مرحبًا بك في CISO Corner، الملخص الأسبوعي للمقالات التي تقدمها Dark Reading والتي تم تصميمها خصيصًا لقراء العمليات الأمنية وقادة الأمن. سنقدم كل أسبوع مقالات تم جمعها من عملياتنا الإخبارية، The Edge، وDR Technology، وDR Global، وقسم التعليقات لدينا. نحن ملتزمون بتقديم مجموعة متنوعة من وجهات النظر لدعم مهمة تفعيل استراتيجيات الأمن السيبراني للقادة في المؤسسات من جميع الأشكال والأحجام.

في هذا العدد من ركن CISO:

5 حقائق قاسية حول حالة الأمن السحابي 2024

بقلم إيريكا تشيكوفسكي، كاتبة مساهمة، القراءة المظلمة

تتحدث Dark Reading عن الأمان السحابي مع John Kindervag، الأب الروحي لسياسة انعدام الثقة.

معظم المنظمات لا تعمل بشكل كامل ممارسات الأمان السحابية الناضجة، على الرغم من أن ما يقرب من نصف الخروقات نشأت في السحابة وخسر ما يقرب من 4.1 مليون دولار بسبب الخروقات السحابية في العام الماضي.

هذه مشكلة كبيرة، وفقًا لعراب انعدام الثقة الأمنية، جون كيندرفاج، الذي وضع تصورًا لنموذج أمان الثقة المعدومة ونشره كمحلل في شركة Forrester. يخبر Dark Reading أن هناك بعض الحقائق الصعبة التي يجب مواجهتها من أجل تغيير الأمور.

1. لن تصبح أكثر أمانًا بمجرد الانتقال إلى السحابة: السحابة ليست أكثر أمانًا بطبيعتها من معظم البيئات المحلية: قد يكون مقدمو الخدمات السحابية واسعة النطاق جيدين جدًا في حماية البنية التحتية، لكن التحكم والمسؤولية التي يتمتعون بها بشأن الوضع الأمني ​​لعملائهم محدودة للغاية. ونموذج المسؤولية المشتركة لا يعمل حقًا.

2. من الصعب إدارة الضوابط الأمنية المحلية في عالم مختلط: الجودة غير متسقة عندما يتعلق الأمر بتزويد العملاء بمزيد من التحكم في أعباء العمل والهويات والرؤية، ولكن ضوابط الأمان التي يمكن إدارتها عبر جميع السحابات المتعددة بعيدة المنال.

3. لن تقوم الهوية بحفظ السحابة الخاصة بك: مع التركيز الكبير على إدارة الهوية السحابية والاهتمام غير المتناسب بعنصر الهوية في انعدام الثقة، من المهم للمؤسسات أن تفهم أن الهوية ليست سوى جزء من إفطار متوازن لثقة معدومة في السحابة.

4. الكثير من الشركات لا تعرف ما الذي تحاول حمايته: سيحمل كل أصل أو نظام أو عملية مخاطر فريدة خاصة به، لكن المؤسسات تفتقر إلى فكرة واضحة عما يوجد في السحابة أو ما يتصل بالسحابة، ناهيك عن ما يحتاج إلى الحماية.

5. حوافز التطوير السحابية الأصلية غير قابلة للتطبيق: لا تمتلك العديد من المؤسسات ببساطة هياكل الحوافز المناسبة للمطورين لتوفير الأمن أثناء حياتهم - وفي الواقع، لدى العديد منها حوافز ضارة تؤدي في نهاية المطاف إلى تشجيع الممارسات غير الآمنة. "أود أن أقول إن العاملين في تطبيق DevOps هم أمثال ريكي بوبي في مجال تكنولوجيا المعلومات. يقول كيندرفاج: "إنهم يريدون فقط المضي قدمًا بسرعة".

اقرأ أكثر: 5 حقائق قاسية حول حالة الأمن السحابي 2024

هذا الموضوع ذو علاقة بـ: الثقة المعدومة تتولى زمام الأمور: 63% من المؤسسات تنفذ على مستوى العالم

MITRE ATT&CKED: الاسم الأكثر ثقة لـ InfoSec يقع على عاتق Ivanti Bugs

بقلم نيت نيلسون، كاتب مساهم، القراءة المظلمة

وتضيع المفارقة عند القليلين، حيث استخدم ممثل تهديد الدولة القومية ثمانية تقنيات MITRE لاختراق MITRE نفسها - بما في ذلك استغلال أخطاء Ivanti التي كان المهاجمون يحتشدون عليها لعدة أشهر.

لقد استخدم قراصنة الدولة القومية الأجنبية أجهزة Ivanti Edge الضعيفة للحصول على وصول "عميق" لمدة ثلاثة أشهر إلى إحدى الشبكات غير السرية التابعة لشركة MITRE Corp.

MITRE، المشرف على مسرد ATT&CK المنتشر في كل مكان لتقنيات الهجوم السيبراني المعروفة، مضى 15 عامًا دون وقوع حادث كبير. توقفت هذه السلسلة في شهر يناير، عندما تم استغلال أجهزة بوابة Ivanti الخاصة بها، مثل العديد من المنظمات الأخرى.

أثر الاختراق على بيئة التجارب والأبحاث والمحاكاة الافتراضية (NERVE)، وهي شبكة تعاونية غير مصنفة تستخدمها المنظمة للبحث والتطوير والنماذج الأولية. يتم حاليًا تقييم مدى تلف الأعصاب (المقصود من التورية).

ومهما كانت أهدافهم، كان لدى المتسللين متسع من الوقت لتنفيذها. على الرغم من أن التسوية حدثت في يناير، إلا أن MITRE لم يتمكن من اكتشافها إلا في أبريل، تاركًا فجوة مدتها ربع عام بينهما.

اقرأ أكثر: MITRE ATT&CKED: الاسم الأكثر ثقة لـ InfoSec يقع على عاتق Ivanti Bugs

هذا الموضوع ذو علاقة بـ: أهم تقنيات MITRE ATT&CK وكيفية الدفاع ضدها

دروس لكبار مسؤولي تكنولوجيا المعلومات من LLM Top 10 في OWASP

تعليق بواسطة كيفن بوتشيك، الرئيس التنفيذي للابتكار، Venafi

لقد حان الوقت للبدء في تنظيم LLMs للتأكد من أنهم مدربون بدقة وجاهزون للتعامل مع الصفقات التجارية التي قد تؤثر على النتيجة النهائية.

أصدرت OWASP مؤخرًا قائمتها لأفضل 10 تطبيقات لنماذج اللغات الكبيرة (LLM)، لذا أصبح لدى المطورين والمصممين والمهندسين المعماريين والمديرين الآن 10 مجالات للتركيز عليها بوضوح عندما يتعلق الأمر بالمخاوف الأمنية.

تقريبا كل من أعلى 10 تهديدات LLM تتمحور حول حل وسط للمصادقة على الهويات المستخدمة في النماذج. تدير أساليب الهجوم المختلفة سلسلة كاملة، ولا تؤثر فقط على هويات مدخلات النموذج ولكن أيضًا على هويات النماذج نفسها، بالإضافة إلى مخرجاتها وإجراءاتها. وهذا له تأثير غير مباشر ويستدعي المصادقة في توقيع التعليمات البرمجية وإنشاء عمليات لوقف الثغرة الأمنية في المصدر.

في حين أن أكثر من نصف المخاطر العشرة الأولى هي تلك التي تم تخفيفها بشكل أساسي وتستدعي مفتاح الإيقاف للذكاء الاصطناعي، ستحتاج الشركات إلى تقييم خياراتها عند نشر ماجستير إدارة الأعمال الجديد. إذا تم استخدام الأدوات المناسبة للتحقق من المدخلات والنماذج، بالإضافة إلى إجراءات النماذج، فستكون الشركات مجهزة بشكل أفضل للاستفادة من فكرة مفتاح الإيقاف باستخدام الذكاء الاصطناعي ومنع المزيد من الدمار.

اقرأ أكثر: دروس لكبار مسؤولي تكنولوجيا المعلومات من LLM Top 10 في OWASP

هذا الموضوع ذو علاقة بـ: تعلن Bugcrowd عن تقييمات الثغرات الأمنية لـ LLMs

Cyberattack Gold: تقدم SBOMs إحصاءً سهلاً للبرامج الضعيفة

بقلم روب ليموس، كاتب مساهم، القراءة المظلمة

من المحتمل أن يستخدم المهاجمون قوائم المواد البرمجية (SBOMs) للبحث عن البرامج التي يحتمل أن تكون عرضة لعيوب برمجية معينة.

تطالب الشركات الحكومية والشركات الحساسة للأمن بشكل متزايد صانعي البرمجيات بتزويدهم بقوائم المواد البرمجية (SBOMs) لمعالجة مخاطر سلسلة التوريد - ولكن هذا يخلق فئة جديدة من القلق.

باختصار: يمكن للمهاجم الذي يحدد البرنامج الذي تقوم الشركة المستهدفة بتشغيله، استرداد SBOM المرتبط به وتحليل مكونات التطبيق بحثًا عن نقاط الضعف، كل ذلك دون إرسال حزمة واحدة، كما يقول لاري بيسي، مدير أبحاث وتحليل أمان المنتجات في البرمجيات. شركة أمن سلسلة التوريد Finite State.

وهو مختبِر اختراق سابق منذ 20 عامًا ويخطط للتحذير من المخاطر في عرض تقديمي حول "Evil SBOMs" في مؤتمر RSA في مايو. سيُظهر أن SBOMs لديها معلومات كافية للسماح للمهاجمين بذلك البحث عن CVEs محددة في قاعدة بيانات SBOMs وابحث عن تطبيق من المحتمل أن يكون عرضة للخطر. والأفضل من ذلك بالنسبة للمهاجمين هو أن SBOMs ستدرج أيضًا المكونات والأدوات المساعدة الأخرى على الجهاز والتي يمكن للمهاجم استخدامها "للعيش خارج الأرض" بعد الهجوم، كما يقول.

اقرأ أكثر: Cyberattack Gold: تقدم SBOMs إحصاءً سهلاً للبرامج الضعيفة

هذا الموضوع ذو علاقة بـ: الشركة الجنوبية تبني SBOM لمحطة الطاقة الكهربائية الفرعية

عالمي: مرخص للفاتورة؟ شهادة تفويض الأمم وترخيص محترفي الأمن السيبراني

بقلم روبرت ليموس، كاتب مساهم، القراءة المظلمة

تعد ماليزيا وسنغافورة وغانا من بين الدول الأولى التي أصدرت قوانين تتطلب الأمن السيبراني الشركات - وفي بعض الحالات المستشارين الأفراد - للحصول على تراخيص لممارسة الأعمال التجارية، ولكن المخاوف لا تزال قائمة.

انضمت ماليزيا إلى دولتين أخريين على الأقل - سنغافورة وغانا – في إقرار القوانين التي تتطلب أن يكون متخصصو الأمن السيبراني أو شركاتهم معتمدين ومرخصين لتقديم بعض خدمات الأمن السيبراني في بلادهم.

في حين أن ولايات التشريع لم يتم تحديدها بعد، "فمن المرجح أن ينطبق هذا على مقدمي الخدمات الذين يقدمون خدمات لحماية جهاز تكنولوجيا المعلومات والاتصالات لشخص آخر - [على سبيل المثال] مقدمي خدمات اختبار الاختراق ومراكز العمليات الأمنية"، وفقًا لما ذكرته ماليزيا. شركة محاماة كريستوفر ولي أونج.

وقد طلبت سنغافورة، جارتها في منطقة آسيا والمحيط الهادئ، بالفعل ترخيص مقدمي خدمات الأمن السيبراني (CSPs) على مدى العامين الماضيين، كما طلبت دولة غانا الواقعة في غرب أفريقيا، ترخيص واعتماد المتخصصين في مجال الأمن السيبراني. وعلى نطاق أوسع، قامت حكومات مثل الاتحاد الأوروبي بتطبيع شهادات الأمن السيبراني، في حين تطلب وكالات أخرى - مثل ولاية نيويورك الأمريكية - شهادات وتراخيص لقدرات الأمن السيبراني في صناعات محددة.

ومع ذلك، يرى بعض الخبراء عواقب خطيرة محتملة لهذه التحركات.

اقرأ أكثر: مرخص بيل؟ شهادة تفويض الأمم وترخيص محترفي الأمن السيبراني

هذا الموضوع ذو علاقة بـ: سنغافورة تضع معايير عالية في الاستعداد للأمن السيبراني

J&J Spin-Off CISO حول تعظيم الأمن السيبراني

بقلم كارين د. شوارتز، كاتبة مساهمة، القراءة المظلمة

كيف قام كبير مسؤولي أمن المعلومات في Kenvue، وهي شركة للرعاية الصحية للمستهلكين انبثقت عن شركة Johnson & Johnson، بدمج الأدوات والأفكار الجديدة لبناء برنامج الأمان.

ساعد مايك واجنر من جونسون آند جونسون في تشكيل النهج الأمني ​​ومكدس الأمان لشركة Fortune 100؛ وهو الآن أول رئيس تنفيذي لتكنولوجيا المعلومات في شركة Kenvue للرعاية الصحية الاستهلاكية التابعة لشركة J&J والتي تم تكليفها بإنشاء بنية مبسطة وفعالة من حيث التكلفة مع أقصى قدر من الأمان.

يعرض هذا المقال الخطوات التي اتبعها فاغنر وفريقه، والتي تشمل:

تحديد الأدوار الرئيسية: المهندسين المعماريين والمهندسين لتنفيذ الأدوات؛ خبراء إدارة الهوية والوصول (IAM) لتمكين المصادقة الآمنة؛ قادة إدارة المخاطر لمواءمة الأمن مع أولويات العمل؛ موظفي العمليات الأمنية للاستجابة للحوادث؛ وموظفين متخصصين لكل وظيفة إلكترونية.

تضمين التعلم الآلي والذكاء الاصطناعي: وتشمل المهام أتمتة IAM؛ وتبسيط عملية فحص الموردين؛ التحليل السلوكي؛ وتحسين الكشف عن التهديدات.

اختر الأدوات والعمليات التي تريد الاحتفاظ بها وأيها تريد استبدالها: في حين أن بنية الأمن السيبراني لشركة جونسون آند جونسون عبارة عن خليط من الأنظمة التي تم إنشاؤها عبر عقود من عمليات الاستحواذ؛ تضمنت المهام هنا جرد أدوات جونسون آند جونسون؛ وربطها بنموذج تشغيل Kenvue؛ وتحديد القدرات الجديدة المطلوبة.

ويقول فاغنر إن هناك المزيد للقيام به. وبعد ذلك، يخطط للاعتماد على الاستراتيجيات الأمنية الحديثة، بما في ذلك اعتماد الثقة المعدومة وتعزيز الضوابط الفنية.

اقرأ أكثر: J&J Spin-Off CISO حول تعظيم الأمن السيبراني

هذا الموضوع ذو علاقة بـ: نظرة خاطفة على أدوات الذكاء الاصطناعي التي تقدمها Visa لمكافحة الاحتيال

SolarWinds 2024: إلى أين تتجه عمليات الإفصاح السيبراني من هنا؟

تعليق توم توفار، الرئيس التنفيذي والمؤسس المشارك لشركة Appdome

احصل على نصائح محدثة حول كيف ومتى وأين يجب أن نكشف عن حوادث الأمن السيبراني بموجب قاعدة الأيام الأربعة التي وضعتها لجنة الأوراق المالية والبورصات بعد SolarWinds، وانضم إلى الدعوة لتجديد القاعدة لمعالجتها أولاً.

في عالم ما بعد SolarWinds، ينبغي لنا أن ننتقل إلى ملاذ آمن لعلاج مخاطر وحوادث الأمن السيبراني. على وجه التحديد، إذا قامت أي شركة بمعالجة أوجه القصور أو الهجوم خلال الإطار الزمني لمدة أربعة أيام، فيجب أن تكون قادرة على (أ) تجنب مطالبة الاحتيال (أي لا يوجد شيء للحديث عنه) أو (ب) استخدام عملية 10Q و10K القياسية، بما في ذلك قسم المناقشة والتحليل الإداري للكشف عن الحادث.

في 30 أكتوبر، قدمت هيئة الأوراق المالية والبورصات طلبًا شكوى احتيال ضد SolarWinds وكبير مسؤولي أمن المعلومات لديها، زاعمين أنه على الرغم من علم موظفي SolarWinds والمديرين التنفيذيين بالمخاطر المتزايدة ونقاط الضعف والهجمات ضد منتجات SolarWinds بمرور الوقت، فإن "الإفصاحات عن مخاطر الأمن السيبراني لشركة SolarWinds لم تكشف عنها بأي شكل من الأشكال".

للمساعدة في منع مشكلات المسؤولية في هذه المواقف، سيسمح الملاذ الآمن للعلاج للشركات بإطار زمني كامل مدته أربعة أيام لتقييم الحادث والاستجابة له. ثم، إذا تم علاجه، خذ الوقت الكافي للكشف عن الحادث بشكل صحيح. والنتيجة هي مزيد من التركيز على الاستجابة السيبرانية وتأثير أقل على الأسهم العامة للشركة. لا يزال من الممكن استخدام 8Ks في حوادث الأمن السيبراني التي لم يتم حلها.

اقرأ أكثر: SolarWinds 2024: إلى أين تتجه عمليات الإفصاح السيبراني من هنا؟

هذا الموضوع ذو علاقة بـ: ماذا تعني SolarWinds بالنسبة لـ DevSecOps

• محتوى مدعوم من تحسين محركات البحث وتوزيع العلاقات العامة. تضخيم اليوم.
• PlatoData.Network Vertical Generative Ai. تمكين نفسك. الوصول هنا.
• أفلاطونايستريم. ذكاء Web3. تضخيم المعرفة. الوصول هنا.
• أفلاطون كربون، كلينتك ، الطاقة، بيئة، شمسي، إدارة المخلفات. الوصول هنا.
• أفلاطون هيلث. التكنولوجيا الحيوية وذكاء التجارب السريرية. الوصول هنا.
• المصدر https://www.darkreading.com/cybersecurity-operations/ciso-corner-evil-sboms-zero-trust-cloud-security-mitre-ivanti