Tervetuloa CISO Corneriin, Dark Readingin viikoittaiseen tiivistelmään artikkeleista, jotka on räätälöity erityisesti turvallisuustoimintojen lukijoille ja tietoturvajohtajille. Joka viikko tarjoamme artikkeleita, jotka on poimittu uutistoiminnastamme, The Edgestä, DR Technologysta, DR Globalista ja kommenttiosiostamme. Olemme sitoutuneet tuomaan sinulle monipuolisen joukon näkökulmia tukeaksemme kyberturvallisuusstrategioiden toteuttamista kaikenmuotoisten ja -kokoisten organisaatioiden johtajille.

Tässä CISO Cornerin numerossa:

5 kovaa totuutta pilviturvallisuuden tilasta 2024

Kirjailija: Ericka Chickowski, avustava kirjoittaja, Dark Reading

Dark Reading keskustelee pilviturvallisuudesta John Kindervagin, nollaluottamuksen kummisetämän kanssa.

Useimmat organisaatiot eivät tee yhteistyötä täysin kypsät pilvitietoturvakäytännöthuolimatta lähes puolet pilvestä peräisin olevista tietomurroista ja lähes 4.1 miljoonan dollarin tappiot pilviloukkausten vuoksi viimeisen vuoden aikana.

Se on suuri ongelma nollaluottamuksen turvallisuuden kummisetä John Kindervagin mukaan, joka käsitteli ja popularisoi nollaluottamustietoturvamallia Forresterin analyytikkona. Hän kertoo Dark Readingille, että on olemassa joitain vaikeita totuuksia, jotka on kohdattava asioiden kääntämiseksi.

1. Sinusta ei tule turvallisempaa vain siirtymällä pilveen: Pilvi ei ole luonnostaan ​​turvallisempi kuin useimmat paikalliset ympäristöt: hyperscale-pilvipalveluntarjoajat voivat olla erittäin hyviä suojaamaan infrastruktuuria, mutta heidän hallintansa ja vastuunsa asiakkaidensa tietoturva-asennosta on hyvin rajallinen. Ja jaetun vastuun malli ei todellakaan toimi.

2. Alkuperäisiä suojausohjaimia on vaikea hallita hybridimaailmassa: Laatu on epäjohdonmukaista, kun halutaan tarjota asiakkaille enemmän hallintaa heidän työkuormituksensa, henkilöllisyytensä ja näkyvyytensä suhteen, mutta tietoturvan hallinta, jota voidaan hallita kaikissa useissa pilvissä, on vaikeasti saavutettavissa.

3. Identiteetti ei tallenna pilvesi: Koska niin paljon painotetaan pilvi-identiteetin hallintaa ja suhteetonta huomiota identiteettikomponenttiin nollaluottamuksessa, on tärkeää, että organisaatiot ymmärtävät, että identiteetti on vain osa tasapainoista aamiaista nollaluottamukselle pilveen.

4. Liian monet yritykset eivät tiedä, mitä he yrittävät suojella: Jokaiseen omaisuuteen, järjestelmään tai prosessiin liittyy oma ainutlaatuinen riskinsä, mutta organisaatioilla ei ole selkeää käsitystä siitä, mitä pilvessä on tai mikä siihen liittyy, puhumattakaan siitä, mikä tarvitsee suojaa.

5. Pilvipohjaiset kehityskannustimet ovat poissa käytöstä: Liian monilla organisaatioilla ei yksinkertaisesti ole oikeita kannustinrakenteita kehittäjille, jotta he voisivat panostaa tietoturvaan – ja itse asiassa monilla on vääriä kannustimia, jotka lopulta rohkaisevat epävarmoja käytäntöjä. "Haluan sanoa, että DevOps-sovelluksen ihmiset ovat IT:n Ricky Bobbyja. He haluavat vain mennä nopeasti”, Kindervag sanoo.

Lue lisää: 5 kovaa totuutta pilviturvallisuuden tilasta 2024

Related: Zero Trust ottaa haltuunsa: 63 % organisaatioista, jotka toteuttavat maailmanlaajuisesti

MITER ATT&CKED: InfoSecin luotettavin nimi kuuluu Ivanti Bugsille

Kirjailija Nate Nelson, avustava kirjoittaja, Dark Reading

Ironia jää vain harvoille, sillä kansallisvaltion uhkatekijä käytti kahdeksaa MITER-tekniikkaa murtaakseen itsensä - mukaan lukien Ivanti-bugien hyödyntäminen, joita hyökkääjät ovat kuhiseneet kuukausia.

Ulkomaiset kansallisvaltion hakkerit ovat käyttäneet haavoittuvia Ivanti edge -laitteita saada kolmen kuukauden "syvä" käyttöoikeus johonkin MITER Corp.:n luokittelemattomaan verkkoon.

MITRE, yleisesti tunnettujen kyberhyökkäystekniikoiden ATT&CK-sanaston hoitaja, kesti aiemmin 15 vuotta ilman suuria tapauksia. Sarja katkesi tammikuussa, kun monien muiden organisaatioiden tavoin sen Ivanti-yhdyskäytävälaitteita käytettiin hyväksi.

Rikkomus koski NERVEä, luokittelematonta yhteistyöverkostoa, jota organisaatio käyttää tutkimukseen, kehitykseen ja prototyyppien tekemiseen. HERMOvaurion laajuutta (tarkoitettu sanasana) arvioidaan parhaillaan.

Olivatpa heidän tavoitteensa mitkä tahansa, hakkereilla oli runsaasti aikaa niiden toteuttamiseen. Vaikka kompromissi tapahtui tammikuussa, MITER pystyi havaitsemaan sen vasta huhtikuussa, jolloin väliin jäi neljännesvuosi.

Lue lisää: MITER ATT&CKED: InfoSecin luotettavin nimi kuuluu Ivanti Bugsille

Related: Parhaat MITER ATT&CK -tekniikat ja kuinka puolustautua niitä vastaan

Oppitunteja CISO:lle OWASP:n LLM Top 10:stä

Kommentti Kevin Bocekin, Chief Innovation Officer, Venafi

On aika alkaa säännellä LLM-yrityksiä varmistaaksesi, että ne ovat asianmukaisesti koulutettuja ja valmiita käsittelemään liiketoimia, jotka voivat vaikuttaa tulokseen.

OWASP julkaisi äskettäin suurten kielimallien (LLM) sovellusten kymmenen parhaan listansa, joten kehittäjillä, suunnittelijoilla, arkkitehdeillä ja johtajilla on nyt 10 aluetta, joihin selkeästi keskittyä turvallisuusnäkökohtien suhteen.

Lähes kaikki 10 parasta LLM-uhkaa keskitytään malleissa käytettyjen henkilöllisyyksien todentamisen kompromissiin. Erilaiset hyökkäysmenetelmät ajavat kirjoa ja vaikuttavat paitsi mallisyötteiden identiteeteihin, myös itse mallien identiteeteihin sekä niiden ulostuloihin ja toimiin. Tällä on knock-on-vaikutus ja se vaatii todennusta koodin allekirjoituksessa ja luontiprosesseissa haavoittuvuuden pysäyttämiseksi lähteellä.

Vaikka yli puolet 10 suurimmasta riskistä on olennaisesti lievennettyjä ja vaativat tekoälyn lopettamista, yritysten on arvioitava vaihtoehtoja ottaessaan käyttöön uusia LLM:itä. Jos oikeat työkalut ovat käytössä syötteiden ja mallien sekä mallien toiminnan todentamiseksi, yritykset voivat paremmin hyödyntää tekoälyn kill-switch -ideaa ja estää tuhoamisen.

Lue lisää: Oppitunteja CISO:lle OWASP:n LLM Top 10:stä

Related: Bugcrowd ilmoittaa haavoittuvuusluokitukset LLM-yrityksille

Cybertack Gold: SBOM:t tarjoavat helpon haavoittuvien ohjelmistojen laskennan

Rob Lemos, avustava kirjoittaja, Dark Reading

Hyökkääjät käyttävät todennäköisesti ohjelmistolaskuja (SBOM) etsiessään ohjelmistoja, jotka ovat mahdollisesti haavoittuvia tietyille ohjelmistovirheille.

Hallituksen ja tietoturvan kannalta herkät yritykset vaativat yhä useammin ohjelmistojen valmistajia toimittamaan niille ohjelmistolaskuja (SBOM) toimitusketjuun liittyvien riskien poistamiseksi – mutta tämä luo uudenlaisen huolen.

Pähkinänkuoressa: Hyökkääjä, joka määrittää, mitä ohjelmistoa kohdeyritys käyttää, voi noutaa siihen liittyvän SBOM:n ja analysoida sovelluksen komponenttien heikkouksia lähettämättä yhtäkään pakettia, sanoo ohjelmistojen tietoturvatutkimuksen ja -analyysin johtaja Larry Pesce. toimitusketjun turvallisuusyritys Finite State.

Hän on entinen 20 vuoden penetraatiotestaaja, joka aikoo varoittaa riskeistä "Evil SBOMs" -esityksessä RSA-konferenssissa toukokuussa. Hän osoittaa, että SBOM:illa on tarpeeksi tietoa hyökkääjien mahdollistaakseen sen etsiä tiettyjä CVE:itä SBOM-tietokannasta ja etsi sovellus, joka on todennäköisesti haavoittuvainen. Vielä parempi hyökkääjille, SBOM:t listaavat myös muita laitteen komponentteja ja apuohjelmia, joita hyökkääjä voisi käyttää "elämiseen maasta" kompromissin jälkeen, hän sanoo.

Lue lisää: Cybertack Gold: SBOM:t tarjoavat helpon haavoittuvien ohjelmistojen laskennan

Related: Southern Company rakentaa SBOM:n sähköasemalle

Maailmanlaajuinen: lisensoitu Billille? Nations Mandaate Certification & License of Cybersecurity Pros

Robert Lemos, avustava kirjailija, Dark Reading

Malesia, Singapore ja Ghana ovat ensimmäisiä maita, jotka hyväksyvät kyberturvallisuutta edellyttäviä lakeja yrityksiä – ja joissakin tapauksissa yksittäisiä konsultteja – hankkia lisenssit liiketoimintaan, mutta huolenaiheita on edelleen.

Malesia on liittynyt ainakin kahden muun maan joukkoon - Singapore ja Ghana – hyväksymällä lakeja, jotka edellyttävät kyberturvallisuuden ammattilaisten tai heidän yritystensä sertifiointia ja lupaa tarjota joitakin kyberturvallisuuspalveluita maassaan.

Vaikka lainsäädännön valtuuksia ei ole vielä päätetty, "tämä koskee todennäköisesti palveluntarjoajia, jotka tarjoavat palveluja toisen henkilön tieto- ja viestintätekniikan laitteiden suojaamiseksi - [esimerkiksi] läpäisytestauspalveluntarjoajia ja turvatoimintokeskuksia", Malesiassa toimivan mukaan. asianajotoimisto Christopher & Lee Ong.

Aasian ja Tyynenmeren naapuri Singapore on jo edellyttänyt kyberturvallisuuspalveluntarjoajien (CSP) lisensointia viimeisten kahden vuoden ajan ja Länsi-Afrikan valtio Ghana, joka edellyttää kyberturvallisuuden ammattilaisten lisensointia ja akkreditointia. Laajemmin hallitukset, kuten Euroopan unioni, ovat normalisoineet kyberturvallisuussertifioinnit, kun taas muut virastot - kuten Yhdysvaltain New Yorkin osavaltio - vaativat sertifikaatteja ja lisenssejä kyberturvallisuusominaisuuksille tietyillä aloilla.

Jotkut asiantuntijat kuitenkin näkevät näillä liikkeillä mahdollisesti vaarallisia seurauksia.

Lue lisää: Billille lisensoitu? Nations Mandaate Certification & License of Cyber ​​Security Pros

Related: Singapore asettaa kyberturvallisuusvalmiuden korkealle tasolle

J&J Spin-Off CISO kyberturvallisuuden maksimoinnista

Karen D. Schwartz, avustava kirjoittaja, Dark Reading

Kuinka CISO of Kenvue, kuluttajaterveysalan yritys, joka erosi Johnson & Johnsonista, yhdisti työkaluja ja uusia ideoita turvallisuusohjelman rakentamiseksi.

Johnson & Johnsonin Mike Wagner auttoi muokkaamaan Fortune 100 -yrityksen tietoturvalähestymistapaa ja tietoturvapinoa; nyt hän on J&J:n vuoden vanhan kuluttajaterveydenhuollon spinoffin Kenvuen ensimmäinen CISO, jonka tehtävänä on luoda virtaviivainen ja kustannustehokas arkkitehtuuri maksimaalisella turvallisuudella.

Tässä artikkelissa kerrotaan vaiheista, jotka Wagner ja hänen tiiminsä työskentelivät, mukaan lukien:

Määrittele avainroolit: Arkkitehdit ja insinöörit toteuttamaan työkaluja; identiteetin ja pääsynhallinnan (IAM) asiantuntijat turvallisen todennuksen mahdollistamiseksi; riskienhallinnan johtajat kohdistaa turvallisuus liiketoiminnan prioriteettien kanssa; turvallisuusoperaatioiden henkilöstö vaaratilanteiden reagoimista varten; ja omistautunut henkilökunta jokaiseen kybertoimintoon.

Upota koneoppiminen ja tekoäly: Tehtäviin kuuluu IAM:n automatisointi; toimittajien tarkastuksen virtaviivaistaminen; käyttäytymisanalyysi; ja uhkien havaitsemisen parantaminen.

Valitse, mitkä työkalut ja prosessit säilytetään ja mitkä korvataan: Vaikka J&J:n kyberturvallisuusarkkitehtuuri on tilkkutäkki järjestelmiä, jotka on luotu vuosikymmenien yritysostoilla; tehtäviin kuului J&J:n työkalujen inventointi; kartoittamalla ne Kenvuen toimintamalliin; ja tunnistaa uusia tarvittavia kykyjä.

Wagner sanoo, että tekemistä on enemmän. Seuraavaksi hän aikoo nojata nykyaikaisiin tietoturvastrategioihin, mukaan lukien nollaluottamuksen omaksuminen ja teknisten kontrollien parantaminen.

Lue lisää: J&J Spin-Off CISO kyberturvallisuuden maksimoinnista

Related: Kurkista Visan petostentorjuntatyökaluihin

SolarWinds 2024: Mihin kyberilmoitukset menevät täältä?

Kommentti: Tom Tovar, Appdomen toimitusjohtaja ja toinen luoja

Hanki päivitettyjä neuvoja siitä, miten, milloin ja missä meidän tulisi paljastaa kyberturvallisuushäiriöt SEC:n neljän päivän säännön mukaisesti SolarWindsin jälkeen, ja liity kutsuun uudistaa sääntö korjataksesi ensin.

SolarWindsin jälkeisessä maailmassa meidän pitäisi siirtyä turvasatamaan kyberturvallisuusriskien ja -tapausten korjaamiseksi. Erityisesti, jos jokin yritys korjaa puutteet tai hyökkää neljän päivän kuluessa, sen pitäisi pystyä (a) välttämään petosvaatimus (eli ei mitään puhuttavaa) tai (b) käyttämään tavallisia 10Q- ja 10K-prosessia, mukaan lukien Johdon keskustelu ja analyysi -osio tapauksen paljastamiseksi.

SEC jätti 30. lokakuuta a petosvalitus SolarWindsia vastaan ja sen tietoturvapäällikkö väittäen, että vaikka SolarWindsin työntekijät ja johtajat tiesivät kasvavista riskeistä, haavoittuvuuksista ja hyökkäyksistä SolarWindsin tuotteita vastaan ​​ajan myötä, "SolarWindsin kyberturvallisuusriskejä koskevat tiedot eivät paljastaneet niitä millään tavalla."

Vastuuongelmien ehkäisemiseksi näissä tilanteissa korjaamisen safe harbor -järjestelmä antaisi yrityksille täyden neljän päivän ajan arvioida tapausta ja reagoida siihen. Sitten, jos se korjataan, käytä aikaa paljastaaksesi tapaus asianmukaisesti. Tuloksena on enemmän painoarvoa kyberreagointiin ja pienempi vaikutus yrityksen julkisiin osakkeisiin. 8K:ta voitaisiin edelleen käyttää ratkaisemattomiin kyberturvallisuushäiriöihin.

Lue lisää: SolarWinds 2024: Mihin kyberilmoitukset menevät täältä?

Related: Mitä SolarWinds tarkoittaa DevSecOpsille

• SEO-pohjainen sisällön ja PR-jakelu. Vahvista jo tänään.
• PlatoData.Network Vertical Generatiivinen Ai. Vahvista itseäsi. Pääsy tästä.
• PlatoAiStream. Web3 Intelligence. Tietoa laajennettu. Pääsy tästä.
• PlatoESG. hiili, CleanTech, energia, ympäristö, Aurinko, Jätehuolto. Pääsy tästä.
• PlatonHealth. Biotekniikan ja kliinisten kokeiden älykkyys. Pääsy tästä.
• Lähde: https://www.darkreading.com/cybersecurity-operations/ciso-corner-evil-sboms-zero-trust-cloud-security-mitre-ivanti