https://securityboulevard.com/2022/02/new-cyber-safety-review-board-will-tackle-log4j-debacle-first/
DHSは、主要なサイバーセキュリティインシデントを評価し、改善のための推奨事項を作成するために、待望のCyber Safety Review Board(CSRB)を立ち上げました。
CSRBは、将来のインシデントを防止するための対策を調査および推奨するために、航空またはその他の交通災害の後に行動を起こす国家運輸安全委員会に一部基づいてパターン化され、サイバーセキュリティインシデントを調査し、アクション後のレビューを提供します。
国土安全保障長官のアレハンドロ・N・マヨルカス氏は、国土安全保障長官のアレハンドロ・N・マヨルカス氏は、政府の行動を「サイバーセキュリティの回復力を有意義に改善するための大胆なステップ」と呼び、「過去の出来事を徹底的に評価し、難しい質問をし、民間および公共全体で改善を推進する」と述べた。
取締役会は、壊滅的な攻撃の流れを食い止め、歴史が繰り返されないようにすることを目的とした洞察と推奨事項を提供することを目指します。
取締役会は、最初の調査で、Log4jと、ユビキタスソフトウェアライブラリのインスタンスを見つけて修正するためにセキュリティチームを混乱させた脆弱性に取り組みます。
「サイバーの安全性は非常に幅広く進化しているテーマであるため、焦点を絞った出発点を選ぶのは賢明だと思います。一連の脆弱性として、Log4Jは、オープンソースのサプライチェーンセキュリティ、洗練されていない洗練された敵に同時に対処する、パッチ後の製品の再認証と回帰分析、さらにはBugcrowdの共同創設者兼CTOであるCaseyEllisは、次のように述べています。 「うまくいけば、Cyber Safety Review Boardは、Log4J自体だけでなく、これらの幅広い教訓と結果に焦点を当てます。」セキュリティの専門家は、取締役会に独自のウィッシュリストを提供しました。 「このイニシアチブを歓迎します。取締役会は、モバイルヘルスアプリに効果的なシールドソリューションがないことを発見した昨年公開された2つの主要なレポートを検討することが重要です。シークレットはモバイルヘルスアプリから取得され、APIを直接攻撃するために使用される可能性があります」とGeorgeMcGregor氏は述べています。 Approovの副社長。 「この調査では、一部のAPIに見られるよく知られた脆弱性も明らかになり、1人のユーザーの本物の資格情報を使用して他の多くの人のPHIデータにアクセスすることが可能でした。」取締役会は、Log4jからの進行中の脅威に対処するための推奨事項(進行中のエクスプロイトと最近のCISA警告が強調されているため、まだ終わっていない)や、サイバーセキュリティとインシデント対応を強化するための追加ガイダンスなど、調査結果に関するレポートを夏にリリースする予定です。 Log4jの結果として学習したプラクティスとポリシー。「新しいサイバー安全審査委員会は非常に価値があるかもしれません。 NTTアプリケーションセキュリティのフェローであるレイケリーは、次のように述べています。 「詳細とガイダンスのレベルが役立つかどうかを判断するには、最初のレポートが重大で拡大し続けるLog4jの脆弱性に対処するときに、どのように見えるかを待つ必要があります。」YouAttestのCEOであるGarretGrajekは、アイデンティティがそのレポートの一部になることを望んでいます。 「私は、CSRBがアイデンティティについて多くの言及を持ち、残念ながら、今日の企業でアイデンティティが作成、管理、およびレビューされる方法がお粗末になることを確信しています。ハッカーは、インフラストラクチャの脆弱性だけでなく、休止状態、ゴースト、および過度に特権のあるアカウントも探します」とGrajek氏は述べています。 「これらは、ハッカーがこれらのアカウントを使用して永続性を維持し、価値のあるリソースを求めて企業内を横方向に移動することで悪用する深刻な脆弱性です。さらに、企業に関する知識を利用し、マルウェアを実行して特権を昇格させることがよくあります。これらのアイデンティティの問題については、CSRBレポートに必ず記載されます。」しかし、パーキン氏は、取締役会には規制当局がないことを指摘しました。 「彼らの結果と推奨事項が現実の世界でどのように使用されているかを見るのは興味深いでしょう。」また、VectraのCTOチームのテクニカルディレクターであるTim Wadeは、レビューと推奨事項では不十分かもしれないと述べました。 「基本的に、サイバーセキュリティリスクを永続させている教訓に対する分析の欠如、またはサイバーセキュリティリスクを永続させているフォロースルーと説明責任の欠如があるかどうかを自問する必要があります」とウェイド氏は述べています。 「つまり、新しい知識の創造または既存の知識を実装する意志の必要性私の個人的な偏見は後者に対する信念であるため、そのような取締役会の有効性に対する私の期待は、行動を強制する能力にかかっています。」ボードの構成ももはや謎ではありません。イースターは、尊敬されている業界および政府のサイバーセキュリティ専門家の名簿を明らかにしました。 国土安全保障省政策担当次官、ロバート・シルバーズ(CSRB議長) Google、セキュリティエンジニアリング、シニアディレクター、Heather Adkins(CSRB副会長) Silverado PolicyAcceleratorの共同創設者兼会長であるDmitriAlperovitch氏。共同創設者兼元CTO、CrowdStrike、Inc。 ジョン・カーリン、司法省副長官副長官 行政管理予算局、連邦最高情報セキュリティ責任者、Chris DeRusha クリスイングリス、ナショナルサイバーディレクター、ナショナルサイバーディレクターのオフィス 国家安全保障局、サイバーセキュリティ担当ディレクター、ロブ・ジョイス Luta Securityの創設者兼CEO、Katie Moussouris David Mussington、インフラストラクチャセキュリティ、サイバーセキュリティおよびインフラストラクチャセキュリティエージェンシーのエグゼクティブアシスタントディレクター ベライゾン脅威リサーチアドバイザリーセンターの共同創設者兼マネージングディレクター、クリスノヴァク インターネットセキュリティセンターシニアバイスプレジデント兼チーフエバンジェリスト、Tony Sager 国防総省最高情報責任者、ジョン・シャーマン Bryan Vorndran、連邦捜査局サイバー部門アシスタントディレクター Kemba Walden、アシスタントゼネラルカウンセル、デジタル犯罪ユニット、マイクロソフト ウェンディウィットモア、パロアルトネットワークスユニット42、シニアバイスプレジデント著者による最近の記事
新しいCyberSafety Review BoardがLog4jの大失敗に最初に取り組む、Teri Robinson
security summary
コメント