Tervetuloa CISO Corneriin, Dark Readingin viikoittaiseen tiivistelmään artikkeleista, jotka on räätälöity erityisesti turvallisuustoimintojen lukijoille ja tietoturvajohtajille. Tarjoamme joka viikko artikkeleita, jotka on poimittu uutistoiminnastamme, The Edgestä, DR Technologysta, DR Globalista ja kommenttiosiostamme. Olemme sitoutuneet tuomaan sinulle monipuolisen joukon näkökulmia tukeaksemme kyberturvallisuusstrategioiden toteuttamista kaikenmuotoisten ja -kokoisten organisaatioiden johtajille.

Tässä CISO Cornerin numerossa:

Yritykset, joilla on kyberhallinto, luovat lähes neljä kertaa enemmän arvoa

David Strom, avustava kirjoittaja, Dark Reading

Ne, joissa on erityistoimikuntia, joissa on kyberasiantuntija sen sijaan, että luottaisivat täyshallitukseen, parantavat todennäköisemmin turvallisuutta ja taloudellista suorituskykyä.

Yritykset, jotka ovat pyrkineet noudattamaan ohjeita kyberturvallisuuden parantamiseksi, loivat lähes nelinkertaisen omistaja-arvon verrattuna niihin, jotka eivät ole sitä tehneet.

Tämä on johtopäätös uudesta tutkimuksesta, jonka Bitsight ja Diligent Institute teki yhdessä ja joka mittasi kyberturvallisuuden asiantuntemusta 23 erilaisen riskitekijän, kuten botnet-infektioiden esiintyminen, palvelimet, jotka isännöivät haittaohjelmia, vanhentuneet salaussertifikaatit verkko- ja sähköpostiviestinnälle ja avoimet verkkoportit julkisissa palvelimissa.

Raportissa todettiin myös, että parhaat tulokset tuottavat erilliset hallitusvaliokunnat, jotka keskittyvät erityisiin riskeihin ja tarkastusten noudattamiseen. "Johtokunnat, jotka harjoittavat kybervalvontaa erikoistuneiden komiteoiden kautta, joissa on kyberasiantuntijajäsen, sen sijaan, että luottavat koko hallitukseen, parantavat todennäköisemmin yleistä tietoturva-asentoaan ja taloudellista suorituskykyään", myöntää Ladi Adefala, kyberturvallisuuskonsultti ja Omega315:n toimitusjohtaja.

Lue lisää: Yritykset, joilla on kyberhallinto, luovat lähes neljä kertaa enemmän arvoa

Related: TikTok-kiellot ovat nyt operatiivisen hallinnan aika

Jopa kyberammattilaiset joutuvat huijatuksi: Tosielämän vishing-hyökkäyksen sisällä

Kirjoittaja Elizabeth Montalbano, avustava kirjailija, Dark Reading

Menestyneet hyökkääjät keskittyvät ihmisten tunteiden psykologiseen manipulointiin, minkä vuoksi kuka tahansa, jopa kyberammattilainen tai tekniikkataito, voi joutua uhriksi.

Se alkoi puhelulla tiistaina noin klo 10 tuntemattomasta matkapuhelinnumerosta. Työskentelin kotona tietokoneellani, enkä yleensä vastaa puheluihin tuntemattomilta ihmisiltä. Jostain syystä päätin lopettaa tekemäni ja vastata siihen puheluun.

Se oli ensimmäinen virheeni useiden virheiden sarjassa, jonka tein seuraavan neljän tunnin aikana, jonka aikana olin vihkimis- tai ääni-phishing-kampanjan uhriksi. Koettelemuksen loppuun mennessä olin siirtänyt huijareille lähes 5,000 1,000 euroa varoja pankkitililtäni ja Bitcoinina. Pankkini pystyi peruuttamaan suurimman osan siirroista; menetin kuitenkin XNUMX XNUMX euroa, jonka olin lähettänyt hyökkääjien Bitcoin-lompakkoon.

Asiantuntijat sanovat, että sillä ei ole väliä, kuinka paljon asiantuntemusta sinulla on hyökkääjien käyttämien taktiikkojen tuntemisessa tai kokemuksella huijausten havaitsemisesta. Avain hyökkääjien menestykseen on jotain teknologiaa vanhempaa, sillä se on manipuloimalla sitä, mikä tekee meistä ihmisiä: tunteidemme.

Lue lisää: Älä vastaa puhelimeen: Tosielämän vishing-hyökkäyksen sisällä

Related: Pohjois-Korean hakkerit kohdistavat tietoturvatutkijoihin – jälleen

Kolmannen osapuolen riskin vähentäminen edellyttää yhteistoimintaa ja perusteellista lähestymistapaa

Kommentti: Matt Mettenheimer, kyberneuvonnan apulaisjohtaja, kyberturvallisuuskäytäntö, S-RM

Ongelma voi tuntua pelottavalta, mutta useimmilla organisaatioilla on enemmän toimivaltuutta ja joustavuutta käsitellä kolmannen osapuolen riskejä kuin he luulevat.

Kolmannen osapuolen riski on ainutlaatuinen haaste organisaatioille. Pinnalla katsottuna kolmas osapuoli voi vaikuttaa luotettavalta. Mutta ilman täydellistä avoimuutta kyseisen kolmannen osapuolen toimittajan sisäiseen toimintaan, kuinka organisaatio voi varmistaa, että niille uskotut tiedot ovat turvallisia?

Usein organisaatiot vähättelevät tätä kiireellistä kysymystä pitkäaikaisten suhteidensa vuoksi kolmansien osapuolien kanssa. Mutta neljännen ja jopa viidennen osapuolen toimittajien ilmaantumisen pitäisi kannustaa organisaatioita suojaamaan ulkoiset tietonsa. Tekee kolmannen osapuolen toimittajan asianmukainen due diligence on nyt sisällytettävä selvitys, ulkoistaako kolmas osapuoli yksityisiä asiakastietoja myöhemmille osapuolille, mitä he todennäköisesti tekevät SaaS-palvelujen leviämisen ansiosta.

Onneksi on olemassa viisi yksinkertaista käyttöönottovaihetta, jotka tarjoavat organisaatioille aloitussuunnitelman kolmannen osapuolen riskien menestyksekkääseen vähentämiseen.

Lue lisää: Kolmannen osapuolen riskin vähentäminen edellyttää yhteistoimintaa ja perusteellista lähestymistapaa

Related: Cl0p väittää MOVEit-hyökkäyksen; Näin jengi teki sen

Australian hallitus tuplaa kyberturvallisuuden suurten hyökkäysten jälkeen

John Leyden, avustava kirjoittaja, Dark Reading Global

Hallitus ehdottaa nykyaikaisempia ja kattavampia kyberturvallisuusmääräyksiä yrityksille, viranomaisille ja kriittisten infrastruktuurien tarjoajille Down Under.

Heikkoudet Australian kyberonnettomuuksien reagointikyvyssä paljastettiin syyskuussa 2022 tietoliikenneoperaattori Optusin kyberhyökkäys, jota seurasi lokakuussa ransomware-pohjainen hyökkäys sairausvakuutusyhtiö Medibankiin.

Tämän seurauksena Australian hallitus valmistelee suunnitelmia kyberturvallisuuslakien ja -määräysten uudistamiseksi julistetulla strategialla, jolla kansakunta asetetaan kyberturvallisuuden johtajaksi maailmassa vuoteen 2030 mennessä.

Sen lisäksi, että Australian lainsäätäjät pyrkivät korjaamaan olemassa olevien tietoverkkorikoslakien puutteita, ne toivovat voivansa muuttaa maan elintärkeiden infrastruktuurien turvallisuutta (SOCI) koskevaa lakia 2018 painottaakseen entistä enemmän uhkien ehkäisyä, tiedon jakamista ja kyberonnettomuuksiin reagoimista.

Lue lisää: Australian hallitus tuplaa kyberturvallisuuden suurten hyökkäysten jälkeen

Related: Australian satamat jatkavat toimintaansa lamauttavan kyberhäiriön jälkeen

CISO:n opas olennaisuuden ja riskien määrittämiseen

Kommentti Peter Dysonilta, Data Analyticsin johtaja, Kovrr

Monille CISO:lle "olennaisuus" on edelleen epäselvä termi. Siitä huolimatta heidän on voitava keskustella olennaisuudesta ja riskeistä lautakuntiensa kanssa.

SEC vaatii nyt julkisia yrityksiä arvioida, ovatko kybertapahtumat "olennaisia" niiden ilmoittamisen kynnyksenä. Mutta monille CISO:lle olennaisuus on edelleen moniselitteinen termi, joka on avoin tulkinnalle organisaation ainutlaatuisen kyberturvallisuusympäristön perusteella.

Olennaisuuden ympärillä olevan hämmennyksen ydin on sen määrittäminen, mikä on "aineellinen menetys". Jotkut katsovat, että olennaisuus vaikuttaa 0.01 prosenttiin edellisen vuoden tuloista, mikä vastaa noin yhtä peruspistettä liikevaihdosta (joka vastaa yhtä tuntia Fortune 1000 -yritysten tuloja).

Testaamalla erilaisia ​​kynnysarvoja alan vertailuarvoihin, organisaatiot voivat saada selkeämmän käsityksen haavoittuvuudestaan ​​aineellisille kyberhyökkäyksille.

Lue lisää: CISO:n opas olennaisuuden ja riskien määrittämiseen

Related: Prudential Files Vapaaehtoinen rikkomusilmoitus SEC:lle

Nollapäivän Bonanza ajaa enemmän hyväksikäyttöä yrityksiä vastaan

Becky Bracken, vanhempi toimittaja, Dark Reading

Edistyneet vastustajat keskittyvät yhä enemmän yritysteknologioihin ja niiden toimittajiin, kun taas loppukäyttäjien alustat onnistuvat tukahduttamaan nollapäivän hyökkäyksiä kyberturvallisuusinvestoinneilla Googlen mukaan.

Nollapäivän haavoittuvuuksia hyödynnettiin luonnossa 50 % enemmän vuonna 2023 kuin vuonna 2022. Yritykset kärsivät erityisen ankarasti.

Mandiantin ja Google Threat Analysis Groupin (TAG) tutkimuksen mukaan kehittyneet kansallisvaltioiden tukemat vastustajat käyttävät hyväkseen rönsyilevää yritysten hyökkäysalustaa. Jalanjäljet, jotka koostuvat useiden toimittajien ohjelmistoista, kolmansien osapuolien komponenteista ja laajoista kirjastoista, tarjoavat rikkaan metsästysalueen niille, joilla on kyky kehittää nollapäivän hyväksikäyttöjä.

Kyberrikollisryhmät ovat keskittyneet erityisesti tietoturvaohjelmistoihin, mm Barracuda Email Security Gateway; Cisco Adaptive Security Appliance; Ivanti Endpoint Manager, Mobile ja Sentry; ja Trend Micro Apex One, tutkimus lisäsi.

Lue lisää: Nollapäivän Bonanza ajaa enemmän hyväksikäyttöä yrityksiä vastaan

Related: Hyökkääjät hyödyntävät Microsoftin tietoturvaa ja ohittavat nollapäivän vikoja

Turvallisuuskorjauksen saaminen kokoushuoneen asialistalle

Kommentti Matt Middleton-Lealilta, Pohjois-EMEA-alueen toimitusjohtajalta, Qualys

IT-tiimit kestävät paremmin tarkastuksia auttamalla hallitusta ymmärtämään riskejä ja niiden korjaamista sekä selittämällä pitkän aikavälin näkemyksensä riskienhallinnasta.

Menneisyyden toimitusjohtajat eivät ehkä ole menettäneet unta siitä, kuinka heidän turvallisuustiiminsä lähestyy tiettyjä CVE:itä, mutta CVE:t vaarallisille bugeille, kuten Apache Log4j Koska monissa organisaatioissa ei ole korjausta, turvallisuuden korjaaminen on nyt asialistalla laajemmin. Tämä tarkoittaa, että useampia tietoturvajohtajia pyydetään antamaan tietoa siitä, kuinka hyvin he hallitsevat riskejä liiketoiminnan näkökulmasta.

Tämä johtaa vaikeisiin kysymyksiin erityisesti budjetista ja niiden käytöstä.

Useimmat CISO:t ovat houkuttelevia käyttämään tietoja IT-turvallisuuden ydinperiaatteista – pysäytettyjen ongelmien määrä, asennettujen päivitykset, korjatut kriittiset ongelmat – mutta ilman vertailua muihin liiketoimintariskeihin ja -ongelmiin voi olla vaikeaa kiinnittää huomiota ja osoittaa, että CISO toimii. .

Näiden ongelmien ratkaisemiseksi meidän on käytettävä vertailuja ja kontekstitietoja kertoaksemme tarinaa riskeistä. Peruslukujen esittäminen asennettujen korjaustiedostojen määrästä ei kuvaa valtavia ponnisteluja, jotka tehtiin kriittisen ongelman korjaamiseen, joka vaaransi tuloja tuottavan sovelluksen. Se ei myöskään näytä, kuinka tiimisi suoriutuu muita vastaan. Pohjimmiltaan haluat havainnollistaa, miltä hyvä näyttää laudalle ja kuinka jatkat toimituksiasi ajan mittaan.

Lue lisää: Turvallisuuskorjauksen saaminen kokoushuoneen asialistalle

Related: Mitä kokoushuoneesta puuttuu: CISO:t

• SEO-pohjainen sisällön ja PR-jakelu. Vahvista jo tänään.
• PlatoData.Network Vertical Generatiivinen Ai. Vahvista itseäsi. Pääsy tästä.
• PlatoAiStream. Web3 Intelligence. Tietoa laajennettu. Pääsy tästä.
• PlatoESG. hiili, CleanTech, energia, ympäristö, Aurinko, Jätehuolto. Pääsy tästä.
• PlatonHealth. Biotekniikan ja kliinisten kokeiden älykkyys. Pääsy tästä.
• Lähde: https://www.darkreading.com/cloud-security/ciso-corner-cyber-pro-swindle-risk-valuation