Bienvenue dans CISO Corner, le résumé hebdomadaire d'articles de Dark Reading spécialement conçu pour les lecteurs des opérations de sécurité et les responsables de la sécurité. Chaque semaine, nous proposerons des articles glanés dans nos opérations d'information, The Edge, DR Technology, DR Global et notre section Commentaires. Nous nous engageons à vous apporter un ensemble diversifié de perspectives pour soutenir le travail de mise en œuvre des stratégies de cybersécurité, pour les dirigeants d'organisations de toutes formes et tailles.

Dans ce numéro du RSSI Corner :

5 dures vérités sur l’état de la sécurité du cloud en 2024

Par Ericka Chickowski, rédactrice collaboratrice, Dark Reading

Dark Reading discute de la sécurité du cloud avec John Kindervag, le parrain du Zero Trust.

La plupart des organisations ne travaillent pas pleinement pratiques matures de sécurité du cloud, malgré près de la moitié des violations provenant du cloud et près de 4.1 millions de dollars perdus à cause des violations dans le cloud au cours de l'année écoulée.

C'est un gros problème, selon le parrain de la sécurité Zero Trust, John Kindervag, qui a conceptualisé et popularisé le modèle de sécurité Zero Trust en tant qu'analyste chez Forrester. Il dit à Dark Reading qu'il y a des vérités difficiles à affronter pour changer les choses.

1. Vous n'obtenez pas plus de sécurité en allant simplement dans le cloud : Le cloud n'est pas intrinsèquement plus sécurisé que la plupart des environnements sur site : les fournisseurs de cloud hyperscale peuvent être très efficaces dans la protection des infrastructures, mais le contrôle et la responsabilité qu'ils ont sur la posture de sécurité de leurs clients sont très limités. Et le modèle de responsabilité partagée ne fonctionne pas vraiment.

2. Les contrôles de sécurité natifs sont difficiles à gérer dans un monde hybride : La qualité est incohérente lorsqu'il s'agit d'offrir aux clients plus de contrôle sur leurs charges de travail, leurs identités et leur visibilité, mais les contrôles de sécurité qui peuvent être gérés sur l'ensemble des multiples cloud sont insaisissables.

3. L'identité ne sauvera pas votre cloud : Avec autant d'accent mis sur la gestion des identités dans le cloud et une attention disproportionnée accordée à la composante identité du Zero Trust, il est important pour les organisations de comprendre que l'identité n'est qu'une partie d'un petit-déjeuner bien équilibré pour un Zero Trust dans le cloud.

4. Trop d'entreprises ne savent pas ce qu'elles tentent de protéger : Chaque actif, système ou processus comporte son propre risque, mais les organisations n'ont pas une idée claire de ce qui se trouve dans le cloud ou de ce qui s'y connecte, et encore moins de ce qui doit être protégé.

5. Les incitations au développement cloud natif sont hors de contrôle : Trop d’organisations ne disposent tout simplement pas des structures d’incitation appropriées pour inciter les développeurs à se concentrer sur la sécurité au fur et à mesure – et, en fait, nombre d’entre elles ont des incitations perverses qui finissent par encourager des pratiques non sécurisées. « J'aime dire que les spécialistes des applications DevOps sont les Ricky Bobbys de l'informatique. Ils veulent juste aller vite », explique Kindervag.

Lire la suite: 5 dures vérités sur l’état de la sécurité du cloud en 2024

Connexe: Le Zero Trust prend le relais : 63 % des organisations le mettent en œuvre dans le monde

MITRE ATT&CKED : le nom le plus fiable d'InfoSec revient aux bogues Ivanti

Par Nate Nelson, écrivain collaborateur, Dark Reading

L'ironie n'échappe à personne, car un acteur menaçant d'un État-nation a utilisé huit techniques MITRE pour violer MITRE lui-même, notamment en exploitant les bogues Ivanti sur lesquels les attaquants pullulent depuis des mois.

Des pirates informatiques d’États-nations étrangers ont utilisé appareils Ivanti Edge vulnérables pour obtenir trois mois d'accès « approfondi » à l'un des réseaux non classifiés de MITRE Corp.

MITRE, responsable du glossaire omniprésent ATT&CK des techniques de cyberattaque communément connues, a déjà passé 15 ans sans incident majeur. Cette tendance a pris fin en janvier lorsque, comme tant d'autres organisations, ses passerelles Ivanti ont été exploitées.

La violation a affecté l'environnement d'expérimentation, de recherche et de virtualisation en réseau (NERVE), un réseau collaboratif non classifié que l'organisation utilise pour la recherche, le développement et le prototypage. L’étendue des dommages causés au NERVE (jeu de mots) est actuellement en cours d’évaluation.

Quels que soient leurs objectifs, les pirates informatiques avaient tout le temps nécessaire pour les réaliser. Bien que la compromission ait eu lieu en janvier, MITRE n’a pu la détecter qu’en avril, laissant un écart d’un quart d’année entre les deux.

Lire la suite: MITRE ATT&CKED : le nom le plus fiable d'InfoSec revient aux bogues Ivanti

Connexe: Principales techniques MITRE ATT&CK et comment se défendre contre elles

Leçons pour les RSSI du Top 10 LLM de l'OWASP

Commentaire de Kevin Bocek, directeur de l'innovation, Venafi

Il est temps de commencer à réglementer les LLM pour garantir qu'ils sont correctement formés et prêts à gérer des transactions commerciales susceptibles d'affecter les résultats.

L'OWASP a récemment publié son top 10 des applications de grands modèles de langage (LLM), de sorte que les développeurs, les concepteurs, les architectes et les gestionnaires disposent désormais de 10 domaines sur lesquels se concentrer clairement en matière de problèmes de sécurité.

Presque tous les 10 principales menaces LLM autour d’un compromis d’authentification pour les identités utilisées dans les modèles. Les différentes méthodes d'attaque couvrent toute la gamme, affectant non seulement l'identité des entrées du modèle, mais également l'identité des modèles eux-mêmes, ainsi que leurs sorties et actions. Cela a un effet d’entraînement et nécessite une authentification dans les processus de signature et de création de code pour stopper la vulnérabilité à la source.

Alors que plus de la moitié des 10 principaux risques sont essentiellement atténués et nécessitent un kill switch pour l’IA, les entreprises devront évaluer leurs options lors du déploiement de nouveaux LLM. Si les bons outils sont en place pour authentifier les entrées et les modèles, ainsi que les actions des modèles, les entreprises seront mieux équipées pour tirer parti de l'idée du kill-switch de l'IA et empêcher de nouvelles destructions.

Lire la suite: Leçons pour les RSSI du Top 10 LLM de l'OWASP

Connexe: Bugcrowd annonce des évaluations de vulnérabilité pour les LLM

Cyberattack Gold : les SBOM offrent un recensement simple des logiciels vulnérables

Par Rob Lemos, écrivain collaborateur, Dark Reading

Les attaquants utiliseront probablement des factures de matériel logiciel (SBOM) pour rechercher des logiciels potentiellement vulnérables à des failles logicielles spécifiques.

Les gouvernements et les entreprises sensibles à la sécurité demandent de plus en plus aux éditeurs de logiciels de leur fournir des factures de matériel logiciel (SBOM) pour faire face aux risques liés à la chaîne d'approvisionnement, mais cela crée une nouvelle catégorie d'inquiétudes.

En un mot : un attaquant qui détermine quel logiciel une entreprise ciblée exécute, peut récupérer le SBOM associé et analyser les composants de l'application pour détecter les faiblesses, le tout sans envoyer un seul paquet, explique Larry Pesce, directeur de la recherche et de l'analyse sur la sécurité des produits chez Software. société de sécurité de la chaîne d’approvisionnement Finite State.

C'est un ancien testeur d'intrusion depuis 20 ans qui compte mettre en garde contre le risque dans une présentation sur les « Evil SBOMs » à la conférence RSA en mai. Il montrera que les SBOM disposent de suffisamment d'informations pour permettre aux attaquants de rechercher des CVE spécifiques dans une base de données de SBOM et trouvez une application probablement vulnérable. Mieux encore pour les attaquants, les SBOM répertorieront également d'autres composants et utilitaires sur l'appareil que l'attaquant pourrait utiliser pour « vivre de la terre » après un compromis, dit-il.

Lire la suite: Cyberattack Gold : les SBOM offrent un recensement simple des logiciels vulnérables

Connexe: Southern Company construit SBOM pour une sous-station électrique

Global : Autorisé à facturer ? Certification du mandat des Nations et licence des professionnels de la cybersécurité

Par Robert Lemos, écrivain collaborateur, Dark Reading

La Malaisie, Singapour et le Ghana sont parmi les premiers pays à adopter des lois exigeant la cybersécurité. Les entreprises – et dans certains cas, les consultants individuels – doivent obtenir des licences pour faire des affaires, mais des inquiétudes demeurent.

La Malaisie a rejoint au moins deux autres pays : Singapour et le Ghana – en adoptant des lois exigeant que les professionnels de la cybersécurité ou leurs entreprises soient certifiés et agréés pour fournir certains services de cybersécurité dans leur pays.

Même si les mandats de la législation doivent encore être déterminés, « cela s'appliquera probablement aux prestataires de services qui fournissent des services pour protéger les appareils informatiques et de communication d'une autre personne – [par exemple] les prestataires de tests d'intrusion et les centres d'opérations de sécurité », selon une étude basée en Malaisie. cabinet d'avocats Christopher & Lee Ong.

Singapour, voisin de l'Asie-Pacifique, exige déjà depuis deux ans l'autorisation des fournisseurs de services de cybersécurité (CSP), et le Ghana, pays d'Afrique de l'Ouest, exige l'autorisation et l'accréditation des professionnels de la cybersécurité. Plus largement, des gouvernements comme l’Union européenne ont normalisé les certifications de cybersécurité, tandis que d’autres agences, comme l’État américain de New York, exigent des certifications et des licences pour les capacités de cybersécurité dans des secteurs spécifiques.

Cependant, certains experts voient des conséquences potentiellement dangereuses à ces mesures.

Lire la suite: Autorisé à Bill ? Certification du mandat des Nations et licence des professionnels de la cybersécurité

Connexe: Singapour place la barre haute en matière de préparation à la cybersécurité

J&J Spin-Off RSSI sur la maximisation de la cybersécurité

Par Karen D. Schwartz, rédactrice collaboratrice, Dark Reading

Comment le RSSI de Kenvue, une entreprise de soins de santé grand public issue de Johnson & Johnson, a combiné outils et nouvelles idées pour développer le programme de sécurité.

Mike Wagner de Johnson & Johnson a contribué à façonner l'approche et la pile de sécurité de l'entreprise Fortune 100 ; Aujourd'hui, il est le premier RSSI de Kenvue, une spin-off de J&J spécialisée dans les soins de santé grand public, chargée de créer une architecture rationalisée et rentable avec une sécurité maximale.

Cet article détaille les étapes suivies par Wagner et son équipe, notamment :

Définir les rôles clés : Architectes et ingénieurs pour mettre en œuvre les outils ; des experts en gestion des identités et des accès (IAM) pour permettre une authentification sécurisée ; responsables de la gestion des risques aligner la sécurité sur les priorités de l’entreprise ; personnel des opérations de sécurité pour la réponse aux incidents ; et du personnel dédié à chaque cyberfonction.

Intégrez l’apprentissage automatique et l’IA : Les tâches incluent l'automatisation de l'IAM ; rationaliser la vérification des fournisseurs ; analyse comportementale; et améliorer la détection des menaces.

Choisissez les outils et processus à conserver et ceux à remplacer : Alors que l'architecture de cybersécurité de J&J est une mosaïque de systèmes créés par des décennies d'acquisitions ; les tâches ici comprenaient l'inventaire des outils de J&J ; les mapper au modèle opérationnel de Kenvue ; et identifier les nouvelles capacités nécessaires.

Wagner dit qu'il y a encore beaucoup à faire. Il prévoit ensuite de s’appuyer sur des stratégies de sécurité modernes, notamment l’adoption du zéro confiance et l’amélioration des contrôles techniques.

Lire la suite: J&J Spin-Off RSSI sur la maximisation de la cybersécurité

Connexe: Un aperçu des outils d'IA de Visa contre la fraude

SolarWinds 2024 : où vont les cyber-divulgations à partir d’ici ?

Commentaire de Tom Tovar, PDG et co-créateur, Appdome

Obtenez des conseils actualisés sur comment, quand et où nous devrions divulguer les incidents de cybersécurité en vertu de la règle des quatre jours de la SEC après SolarWinds, et rejoignez l'appel pour réorganiser la règle pour y remédier en premier.

Dans un monde post-SolarWinds, nous devrions nous orienter vers une sphère de sécurité pour remédier aux risques et aux incidents de cybersécurité. Plus précisément, si une entreprise corrige les lacunes ou l'attaque dans le délai de quatre jours, elle devrait être en mesure (a) d'éviter une réclamation pour fraude (c'est-à-dire, rien à dire) ou (b) d'utiliser le processus standard 10Q et 10K, y compris la section Commentaires et analyses de la direction, pour divulguer l'incident.

Le 30 octobre, la SEC a déposé une plainte pour fraude contre SolarWinds et son responsable de la sécurité de l'information, alléguant que même si les employés et les dirigeants de SolarWinds étaient au courant des risques, des vulnérabilités et des attaques croissants contre les produits de SolarWinds au fil du temps, « les divulgations des risques de cybersécurité de SolarWinds ne les ont en aucun cas divulgués ».

Pour aider à prévenir les problèmes de responsabilité dans ces situations, une sphère de sécurité en matière de mesures correctives accorderait aux entreprises un délai complet de quatre jours pour évaluer et répondre à un incident. Ensuite, si la situation est corrigée, prenez le temps de divulguer correctement l'incident. Le résultat est une plus grande emphase sur la cyber-réponse et moins d’impact sur les actions publiques d’une entreprise. Les 8K pourraient toujours être utilisés pour des incidents de cybersécurité non résolus.

Lire la suite: SolarWinds 2024 : où vont les cyber-divulgations à partir d’ici ?

Connexe: Ce que SolarWinds signifie pour DevSecOps

• Contenu propulsé par le référencement et distribution de relations publiques. Soyez amplifié aujourd'hui.
• PlatoData.Network Ai générative verticale. Autonomisez-vous. Accéder ici.
• PlatoAiStream. Intelligence Web3. Connaissance Amplifiée. Accéder ici.
• PlatonESG. Carbone, Technologie propre, Énergie, Environnement, Solaire, La gestion des déchets. Accéder ici.
• PlatoHealth. Veille biotechnologique et essais cliniques. Accéder ici.
• La source: https://www.darkreading.com/cybersecurity-operations/ciso-corner-evil-sboms-zero-trust-cloud-security-mitre-ivanti