Καλώς ήλθατε στο CISO Corner, την εβδομαδιαία ανασκόπηση άρθρων του Dark Reading ειδικά προσαρμοσμένα στους αναγνώστες επιχειρήσεων ασφαλείας και τους ηγέτες ασφαλείας. Κάθε εβδομάδα, θα προσφέρουμε άρθρα που συγκεντρώνονται από όλη τη λειτουργία ειδήσεων, το The Edge, την Τεχνολογία DR, το DR Global και την ενότητα Σχολίων μας. Δεσμευόμαστε να σας προσφέρουμε μια ποικιλία από προοπτικές για να υποστηρίξουμε τη δουλειά της λειτουργικότητας των στρατηγικών κυβερνοασφάλειας, για ηγέτες σε οργανισμούς όλων των σχημάτων και μεγεθών.

Σε αυτό το τεύχος του CISO Corner:

5 σκληρές αλήθειες για την κατάσταση του Cloud Security 2024

Από την Ericka Chickowski, Συνεισφέρουσα Συγγραφέας, Dark Reading

Το Dark Reading συζητά για την ασφάλεια στο cloud με τον John Kindervag, τον νονό της μηδενικής εμπιστοσύνης.

Οι περισσότεροι οργανισμοί δεν συνεργάζονται πλήρως ώριμες πρακτικές ασφάλειας cloud, παρά τις μισές σχεδόν παραβιάσεις που προήλθαν από το cloud και σχεδόν 4.1 εκατομμύρια δολάρια απώλεσαν από παραβιάσεις του cloud τον περασμένο χρόνο.

Αυτό είναι ένα μεγάλο πρόβλημα, σύμφωνα με τον νονό της ασφάλειας μηδενικής εμπιστοσύνης, Τζον Κίντερβαγκ, ο οποίος δημιούργησε και δημοσιοποίησε το μοντέλο ασφάλειας μηδενικής εμπιστοσύνης ως αναλυτής στη Forrester. Λέει στο Dark Reading ότι υπάρχουν μερικές σκληρές αλήθειες που πρέπει να αντιμετωπίσεις για να αλλάξεις τα πράγματα.

1. Δεν γίνεσαι πιο ασφαλής απλά πηγαίνοντας στο cloud: Το cloud δεν είναι εγγενώς πιο ασφαλές από τα περισσότερα περιβάλλοντα εσωτερικής εγκατάστασης: οι πάροχοι cloud υπερκλίμακας μπορεί να είναι πολύ καλοί στην προστασία της υποδομής, αλλά ο έλεγχος και η ευθύνη που έχουν για τη στάση ασφαλείας των πελατών τους είναι πολύ περιορισμένη. Και το μοντέλο κοινής ευθύνης δεν λειτουργεί πραγματικά.

2. Οι εγγενείς έλεγχοι ασφαλείας είναι δύσκολο να διαχειριστούν σε έναν υβριδικό κόσμο: Η ποιότητα είναι ασυνεπής όταν πρόκειται να προσφέρει στους πελάτες περισσότερο έλεγχο του φόρτου εργασίας, της ταυτότητας και της ορατότητάς τους, αλλά οι έλεγχοι ασφαλείας που μπορούν να διαχειρίζονται σε όλα τα πολλαπλά σύννεφα είναι αόριστοι.

3. Η ταυτότητα δεν θα σώσει το σύννεφο σας: Με τόση έμφαση στη διαχείριση ταυτότητας cloud και δυσανάλογη προσοχή στο στοιχείο ταυτότητας σε μηδενική εμπιστοσύνη, είναι σημαντικό για τους οργανισμούς να κατανοήσουν ότι η ταυτότητα είναι μόνο μέρος ενός καλά ισορροπημένου πρωινού για μηδενική εμπιστοσύνη στο cloud.

4. Πάρα πολλές εταιρείες δεν ξέρουν τι προσπαθούν να προστατεύσουν: Κάθε περιουσιακό στοιχείο ή σύστημα ή διαδικασία θα φέρει τον δικό του μοναδικό κίνδυνο, αλλά οι οργανισμοί δεν έχουν σαφή ιδέα για το τι υπάρχει στο cloud ή τι συνδέεται με το cloud, πόσο μάλλον τι χρειάζεται προστασία.

5. Τα κίνητρα ανάπτυξης εγγενών νέφους είναι εκτός λειτουργίας: Πάρα πολλοί οργανισμοί απλά δεν έχουν τις κατάλληλες δομές κινήτρων για τους προγραμματιστές να φτιάχνουν με ασφάλεια καθώς πηγαίνουν — και, στην πραγματικότητα, πολλοί έχουν διεστραμμένα κίνητρα που καταλήγουν να ενθαρρύνουν ανασφαλείς πρακτικές. «Μου αρέσει να λέω ότι οι άνθρωποι της εφαρμογής DevOps είναι οι Ricky Bobbys του IT. Θέλουν απλώς να πάνε γρήγορα», λέει η Kindervag.

Διαβάστε περισσότερα: 5 σκληρές αλήθειες για την κατάσταση του Cloud Security 2024

Συγγενεύων: Η Zero Trust αναλαμβάνει: 63% των οργανισμών που υλοποιούνται παγκοσμίως

MITER ATT&CKED: Το πιο αξιόπιστο όνομα της InfoSec ανήκει στον Ivanti Bugs

Του Nate Nelson, Συνεισφέρων συγγραφέας, Dark Reading

Η ειρωνεία έχει χαθεί σε λίγους, καθώς ένας παράγοντας απειλών έθνους-κράτους χρησιμοποίησε οκτώ τεχνικές MITER για να παραβιάσει το ίδιο το MITER — συμπεριλαμβανομένης της εκμετάλλευσης των ζωυφίων Ivanti στα οποία οι επιτιθέμενοι συρρέουν εδώ και μήνες.

Ξένοι χάκερ εθνικών κρατών έχουν χρησιμοποιήσει ευάλωτες συσκευές Ivanti edge να αποκτήσει «βαθιά» πρόσβαση τριών μηνών σε ένα από τα μη διαβαθμισμένα δίκτυα της MITER Corp.

Ο MITRE, διαχειριστής του απανταχού γλωσσαρίου ATT&CK των κοινώς γνωστών τεχνικών κυβερνοεπιθέσεων, πέρασε στο παρελθόν 15 χρόνια χωρίς ένα σημαντικό περιστατικό. Το σερί έσπασε τον Ιανουάριο, όταν, όπως και τόσοι άλλοι οργανισμοί, οι συσκευές της πύλης Ivanti έγιναν αντικείμενο εκμετάλλευσης.

Η παραβίαση επηρέασε το Networked Experimentation, Research and Virtualization Environment (NERVE), ένα μη ταξινομημένο, συνεργατικό δίκτυο που χρησιμοποιεί ο οργανισμός για έρευνα, ανάπτυξη και δημιουργία πρωτοτύπων. Η έκταση της βλάβης του ΝΕΥΡΟΥ (λογοπαίγνιο) αξιολογείται επί του παρόντος.

Όποιοι και αν ήταν οι στόχοι τους, οι χάκερ είχαν αρκετό χρόνο για να τους πραγματοποιήσουν. Αν και ο συμβιβασμός έγινε τον Ιανουάριο, το MITER μπόρεσε να τον εντοπίσει μόνο τον Απρίλιο, αφήνοντας ένα κενό τριμήνου στο ενδιάμεσο.

Διαβάστε περισσότερα: MITER ATT&CKED: Το πιο αξιόπιστο όνομα της InfoSec ανήκει στον Ivanti Bugs

Συγγενεύων: Κορυφαίες τεχνικές MITER ATT&CK & Πώς να αμυνθείτε εναντίον τους

Μαθήματα για CISO από το Top 10 του OWASP LLM

Σχόλιο από τον Kevin Bocek, Chief Innovation Officer, Venafi

Είναι καιρός να αρχίσετε να ρυθμίζετε τα LLM για να διασφαλίσετε ότι είναι σωστά εκπαιδευμένα και έτοιμα να χειριστούν επιχειρηματικές συμφωνίες που θα μπορούσαν να επηρεάσουν το τελικό αποτέλεσμα.

Η OWASP κυκλοφόρησε πρόσφατα τη λίστα των κορυφαίων 10 εφαρμογών μεγάλων γλωσσικών μοντέλων (LLM), έτσι οι προγραμματιστές, οι σχεδιαστές, οι αρχιτέκτονες και οι διαχειριστές έχουν τώρα 10 τομείς στους οποίους πρέπει να επικεντρωθούν ξεκάθαρα όταν πρόκειται για θέματα ασφάλειας.

Σχεδόν όλα τα 10 κορυφαίες απειλές LLM επικεντρώνονται γύρω από έναν συμβιβασμό ελέγχου ταυτότητας για τις ταυτότητες που χρησιμοποιούνται στα μοντέλα. Οι διαφορετικές μέθοδοι επίθεσης εκτελούν τη γκάμα, επηρεάζοντας όχι μόνο τις ταυτότητες των εισροών του μοντέλου αλλά και τις ταυτότητες των ίδιων των μοντέλων, καθώς και τα αποτελέσματα και τις ενέργειές τους. Αυτό έχει ένα knock-on αποτέλεσμα και απαιτεί έλεγχο ταυτότητας στην υπογραφή κώδικα και τη δημιουργία διαδικασιών για να σταματήσει η ευπάθεια στην πηγή.

Ενώ περισσότεροι από τους μισούς από τους 10 κορυφαίους κινδύνους είναι αυτοί που ουσιαστικά μετριάζονται και απαιτούν τον διακόπτη kill για την τεχνητή νοημοσύνη, οι εταιρείες θα πρέπει να αξιολογήσουν τις επιλογές τους κατά την ανάπτυξη νέων LLM. Εάν υπάρχουν τα σωστά εργαλεία για τον έλεγχο ταυτότητας των εισροών και των μοντέλων, καθώς και των ενεργειών των μοντέλων, οι εταιρείες θα είναι καλύτερα εξοπλισμένες για να αξιοποιήσουν την ιδέα του kill-switch AI και να αποτρέψουν περαιτέρω καταστροφή.

Διαβάστε περισσότερα: Μαθήματα για CISO από το Top 10 του OWASP LLM

Συγγενεύων: Το Bugcrowd ανακοινώνει αξιολογήσεις ευπάθειας για LLMs

Cyberattack Gold: Τα SBOM προσφέρουν μια εύκολη απογραφή ευάλωτου λογισμικού

Του Rob Lemos, Συνεισφέρων συγγραφέας, Dark Reading

Οι επιτιθέμενοι πιθανότατα θα χρησιμοποιήσουν λογαριασμές υλικού (SBOM) για την αναζήτηση λογισμικού που είναι δυνητικά ευάλωτο σε συγκεκριμένα ελαττώματα λογισμικού.

Οι κυβερνητικές και ευαίσθητες στην ασφάλεια εταιρείες απαιτούν ολοένα και περισσότερο από τους κατασκευαστές λογισμικού να τους παρέχουν λογαριασμούς υλικού λογισμικού (SBOM) για την αντιμετώπιση του κινδύνου της εφοδιαστικής αλυσίδας — αλλά αυτό δημιουργεί μια νέα κατηγορία ανησυχιών.

Με λίγα λόγια: Ένας εισβολέας που καθορίζει ποιο λογισμικό εκτελεί μια στοχευμένη εταιρεία, μπορεί να ανακτήσει το σχετικό SBOM και να αναλύσει τα στοιχεία της εφαρμογής για αδυναμίες, όλα αυτά χωρίς να στείλει ούτε ένα πακέτο, λέει ο Larry Pesce, διευθυντής έρευνας και ανάλυσης ασφάλειας προϊόντων στο λογισμικό εταιρεία ασφάλειας εφοδιαστικής αλυσίδας Finite State.

Είναι πρώην ελεγκτής διείσδυσης 20 ετών που σχεδιάζει να προειδοποιήσει για τον κίνδυνο σε μια παρουσίαση για τα "Evil SBOMs" στο συνέδριο RSA τον Μάιο. Θα δείξει ότι τα SBOM έχουν αρκετές πληροφορίες για να το επιτρέψουν στους επιτιθέμενους αναζητήστε συγκεκριμένα CVE σε μια βάση δεδομένων SBOM και βρείτε μια εφαρμογή που είναι πιθανώς ευάλωτη. Ακόμη καλύτερα για τους επιτιθέμενους, τα SBOM θα απαριθμούν επίσης άλλα στοιχεία και βοηθητικά προγράμματα στη συσκευή που θα μπορούσε να χρησιμοποιήσει ο εισβολέας για να «ζήσει από τη γη» μετά τον συμβιβασμό, λέει.

Διαβάστε περισσότερα: Cyberattack Gold: Τα SBOM προσφέρουν μια εύκολη απογραφή ευάλωτου λογισμικού

Συγγενεύων: Η Southern Company κατασκευάζει SBOM για Υποσταθμό Ηλεκτρικής Ενέργειας

Παγκόσμια: Άδεια για λογαριασμό; Έθνη Εντολή Πιστοποίησης & Αδειοδότησης Επαγγελματιών Κυβερνοασφάλειας

Του Robert Lemos, Συνεισφέρων συγγραφέας, Dark Reading

Η Μαλαισία, η Σιγκαπούρη και η Γκάνα είναι από τις πρώτες χώρες που ψήφισαν νόμους που απαιτούν την ασφάλεια στον κυβερνοχώρο εταιρείες —και σε ορισμένες περιπτώσεις μεμονωμένους συμβούλους— να αποκτήσουν άδειες επιχειρηματικής δραστηριότητας, αλλά οι ανησυχίες παραμένουν.

Η Μαλαισία έχει προσχωρήσει σε τουλάχιστον δύο άλλα έθνη — Singapore και Γκάνα — κατά τη θέσπιση νόμων που απαιτούν από τους επαγγελματίες της κυβερνοασφάλειας ή τις εταιρείες τους να είναι πιστοποιημένοι και να έχουν άδεια να παρέχουν ορισμένες υπηρεσίες κυβερνοασφάλειας στη χώρα τους.

Αν και οι εντολές της νομοθεσίας δεν έχουν ακόμη καθοριστεί, "αυτό πιθανότατα θα ισχύει για παρόχους υπηρεσιών που παρέχουν υπηρεσίες για τη διαφύλαξη συσκευών τεχνολογίας πληροφοριών και επικοινωνιών άλλου ατόμου — [για παράδειγμα] παρόχους δοκιμών διείσδυσης και κέντρα λειτουργίας ασφαλείας", σύμφωνα με τη Μαλαισία δικηγορικό γραφείο Christopher & Lee Ong.

Η γειτονική Ασία-Ειρηνικό, η Σιγκαπούρη έχει ήδη απαιτήσει την αδειοδότηση των παρόχων υπηρεσιών κυβερνοασφάλειας (CSP) τα τελευταία δύο χρόνια, και το έθνος της Δυτικής Αφρικής της Γκάνας, το οποίο απαιτεί την αδειοδότηση και τη διαπίστευση επαγγελματιών στον τομέα της κυβερνοασφάλειας. Ευρύτερα, κυβερνήσεις όπως η Ευρωπαϊκή Ένωση έχουν κανονικοποιήσει τις πιστοποιήσεις κυβερνοασφάλειας, ενώ άλλοι φορείς — όπως η πολιτεία της Νέας Υόρκης των ΗΠΑ — απαιτούν πιστοποίηση και άδειες για δυνατότητες κυβερνοασφάλειας σε συγκεκριμένους κλάδους.

Ωστόσο, ορισμένοι ειδικοί βλέπουν δυνητικά επικίνδυνες συνέπειες από αυτές τις κινήσεις.

Διαβάστε περισσότερα: Άδεια χρήσης Bill; Έθνη Εντολή Πιστοποίησης & Αδειοδότησης Επαγγελματιών Κυβερνοασφάλειας

Συγγενεύων: Η Σιγκαπούρη θέτει ψηλά τον πήχη στην ετοιμότητα για την κυβερνοασφάλεια

J&J Spin-Off CISO για τη Μεγιστοποίηση της Κυβερνοασφάλειας

Από την Karen D. Schwartz, Contributing Writer, Dark Reading

Πώς η CISO του Kenvue, μια εταιρεία υγειονομικής περίθαλψης καταναλωτών ξεπήδησε από την Johnson & Johnson, συνδύασε εργαλεία και νέες ιδέες για να δημιουργήσει το πρόγραμμα ασφάλειας.

Ο Mike Wagner της Johnson & Johnson βοήθησε στη διαμόρφωση της προσέγγισης ασφαλείας και της στοίβας ασφαλείας της εταιρείας Fortune 100. Τώρα, είναι ο πρώτος CISO του ετήσιου spinoff καταναλωτικής υγειονομικής περίθαλψης της J&J, Kenvue, με αποστολή να δημιουργήσει μια βελτιωμένη και οικονομικά αποδοτική αρχιτεκτονική με μέγιστη ασφάλεια.

Αυτό το άρθρο αναλύει τα βήματα που εργάστηκαν ο Βάγκνερ και η ομάδα του, τα οποία περιλαμβάνουν:

Καθορίστε βασικούς ρόλους: Αρχιτέκτονες και μηχανικοί για την εφαρμογή εργαλείων. εμπειρογνώμονες διαχείρισης ταυτότητας και πρόσβασης (IAM) για την ενεργοποίηση του ασφαλούς ελέγχου ταυτότητας· ηγέτες διαχείρισης κινδύνου να ευθυγραμμίσει την ασφάλεια με τις επιχειρηματικές προτεραιότητες· προσωπικό επιχειρήσεων ασφαλείας για την αντιμετώπιση περιστατικών· και αφοσιωμένο προσωπικό για κάθε λειτουργία στον κυβερνοχώρο.

Ενσωματώστε τη μηχανική εκμάθηση και την τεχνητή νοημοσύνη: Οι εργασίες περιλαμβάνουν την αυτοματοποίηση του IAM. εξορθολογισμός του ελέγχου προμηθευτών· ανάλυση συμπεριφοράς; και βελτίωση της ανίχνευσης απειλών.

Επιλέξτε ποια εργαλεία και διαδικασίες θα διατηρήσετε και ποια θα αντικαταστήσετε: Ενώ η αρχιτεκτονική κυβερνοασφάλειας της J&J είναι ένα συνονθύλευμα συστημάτων που δημιουργούνται από δεκαετίες εξαγορών. Οι εργασίες εδώ περιελάμβαναν την απογραφή των εργαλείων της J&J. αντιστοίχιση τους στο μοντέλο λειτουργίας της Kenvue. και τον εντοπισμό νέων απαραίτητων δυνατοτήτων.

Ο Βάγκνερ λέει ότι υπάρχουν περισσότερα να γίνουν. Στη συνέχεια, σχεδιάζει να στραφεί σε σύγχρονες στρατηγικές ασφάλειας, συμπεριλαμβανομένης της υιοθέτησης μηδενικής εμπιστοσύνης και της ενίσχυσης των τεχνικών ελέγχων.

Διαβάστε περισσότερα: J&J Spin-Off CISO για τη Μεγιστοποίηση της Κυβερνοασφάλειας

Συγγενεύων: Μια ματιά στα εργαλεία τεχνητής νοημοσύνης της Visa κατά της απάτης

SolarWinds 2024: Από πού πηγαίνουν οι αποκαλύψεις στον κυβερνοχώρο;

Σχόλιο από τον Tom Tovar, CEO & Co-Creator, Appdome

Λάβετε ενημερωμένες συμβουλές για το πώς, πότε και πού πρέπει να αποκαλύπτουμε περιστατικά ασφάλειας στον κυβερνοχώρο σύμφωνα με τον κανόνα των τεσσάρων ημερών της Επιτροπής Κεφαλαιαγοράς μετά το SolarWinds και συμμετάσχετε στην έκκληση για ανανέωση του κανόνα για επανόρθωση πρώτα.

Σε έναν κόσμο μετά την SolarWinds, θα πρέπει να μεταβούμε σε ένα ασφαλές λιμάνι αποκατάστασης για κινδύνους και συμβάντα στον κυβερνοχώρο. Συγκεκριμένα, εάν κάποια εταιρεία επανορθώσει τις ελλείψεις ή την επίθεση εντός του τετραήμερου χρονικού πλαισίου, θα πρέπει να είναι σε θέση (α) να αποφύγει μια αξίωση απάτης (δηλαδή, τίποτα για να μιλήσουμε) ή (β) να χρησιμοποιήσει την τυπική διαδικασία 10Q και 10K, συμπεριλαμβανομένης της ενότητας Συζήτηση και Ανάλυση Διαχείρισης, για την αποκάλυψη του συμβάντος.

Στις 30 Οκτωβρίου, η Επιτροπή Κεφαλαιαγοράς κατέθεσε α καταγγελία απάτης κατά της SolarWinds και τον επικεφαλής της ασφάλειας πληροφοριών, ισχυριζόμενοι ότι παρόλο που οι υπάλληλοι και τα στελέχη της SolarWinds γνώριζαν για τους αυξανόμενους κινδύνους, τις ευπάθειες και τις επιθέσεις κατά των προϊόντων της SolarWinds με την πάροδο του χρόνου, «οι αποκαλύψεις κινδύνου κυβερνοασφάλειας της SolarWinds δεν τους αποκάλυψαν με κανέναν τρόπο».

Προκειμένου να αποφευχθούν προβλήματα ευθύνης σε αυτές τις καταστάσεις, ένα ασφαλές λιμάνι αποκατάστασης θα επέτρεπε στις εταιρείες ένα πλήρες χρονικό πλαίσιο τεσσάρων ημερών για να αξιολογήσουν και να ανταποκριθούν σε ένα περιστατικό. Στη συνέχεια, εάν αποκατασταθεί, αφιερώστε χρόνο για να αποκαλύψετε σωστά το περιστατικό. Το αποτέλεσμα είναι μεγαλύτερη έμφαση στην απόκριση στον κυβερνοχώρο και μικρότερος αντίκτυπος στη δημόσια μετοχή μιας εταιρείας. Τα 8K θα μπορούσαν ακόμα να χρησιμοποιηθούν για ανεπίλυτα περιστατικά ασφάλειας στον κυβερνοχώρο.

Διαβάστε περισσότερα: SolarWinds 2024: Από πού πηγαίνουν οι αποκαλύψεις στον κυβερνοχώρο;

Συγγενεύων: Τι σημαίνει το SolarWinds για τα DevSecOps

• SEO Powered Content & PR Distribution. Ενισχύστε σήμερα.
• PlatoData.Network Vertical Generative Ai. Ενδυναμώστε τον εαυτό σας. Πρόσβαση εδώ.
• PlatoAiStream. Web3 Intelligence. Ενισχύθηκε η γνώση. Πρόσβαση εδώ.
• PlatoESG. Ανθρακας, Cleantech, Ενέργεια, Περιβάλλον, Ηλιακός, Διαχείριση των αποβλήτων. Πρόσβαση εδώ.
• PlatoHealth. Ευφυΐα βιοτεχνολογίας και κλινικών δοκιμών. Πρόσβαση εδώ.
• πηγή: https://www.darkreading.com/cybersecurity-operations/ciso-corner-evil-sboms-zero-trust-cloud-security-mitre-ivanti