In wat misschien thuishoort in de categorie “beter laat dan nooit”, voeren de Amerikaanse overheid en de computerindustrie hun inspanningen op om schijnbaar op hol geslagen cyberbeveiligingsproblemen aan te pakken.
Op vrijdag kondigde het Department of Homeland Security aan dat zijn Cyber Safety Review Board (CSRB) een onderzoek zal uitvoeren naar cloudbeveiliging waarbij sprake is van kwaadwillige aanvallen op cloudomgevingen.
Het initiatief zal zich richten op het doen van aanbevelingen voor de overheid, de industrie en cloudserviceproviders (CSP’s) om identiteitsbeheer en authenticatie in de cloud te verbeteren.
De eerste inspanningen zullen de Microsoft-cloudhack van vorige maand bekijken, waarbij onderzoekers ontdekten dat Chinese hackers authenticatietokens vervalsten met behulp van een gestolen Azure Active Directory-ondertekeningssleutel om in te breken in M365-e-mailinboxen. De hack leidde tot de diefstal van e-mails van ongeveer 25 organisaties.
Het bestuur zal zich vervolgens uitbreiden naar kwesties die te maken hebben met op de cloud gebaseerde identiteits- en authenticatie-infrastructuur die van invloed is op toepasselijke CSP’s en hun klanten. Dit deel van de beoordeling heeft mogelijk een nog grotere betekenis bij het oplossen van kapotte cyberbeveiligingsprocessen.
VS verbetert cloudbeveiligingsmaatregelen
De rol van het CSRB is om significante incidenten en kwetsbaarheden in ecosystemen te beoordelen en aanbevelingen te doen op basis van de geleerde lessen. Volgens overheidsfunctionarissen brengt het bestuur de beste expertise uit het bedrijfsleven en de overheid samen.
“De bevindingen en aanbevelingen van de raad van deze beoordeling zullen cyberbeveiligingspraktijken in cloudomgevingen bevorderen en ervoor zorgen dat we collectief het vertrouwen in deze kritieke systemen kunnen behouden”, aldus Jen Easterly, directeur van de Cybersecurity and Infrastructure Security Agency (CISA).
In een gerelateerde aankondiging op 8 augustus heeft het National Institute of Standards and Technology (NIST) een concept uitgebracht van een uitgebreid cyberbeveiligingsraamwerk versie 1.0 dat voor het eerst werd geïntroduceerd in 2014. Cyberbeveiligingsraamwerk (CSF) 2.0 is de eerste herziening van de cyberbeveiligingsbeoordelingstool Vanaf dat moment.
ADVERTENTIE
Na meer dan een jaar aan feedback van de gemeenschap te hebben overwogen, heeft NIST de nieuwe conceptversie van het Cybersecurity Framework (CSF) 2.0 uitgebracht om organisaties te helpen cyberbeveiligingsrisico’s te begrijpen, te verminderen en erover te communiceren. Het weerspiegelt veranderingen in het cyberbeveiligingslandschap en maakt het gemakkelijker om het cyberbeveiligingskader voor alle organisaties te implementeren.
“Met deze update proberen we het huidige gebruik van het Cybersecurity Framework weer te geven en ook te anticiperen op toekomstig gebruik”, zegt NIST’s Cherilyn Pascoe, de hoofdontwikkelaar van het framework.
“De CSF is ontwikkeld voor kritieke infrastructuur zoals de bank- en energiesector, maar is overal nuttig gebleken, van scholen en kleine bedrijven tot lokale en buitenlandse overheden. We willen er zeker van zijn dat het een hulpmiddel is dat nuttig is voor alle sectoren, niet alleen voor de sectoren die als kritiek worden aangemerkt”, voegde ze eraan toe.
Sluit aan bij eerdere cyberveiligheidsstrategieën
Het Witte Huis opende donderdag een verzoek om informatie voor openbaar commentaar op open-source softwarebeveiliging en geheugenveilige programmeertalen.
Het doel is voort te bouwen op haar toezegging om te investeren in de ontwikkeling van veilige software en softwareontwikkelingstechnieken. Het verzoek om openbaar commentaar is ook bedoeld om initiatief 4.1.2 van het implementatieplan voor de nationale cyberbeveiligingsstrategie te bevorderen dat het Witte Huis heeft vrijgegeven om de basis van internet te beveiligen.
Het Witte Huis heeft op 13 juli het National Cybersecurity Strategy Implementation Plan (“NCSIP”) uitgebracht. Het identificeert 65 initiatieven onder leiding van 18 verschillende afdelingen en agentschappen die zijn ontworpen als een routekaart voor de implementatie van de Amerikaanse nationale cyberbeveiligingsstrategie die in maart is uitgebracht.
Reacties moeten uiterlijk op 9 oktober 2023 om 17.00 uur EDT worden ingediend. Voor informatie over het indienen van opmerkingen, zie de factsheet: Office of the National Cyber Director Requests Public Comment on Open-Source Software Security and Memory Safe Programming Language.
Reactie van Microsoft kan een precedent scheppen
Volgens Claude Mandy, hoofdevangelist voor gegevensbeveiliging bij Symmetry Systems, bracht het bovengenoemde Microsoft-cloudlek twee problemen aan het licht.
Ten eerste onthulde het hoe de commerciële constructies van Microsoft beveiligingsfuncties bundelen met andere producten. De bedoeling is om te voorkomen dat klanten op commerciële basis concurrerende producten selecteren, zei hij.
Dat verhindert bedrijven om essentiële beveiligingsfuncties te hebben zonder meer te betalen dan nodig is. In dit geval gaat het volgens Mandy om logs in het authenticatieproces.
ADVERTENTIE
De tweede onthulling is dat details over hoe de inbreuk plaatsvond en welke potentiële impact en gegevens zouden kunnen worden beïnvloed, nog steeds vaag zijn, zonder zekerheid van Microsoft, zei Mandy. Dat gebeurde ondanks de focus en investering van Microsoft op cybersecurity als inkomstenstroom.
“Als branche eisen we meer transparantie”, vertelde hij aan TechNewsWorld.
De belangrijkste les die organisaties uit deze inbreuk kunnen trekken, merkte hij op, is dat het loggen en monitoren van datagebeurtenissen – of datadetectie en -respons – de grootste hefboom is die men in de cloud heeft om beveiligingsincidenten te detecteren, te onderzoeken en erop te reageren, met name die waarbij derden betrokken zijn.
“Het meest interessante op de korte termijn van deze beoordeling zal zijn in hoeverre het precedent dat Microsoft heeft geschapen door zich ertoe te verbinden deze logboeken gratis te verstrekken, zal worden overgenomen of afgedwongen aan andere cloudserviceproviders”, zei hij.
De helft van de cloudbeveiligingsfouten wordt genegeerd
De Qualys Threat Research Unit analyseerde de staat van cloudbeveiliging en bracht eerder deze maand bevindingen uit.
Volgens Travis Smith, VP – Threat Research Unit bij Qualys, ontdekten onderzoekers dat verkeerde configuraties in cloudbeveiligingsproviders voldoende mogelijkheden boden voor aanvallers om zich op organisaties te richten, vooral in combinatie met extern gerichte kwetsbaarheden die bloot bleven liggen en organisaties in gevaar brachten.
“Bij de drie grote cloudbeveiligingsproviders werden configuratie-instellingen die zijn ontworpen om cloud-architecturen en werklasten te versterken slechts ongeveer 50% van de tijd correct ingeschakeld. Evenzo blijft 50,85% van de extern gerichte kwetsbaarheden ongepatcht”, vertelde hij aan TechNewsWorld.
Hoewel een beoordeling inzicht zal geven in de risico’s van het verplaatsen van computerbronnen naar de cloud, lijkt het erop dat organisaties geen acht slaan op die waarschuwing, vertrouwde Smith toe.
Die bevinding voorspelt niet veel goeds voor betere cyberbeveiliging. De eerste review van de onderzoekers richtte zich op kwetsbaarheden in Log4J. Cyberexperts zien dat Log4Shell nog steeds veel voorkomt in cloudomgevingen, met patches die in 30% van de gevallen worden gevonden, zei hij.
Geen oplossing voor op sleutels gebaseerde cloudbeveiliging
Op sleutels gebaseerde beveiliging zal altijd dit inbreukprobleem hebben. Er is altijd, in zekere zin, een hoofdsleutel, één sleutel om ze allemaal te beheersen, stelde Krishna Vishnubhotla, vice-president productstrategie bij Zimperium. Dus alleen het kiezen van robuuste cryptografische algoritmen en schema’s is niet voldoende.
ADVERTENTIE
“De belangrijkste zorg is het beschermen van de sleutels tegen exfiltratie en misbruik. Het veilig bewaren van sleutels is in de meeste ondernemingen geen goede gewoonte”, vertelde hij aan TechNewsWorld.
Multicloud en hybride cloud zijn alomtegenwoordig in de hele onderneming, van computergebruik tot authenticatie. Daarom vertegenwoordigt de hoofdsleutel toegang tot alle bedrijfssystemen.
“Of ondernemingen hun hoofdsleutels aan cloudproviders moeten toevertrouwen of dat de ondernemingen deze verantwoordelijkheid op zich moeten nemen, is de echte vraag”, stelde hij.
Nieuw cyberbeveiligingskader belooft veel
Pogingen om beveiligingsaanbevelingen bij te werken, kunnen een zware strijd zijn die de echte cyberexperts te boven gaat. Een van de eeuwige problemen op het gebied van cyberbeveiliging is hoe je kwantitatief over beveiliging kunt praten met leiderschap en het bestuur, zei John Bambenek, hoofddreigingsjager bij Netenrich.
“Door deze kaders uit te breiden naar alle organisaties en niet alleen naar kritieke infrastructuur, wordt de deur geopend om dit op een consistente manier in de hele economie te kunnen doen en hopelijk zal dit leiden tot meer acceptatie van het gebruik van beveiliging om bedrijfsrisico’s te verminderen”, vertelde hij aan TechNewsWorld.
De toevoeging van een zesde functie, “regeren”, is een duidelijke boodschap aan organisaties dat om succesvol te zijn, er ook actief beheerde beleidslijnen en processen moeten zijn die de andere functionele gebieden ondersteunen, prees Bud Broomhead, CEO van Viakoo.
Governance moet er bijvoorbeeld voor zorgen dat alle systemen zichtbaar en operationeel zijn en dat beveiligingsprocessen en -beleid op ondernemingsniveau aanwezig zijn.
Aan de vijf hoofdpijlers van een succesvol cyberbeveiligingsprogramma heeft NIST een zesde toegevoegd, de “regeer”-functie, die benadrukt dat cyberbeveiliging een belangrijke bron van ondernemingsrisico’s is en een overweging voor senior leiderschap. (Credit: N. Hanacek/NIST)
Door de reikwijdte van het NIST-framework uit te breiden naar alle vormen van organisaties, niet alleen naar kritieke infrastructuur, wordt erkend hoe elke organisatie wordt geconfronteerd met cyberdreigingen en een plan moet hebben voor het beheer van cyberhygiëne en reactie op incidenten, legt Broomhead uit.
“Dit is al het geval met cyberverzekeringen, en de recente update van NIST zal organisaties niet alleen helpen hun dreigingslandschap te verkleinen, maar ook beter gepositioneerd zijn voor compliance-, audit- en verzekeringsvereisten op het gebied van cyberbeveiliging”, vertelde hij aan TechNewsWorld.
Stap in de goede richting
De update van NIST zou ook meer organisaties ertoe moeten aanzetten om met managed service providers samen te werken aan hun cyberhygiëne en cyberbeveiligingsbeheer, drong Broomhead aan.
Aangezien NIST zijn reikwijdte uitbreidt naar kleinere organisaties, zullen velen merken dat een managed service provider de beste manier is om hun organisatie compliant te maken met het NIST Cybersecurity Framework v2.0.
De nieuwste update van het Cybersecurity Framework is een uitstekende vernieuwing van een van de beste cybersecurity-risicoframeworks, aldus Joseph Carson, hoofdbeveiligingswetenschapper en adviserend CISO bij Delinea.
“Het is geweldig om te zien dat het raamwerk verder gaat dan alleen een focus van kritieke infrastructuurorganisaties en aanpassing aan cyberbeveiligingsbedreigingen door begeleiding te bieden aan alle sectoren”, vertelde hij aan TechNewsWorld.
“Dit omvat de nieuwe regeringspijler die de veranderingen erkent in de manier waarop organisaties nu reageren op bedreigingen ter ondersteuning van hun algemene cyberbeveiligingsstrategie.”
Source link: https://www.technewsworld.com/story/new-us-initiatives-aim-to-better-defend-against-cyberattacks-178534.html?rss=1
