akışlarının haritalanması ve anlaşılması ve yazılım tanımlı ağ oluşturmanın (SDN) uygulanması da dahil olmak üzere bir dizi adımla ağ bölümlendirme kontrollerinin nasıl gerçekleştirilebileceği açıklanmaktadır. Bir iş ağının hangi bölümlerinin risk altında olduğunu ve bunların en iyi şekilde nasıl korunacağını anlamak için her adım önemli ölçüde zaman ve çaba gerektirecektir.

NSA belgesi ayrıca makro ve mikro ağ segmentasyonu arasında da ayrım yapıyor. İlki, departmanlar veya çalışma grupları arasında hareket eden trafiği kontrol eder; böylece bir BT çalışanının, örneğin insan kaynakları sunucularına ve verilerine erişimi olmaz.

2010 yılında Forrester Research'te analist olarak görev yaptığı sırada "sıfır güven" terimini ilk tanımlayan kişi olan John Kindervag, NSA'nın bu hamlesini memnuniyetle karşıladı ve şuna dikkat çekti: "Çok az kuruluş sıfır güven oluşturmada ağ güvenliği kontrollerinin önemini anlamıştır." - ortamlara güvenin ve bu belge, kuruluşların kendi değerlerini anlamalarına yardımcı olma konusunda uzun bir yol kat ediyor."

Daha fazla oku: NSA'nın Sıfır Güven Yönergeleri Segmentasyona Odaklanıyor

İlgili: NIST Siber Güvenlik Çerçevesi 2.0: Başlamak İçin 4 Adım

Rastgelelik Yoluyla Güvenlik Oluşturma

Yazan: Andrada Fiscutean, Katkıda Bulunan Yazar, Dark Reading

Lav lambaları, sarkaçlar ve asılı gökkuşakları İnternet'i nasıl güvende tutuyor?

Cloudflare'in San Francisco ofisine girdiğinizde ilk fark ettiğiniz şey lav lambalarından oluşan bir duvardır. Ziyaretçiler sık ​​sık selfie çekmek için duruyor ancak bu tuhaf enstalasyon sanatsal bir ifadeden çok daha fazlası; ustaca bir güvenlik aracıdır.

Lambaların yüzen balmumu damlacıklarının yarattığı değişen desenler, Cloudflare'in rastgele sayılar üreterek internet trafiğini şifrelemesine yardımcı oluyor. Rastgele sayıların siber güvenlikte çeşitli kullanımları vardırve şifreler ve kriptografik anahtarlar oluşturma gibi konularda çok önemli bir rol oynarlar.

Cloudflare'in Entropi Duvarı bilindiği gibi bir değil 100 lamba kullanıyor, bunların rastgeleliği insan hareketiyle artıyor.

Cloudflare ayrıca sunucuları için rastgelelik yaratmak amacıyla ek fiziksel entropi kaynakları kullanır. Cloudfare CTO'su John Graham-Cumming, "Londra'da çift sarkaçlardan oluşan inanılmaz bir duvarımız var ve Austin, Teksas'ta tavandan sarkan ve hava akımlarıyla hareket eden inanılmaz cep telefonlarımız var" diyor. Cloudflare'in Lizbon'daki ofisinde yakında "okyanusu temel alan" bir kurulum yer alacak.

Diğer kuruluşların kendi entropi kaynakları vardır. Örneğin Şili Üniversitesi sismik ölçümleri de karışıma eklerken, İsviçre Federal Teknoloji Enstitüsü her bilgisayarda /dev/urandom adresinde bulunan yerel rastgelelik oluşturucuyu kullanıyor; bu da klavye basımı, fare tıklaması gibi şeylere dayandığı anlamına geliyor ve rastgelelik oluşturmak için ağ trafiği. Kudelski Security, ChaCha20 akış şifresini temel alan bir kriptografik rastgele sayı üreteci kullanmıştır.

Daha fazla oku: Rastgelelik Yoluyla Güvenlik Oluşturma

Southern Company Elektrik Trafo Merkezi için SBOM İnşa Ediyor

Yazan: Kelly Jackson Higgins, Genel Yayın Yönetmeni, Dark Reading

Şirketin yazılım malzeme listesi (SBOM) deneyi, daha güçlü tedarik zinciri güvenliği ve olası siber saldırılara karşı daha sıkı savunma oluşturmayı amaçlıyor.

Enerji devi Southern Company, bu yıl siber güvenlik ekibinin Mississippi Enerji trafo merkezlerinden birine giderek oradaki ekipmanı fiziksel olarak kataloglamak, fotoğraf çekmek ve ağ sensörlerinden veri toplamak üzere bir deney başlattı. Daha sonra en korkutucu ve bazen de sinir bozucu kısım geldi: trafo merkezini çalıştıran 17 cihazı olan 38 tedarikçiden yazılım tedarik zinciri ayrıntılarının alınması.

Görev? İle Enerji santralinde çalışan ekipmanlardaki tüm donanım, yazılım ve donanım yazılımının envanterini çıkarın operasyonel teknoloji (OT) sitesi için bir yazılım malzeme listesi (SBOM) oluşturma çabası içinde.

Southern Company'nin baş siber güvenlik mimarı ve SBOM projesi başkanı Alex Waitkus, projeden önce Southern'in Dragos platformu aracılığıyla OT ağ varlıklarına ilişkin görünürlüğe sahip olduğunu ancak yazılım ayrıntılarının bir muamma olduğunu söyledi.

"Çalıştırdığımız farklı yazılım sürümleri hakkında hiçbir fikrimiz yoktu" dedi. "Trafo merkezinin farklı bölümlerini yöneten birden fazla iş ortağımız vardı."

Daha fazla oku: Southern Company Elektrik Trafo Merkezi için SBOM İnşa Ediyor

İlgili: Geliştirilmiş Stuxnet Benzeri PLC Kötü Amaçlı Yazılım Kritik Altyapıyı Bozmayı Amaçlıyor

Siber Güvenlik Şeflerinin CEO'larından Neleri İstiyor?

Michael Mestrovich CISO, Rubrik'in yorumu

CEO'lar, CISO'ların omuzlarına yüklenen beklentileri yönlendirmelerine yardımcı olarak şirketlerine büyük fayda sağlayabilir.

Açık görünüyor: CEO'lar ve onların baş bilgi güvenliği görevlileri (CISO'lar) doğal ortaklar olmalıdır. Ancak yakın tarihli bir PwC raporuna göre CISO'ların yalnızca %30'u CEO'larından yeterli destek aldıklarını düşünüyor.

Sanki bütçe kısıtlamalarına ve kronik siber güvenlik yeteneği eksikliğine rağmen kuruluşlarını kötü aktörlerden korumak yeterince zor değilmiş gibi, CISO'lar artık cezai suçlamalarla ve düzenleyici gazapla karşı karşıya olaya müdahalede hata yaparlarsa. Gartner'ın, siber güvenlik liderlerinin neredeyse yarısının işle ilgili stres etkenleri nedeniyle 2025 yılına kadar işlerini değiştireceğini öngörmesi hiç de şaşırtıcı değil.

İşte CEO'ların yardımcı olmak için yapabileceği dört şey: CISO'nun CEO ile doğrudan bir hattı olduğundan emin olun; CISO'nun arkasında olun; Bir dayanıklılık stratejisi üzerinde CISO ile birlikte çalışın; ve yapay zekanın etkisi konusunda hemfikiriz.

Bunları kullanan CEO'lar sadece CISO'ları için doğru olanı yapmakla kalmıyor, aynı zamanda şirketlerine de büyük fayda sağlıyor.

Daha fazla oku: Siber Güvenlik Şeflerinin CEO'larından Neleri İstiyor?

İlgili: CISO Rolü Büyük Bir Evrim Geçiriyor

Açık Kaynak Paketlerinin Kara Mayını Olmadığından Nasıl Emin Olulur?

Yazan: Agam Shah, Katkıda Bulunan Yazar, Dark Reading

CISA ve OpenSSF ortaklaşa, geliştiricilerin kötü amaçlı yazılım bileşenlerini koda getirmesini zorlaştıracak teknik kontroller öneren yeni kılavuz yayınladı.

Açık kaynak depoları, modern uygulamaları çalıştırmak ve yazmak için kritik öneme sahiptir, ancak aynı zamanda şunları da içerebilir: Kötü niyetli, gizlenen kod bombaları, uygulamalara ve hizmetlere dahil edilmeyi bekliyor.

Bu kara mayınlarından kaçınmaya yardımcı olmak için Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) ve Açık Kaynak Güvenlik Vakfı (OpenSSF), açık kaynak ekosisteminin yönetimine yönelik yeni yönergeler yayınladı.

Proje sorumluları için çok faktörlü kimlik doğrulamanın etkinleştirilmesi, üçüncü taraf güvenlik raporlama yetenekleri ve kötü amaçlı kodlara ve kamuya açık depolarda açık kaynak kodu gibi görünen paketlere maruz kalmanın azaltılmasına yardımcı olmak için güncel olmayan veya güvenli olmayan paketlere yönelik uyarılar gibi kontrollerin uygulanmasını öneriyorlar.

Kuruluşlar, kendilerini tehlikeye atan riski görmezden geliyor: OSFF konferansında Citi'nin genel müdürü ve küresel siber operasyonlar başkanı Ann Barron-DiCamillo, "Geçen yıl kötü amaçlı paketlerden bahsederken, önceki yıllara göre iki kat artış gördük" dedi. birkaç ay önce. “Bu, kalkınma topluluğumuzla ilişkili bir gerçeklik haline geliyor.”

Daha fazla oku: Açık Kaynak Paketlerinin Kara Mayını Olmadığından Nasıl Emin Olulur?

İlgili: Milyonlarca Kötü Amaçlı Depo GitHub'u Taşıyor

Orta Doğu, DMARC E-posta Güvenliğinin Dağıtımında Liderlik Ediyor

Yazan: Robert Lemos, Katkıda Bulunan Yazar, Dark Reading

Ancak birçok ülkenin e-posta kimlik doğrulama protokolüne ilişkin politikaları gevşek kaldığından ve Google ile Yahoo'nun kısıtlamalarına ters düşebileceğinden zorluklar devam ediyor.

1 Şubat'ta hem Google hem de Yahoo, kullanıcılarına gönderilen tüm e-postaların doğrulanabilir Gönderici Politikası Çerçevesi (SPF) ve Alan Anahtarı Tanımlı Posta (DKIM) kayıtlarına sahip olmasını zorunlu hale getirirken, toplu gönderenlerin (günde 5,000'den fazla e-posta gönderen şirketler) bu kayıtlara sahip olması zorunlu kılındı. ayrıca geçerli bir Etki Alanı Tabanlı Mesaj Kimlik Doğrulama Raporlaması ve Uygunluğu (DMARC) kaydına sahip olmanız gerekir.

Bununla birlikte, birçok kuruluş benimsemede gecikiyor Yeni olmasalar da bu teknolojilerin. Ancak ortada iki parlak istisna var: Suudi Arabistan Krallığı ve Birleşik Arap Emirlikleri (BAE).

Küresel kuruluşların yaklaşık dörtte üçü (%73) ile karşılaştırıldığında, Suudi Arabistan'daki kuruluşların yaklaşık %90'ı ve BAE'deki kuruluşların %80'i, diğer iki spesifikasyonla birlikte e-posta tabanlı kimliğe bürünmeyi çok daha fazla hale getiren DMARC'nin en temel sürümünü uygulamıştır. Saldırganlar için zor.

Genel olarak Orta Doğu ülkeleri DMARC'ı benimseme konusunda öndedir. Stratejiden sorumlu başkan yardımcısı Nadim Lahoud'a göre, S&P'nin Pan Arab Bileşik Endeksi üyelerinin yaklaşık %80'i katı bir DMARC politikasına sahip; bu oran FTSE100'ün %72'sinden ve Fransa'nın CAC61 endeksinin %40'inden daha yüksek. Bir tehdit istihbarat firması olan Red Sift'in operasyonları.

Daha fazla oku: Orta Doğu, DMARC E-posta Güvenliğinin Dağıtımında Liderlik Ediyor

İlgili: DMARC Verileri, Gelen Kutularına Gelen Şüpheli E-postalarda %75 Artış Gösteriyor

Siber Sigorta Stratejisi CISO-CFO İşbirliğini Gerektiriyor

Yazan: Fahmida Y. Rashid, Genel Yayın Yönetmeni, Özellikler, Dark Reading

Siber risk ölçümü, neyin tehlikede olduğuna dair daha güçlü ve daha iyi bir anlayış geliştirmek için CISO'nun teknik uzmanlığını ve CFO'nun finansal etkiye odaklanmasını bir araya getirir.

Siber sigorta birçok kuruluş için norm haline geldi; Dark Reading'in en son Stratejik Güvenlik Araştırması'na katılanların yarısından fazlası kuruluşlarının bir tür kapsama sahip olduğunu söylüyor. Sigorta genellikle kuruluşun yönetim kurulunun ve CFO'larının alanı olsa da siber riskin teknik doğası, CISO'dan giderek daha fazla görüşmenin bir parçası olmasının istendiği anlamına geliyor.

Ankette yüzde 29 şunu söylüyor: siber sigorta kapsamı daha geniş bir işletme sigortası poliçesinin parçası ve %28'i özellikle siber güvenlik olaylarına yönelik bir poliçeye sahip olduklarını söylüyor. Kuruluşların neredeyse yarısı (%46) fidye yazılımı ödemelerini kapsayan bir politikaları olduğunu söylüyor.

Google Cloud iş riski ve sigorta başkanı Monica Shokrai, "Risk hakkında nasıl konuşulacağı ve risklerin nasıl yönetilip azaltılacağı artık CISO organizasyonunun anlaması için çok daha önemli hale geliyor" diyor ve riskin yukarıya doğru iletilmesinin önemli bir şey olduğunu belirtiyor. CFO "sonsuza kadar yapıyor".

CISO'ları "siber CFO'lara" dönüştürmeye çalışmak yerine, iki kuruluşun yönetim kurulu için tutarlı ve entegre bir strateji geliştirmek üzere birlikte çalışması gerektiğini söylüyor.

Daha fazla oku: Siber Sigorta Stratejisi CISO-CFO İşbirliğini Gerektiriyor

İlgili bağlantılar: Gizlilik, En Önemli Sigorta Sorunu Olarak Fidye Yazılımını Geride Bırakıyor

Çeşitli Güvenlik Ekiplerini Yönetmeye İlişkin İpuçları

BILL Güvenlik Operasyonları Kıdemli Müdürü Gourav Nagar'ın yorumu

Bir güvenlik ekibi birlikte ne kadar iyi çalışırsa, organizasyonu ne kadar iyi koruyabileceği üzerindeki doğrudan etki de o kadar büyük olur.

Bir güvenlik ekibi oluşturmak işe alımla başlarancak ekip birlikte çalışmaya başladıktan sonra ortak bir dil, bir dizi beklenti ve süreç oluşturmak kritik öneme sahiptir. Bu şekilde ekip ortak bir hedefe doğru hızlı bir şekilde çalışabilir ve yanlış iletişimden kaçınabilir.

Özellikle amacın her bir kişinin farklı deneyimlerini, benzersiz bakış açılarını ve farklı sorun çözme yollarını sunması olan çeşitliliğe sahip ekipler için, güncellemeleri paylaşmak ve işbirliği yapmak için ortak iletişim kanallarına sahip olmak, ekip üyelerinin yapmayı sevdikleri şeye daha fazla zaman ayırabilmelerini sağlar. ve takım dinamikleri konusunda endişelenmeyin.

İşte bu hedefe ulaşmak için üç strateji: Çeşitlilik için işe alım yapın ve ekip kültürü ve süreçlerine hızla uyum sağlayın; ekipteki her bir kişi için güven yaratmak; Ekip üyelerinizin siber güvenlik alanında kariyer yapmalarına ve yenilik konusunda heyecan duymalarına yardımcı olun.

Tabii ki, her birimizin kendi kariyerimizin sorumluluğunu üstlenmesi gerekiyor. Yöneticiler olarak bunu çok iyi biliyor olabiliriz ancak tüm ekip üyelerimiz bunu bilmiyor. Bizim rolümüz, her birine onları heyecanlandıracak ve kariyerlerinde yardımcı olacak rol ve sorumlulukları aktif olarak öğrenmelerini ve takip etmelerini hatırlatmak ve teşvik etmektir.

Daha fazla oku: Çeşitli Güvenlik Ekiplerini Yönetmeye İlişkin İpuçları

İlgili: Nöroçeşitlilik Siber Güvenlik İşgücü Eksikliğini Doldurmaya Nasıl Yardımcı Olabilir?

• SEO Destekli İçerik ve Halkla İlişkiler Dağıtımı. Bugün Gücünüzü Artırın.
• PlatoData.Network Dikey Üretken Yapay Zeka. Kendine güç ver. Buradan Erişin.
• PlatoAiStream. Web3 Zekası. Bilgi Genişletildi. Buradan Erişin.
• PlatoESG. karbon, temiz teknoloji, Enerji, Çevre, Güneş, Atık Yönetimi. Buradan Erişin.
• PlatoSağlık. Biyoteknoloji ve Klinik Araştırmalar Zekası. Buradan Erişin.
• Kaynak: https://www.darkreading.com/cybersecurity-operations/ciso-corner-nsa-guidelines-utility-sbom-case-study-lava-lamps