CISO 角：NSA 指南；公用事业 SBOM 案例研究；熔岩灯

欢迎来到 CISO Corner，这是专门为安全运营读者和安全领导者量身定制的每周文章摘要。每周，我们都会提供从我们的新闻运营、The Edge、DR Technology、DR Global 和我们的评论部分收集的文章。我们致力于为各种类型和规模的组织的领导者提供多样化的观点，以支持实施网络安全战略的工作。

本期 CISO 角：

美国国家安全局的零信任准则侧重于细分

作者：David Strom，《Dark Reading》特约作家

零信任架构是现代企业必不可少的保护措施。美国国家安全局最新指南提供了有关如何实施该概念的网络角度的详细建议。

美国国家安全局 (NSA) 本周发布了零信任网络安全指南，提供了比我们以往看到的更具体的零信任采用路线图。试图弥合这一概念的愿望和实施之间的差距是一项重要的努力。

美国国家安全局文件包含大量关于零信任最佳实践的建议，包括从根本上将网络流量分段以 阻止对手在网络中移动 并获得对关键系统的访问权限。

它介绍了如何通过一系列步骤来完成网络分段控制，包括映射和理解数据流以及实施软件定义网络 (SDN)。每个步骤都需要花费大量的时间和精力来了解业务网络的哪些部分面临风险以及如何最好地保护它们。

美国国家安全局文件还区分了宏观网络分段和微观网络分段。前者控制部门或工作组之间的流量，因此 IT 工作人员无法访问人力资源服务器和数据等。

John Kindervag 于 2010 年首次定义了“零信任”一词，当时他还是 Forrester Research 的分析师，他对 NSA 的举措表示欢迎，并指出“很少有组织了解网络安全控制在构建零信任方面的重要性”。 -信任环境，这份文件对于帮助组织了解其价值大有帮助。”

了解更多： 美国国家安全局的零信任准则侧重于细分

相关新闻： NIST 网络安全框架 2.0：4 个入门步骤

通过随机性创造安全性

作者：Andrada Fiscutean，《Dark Reading》特约作家

熔岩灯、钟摆和悬挂彩虹如何保证互联网安全。

当您走进 Cloudflare 旧金山办公室时，您首先注意到的是一堵熔岩灯墙。游客经常停下来自拍，但这个奇特的装置不仅仅是一种艺术表达；这是一个巧妙的安全工具。

灯的漂浮蜡滴产生的变化模式有助于 Cloudflare 通过生成随机数来加密互联网流量。 随机数在网络安全中有多种用途，并在创建密码和加密密钥等方面发挥着至关重要的作用。

众所周知，Cloudflare 的熵墙使用的不是一盏灯，而是 100 盏灯，它们的随机性因人类运动而增加。

Cloudflare 还使用额外的物理熵源为其服务器创建随机性。 Cloudfare 首席技术官 John Graham-Cumming 表示：“在伦敦，我们有令人难以置信的双摆墙，在德克萨斯州奥斯汀，我们有这些令人难以置信的移动设备悬挂在天花板上并随气流移动。” Cloudflare 位于里斯本的办公室很快将推出“基于海洋”的装置。

其他组织有自己的熵源。例如，智利大学在混合中添加了地震测量，而瑞士联邦理工学院则使用 /dev/urandom 上每台计算机上的本地随机生成器，这意味着它依赖于键盘按下、鼠标点击等操作和网络流量来生成随机性。 Kudelski Security 使用了基于 ChaCha20 流密码的加密随机数生成器。

了解更多： 通过随机性创造安全性

南方公司为变电站建造SBOM

作者：Kelly Jackson Higgins，Dark Reading 主编

该公用事业公司的软件物料清单 (SBOM) 实验旨在建立更强大的供应链安全性，并更严格地防御潜在的网络攻击。

能源巨头南方公司今年启动了一项实验，首先其网络安全团队前往密西西比州的一个变电站对那里的设备进行物理编目，拍摄照片并从网络传感器收集数据。接下来是最令人畏惧（有时甚至令人沮丧）的部分：从运行变电站的 17 台设备的 38 家供应商那里获取软件供应链详细信息。

使命？到 清点发电厂运行设备中的所有硬件、软件和固件 努力为运营技术 (OT) 站点创建软件物料清单 (SBOM)。

Southern 公司首席网络安全架构师兼 SBOM 项目负责人 Alex Waitkus 表示，在该项目之前，Southern 通过其 Dragos 平台了解了其 OT 网络资产，但软件细节是一个谜。

“我们不知道我们运行的软件有哪些不同版本，”他说。 “我们有多个业务合作伙伴，他们管理着变电站的不同部分。”

了解更多： 南方公司为变电站建造SBOM

相关新闻： 改进后的类似 Stuxnet 的 PLC 恶意软件旨在破坏关键基础设施

网络安全主管需要首席执行官提供什么

Rubrik 首席信息安全官 Michael Mestrovich 的评论

通过帮助首席信息安全官应对肩上的期望，首席执行官可以使他们的公司受益匪浅。

显而易见：首席执行官及其首席信息安全官 (CISO) 应该是天然的合作伙伴。然而，根据普华永道最近的一份报告，只有 30% 的 CISO 认为他们从首席执行官那里得到了足够的支持。

尽管预算有限且网络安全人才长期短缺，但保护组织免受不良行为者的侵害似乎还不够困难， CISO 现在面临刑事指控和监管愤怒 如果他们在事件响应中犯了错误。难怪 Gartner 预测，到 2025 年，近一半的网络安全领导者将因多种工作相关压力因素而更换工作。

首席执行官可以做以下四件事来提供帮助： 确保 CISO 与首席执行官有直接联系；有 CISO 的支持；与 CISO 合作制定弹性策略；并就人工智能的影响达成一致。

致力于这些的首席执行官不仅为他们的 CISO 做了正确的事情，而且还使他们的公司受益匪浅。

了解更多： 网络安全主管需要首席执行官提供什么

相关新闻： CISO 角色经历重大演变

如何确保开源软件包不是地雷

作者：Agam Shah，《Dark Reading》特约作家

CISA 和 OpenSSF 联合发布了新指南，建议采用技术控制措施，使开发人员更难将恶意软件组件带入代码中。

开源存储库对于运行和编写现代应用程序至关重要，但它们也可以包含 恶意、潜伏的代码炸弹，等待合并到应用程序和服务中。

为了帮助避免这些地雷，网络安全和基础设施安全局 (CISA) 和开源安全基金会 (OpenSSF) 发布了管理开源生态系统的新指南。

他们建议实施控制措施，例如为项目维护人员启用多因素身份验证、第三方安全报告功能以及对过时或不安全的软件包发出警告，以帮助减少暴露在公共存储库上的恶意代码和伪装成开源代码的软件包。

组织若忽视这一风险，后果自负：花旗董事总经理兼全球网络运营主管安·巴伦-迪卡米洛 (Ann Barron-DiCamillo) 在 OSFF 会议上表示：“谈到去年的恶意软件包，我们看到恶意软件包比前几年增加了一倍。”几个月前。 “这正在成为我们开发社区的现实。”

了解更多： 如何确保开源软件包不是地雷

相关新闻： 数以百万计的恶意存储库淹没 GitHub

中东在 DMARC 电子邮件安全部署方面处于领先地位

作者：Robert Lemos，《Dark Reading》特约作家

然而，挑战依然存在，因为许多国家的电子邮件身份验证协议政策仍然宽松，并且可能违反谷歌和雅虎的限制。

1 月 5,000 日，Google 和 Yahoo 开始强制要求发送给用户的所有电子邮件都必须具有可验证的发件人策略框架 (SPF) 和域密钥识别邮件 (DKIM) 记录，而批量发件人（每天发送超过 XNUMX 封电子邮件的公司）必须还具有有效的基于域的消息身份验证报告和一致性 (DMARC) 记录。

然而， 许多组织在采用方面滞后 这些技术，尽管它们并不是新技术。不过，有两个例外：沙特阿拉伯王国和阿拉伯联合酋长国（阿联酋）。

与约四分之三 (73%) 的全球组织相比，沙特阿拉伯约 90% 的组织和阿联酋 80% 的组织实施了最基本的 DMARC 版本，该版本与其他两个规范一起使基于电子邮件的模拟更加容易对于攻击者来说很困难。

总体而言，中东国家在采用 DMARC 方面处于领先地位。标准普尔泛阿拉伯综合指数中约有 80% 的成员实行严格的 DMARC 政策，该比例高于 FTSE100 指数的 72%，也高于法国 CAC61 指数的 40%，战略和副总裁纳迪姆·拉胡德 (Nadim Lahoud) 表示。威胁情报公司 Red Sift 的运营。

了解更多： 中东在 DMARC 电子邮件安全部署方面处于领先地位

相关新闻： DMARC 数据显示，进入收件箱的可疑电子邮件增加了 75%

网络保险战略需要 CISO-CFO 合作

作者：Fahmida Y. Rashid，《暗读》专题总编辑

网络风险量化将 CISO 的技术专业知识和 CFO 对财务影响的关注结合在一起，以更深入、更好地了解所面临的风险。

网络保险已成为许多组织的常态，在 Dark Reading 最新的战略安全调查中，超过一半的受访者表示他们的组织拥有某种形式的保险。虽然保险通常是组织董事会和首席财务官的职责范围，但网络风险的技术性质意味着 CISO 越来越多地被要求参与对话。

在调查中，29%的人表示 网络保险范围 是更广泛的商业保险政策的一部分，28% 的人表示他们有专门针对网络安全事件的政策。近一半的组织 (46%) 表示他们有涵盖勒索软件付款的政策。

Google Cloud 业务风险和保险主管 Monica Shokrai 表示：“对于 CISO 组织来说，如何谈论风险以及如何管理和降低风险现在变得更加重要。”同时指出，向上传达风险是最重要的事情。 CFO 一直在“永远做事”。

她表示，这两个组织不应试图将 CISO 转变为“网络首席财务官”，而应共同努力为董事会制定连贯且综合的战略。

了解更多： 网络保险战略需要 CISO-CFO 合作

相关: 隐私击败勒索软件成为最受保险关注的问题

管理多元化安全团队的技巧

BILL 安全运营高级经理 Gourav Nagar 的评论

安全团队合作得越好，对其保护组织的直接影响就越大。

建立安全团队从招聘开始，但是一旦团队开始合作，创建一种共同语言以及一组期望和流程就至关重要。这样，团队就可以快速实现共同目标，并避免沟通不畅。

特别是对于多元化的团队，其目标是让每个人带来不同的经验、独特的观点和独特的解决问题的方式，拥有共同的沟通渠道来共享更新和协作可确保团队成员可以将更多时间花在他们喜欢做的事情上不用担心团队动力。

以下是实现这一目标的三个策略： 招聘多元化并快速调整团队文化和流程；为团队中的每个人建立信任；帮助您的团队成员建立网络安全职业生涯并保持创新热情。

当然，我们每个人都应该掌握自己的职业生涯。作为管理者，我们可能很清楚这一点，但并非所有团队成员都知道。我们的作用是提醒和鼓励他们每个人积极学习并追求角色和责任，这将使他们保持兴奋并帮助他们的职业生涯。

了解更多： 管理多元化安全团队的技巧

相关新闻： 神经多样性如何帮助填补网络安全劳动力短缺

• SEO 支持的内容和 PR 分发。 今天得到放大。
• PlatoData.Network 垂直生成人工智能。 赋予自己力量。 访问这里。
• 柏拉图爱流。 Web3 智能。 知识放大。 访问这里。
• 柏拉图ESG。 碳， 清洁科技, 能源， 环境， 太阳能， 废物管理。 访问这里。
• 柏拉图健康。 生物技术和临床试验情报。 访问这里。
• Sumber: https://www.darkreading.com/cybersecurity-operations/ciso-corner-nsa-guidelines-utility-sbom-case-study-lava-lamps