सीआईएसओ कॉर्नर में आपका स्वागत है, डार्क रीडिंग का साप्ताहिक लेख विशेष रूप से सुरक्षा संचालन पाठकों और सुरक्षा नेताओं के लिए तैयार किया गया है। हर हफ्ते, हम अपने समाचार ऑपरेशन, द एज, डीआर टेक्नोलॉजी, डीआर ग्लोबल और हमारे कमेंटरी अनुभाग से प्राप्त लेख पेश करेंगे। हम सभी आकार और साइज़ के संगठनों के नेताओं के लिए साइबर सुरक्षा रणनीतियों के संचालन के काम में सहायता के लिए विविध दृष्टिकोण लाने के लिए प्रतिबद्ध हैं।

सीआईएसओ कॉर्नर के इस अंक में:

सीआईएसओ साइबर सुरक्षा जागरूकता को बोर्डों के लिए दीर्घकालिक प्राथमिकता कैसे बना सकते हैं

शॉन मैकअल्मोंट, सीईओ, NINJIO साइबर सुरक्षा जागरूकता प्रशिक्षण द्वारा टिप्पणी

साइबर सुरक्षा एक चेक-द-बॉक्स अभ्यास से कहीं अधिक है। कंपनीव्यापी बाय-इन बनाने के लिए, सीआईएसओ को बोर्ड समर्थन सुरक्षित करने, अपने संचार खेल को बढ़ाने और सोशल इंजीनियरिंग से लड़ने के लिए जागरूकता-प्रशिक्षण कार्यक्रम पेश करने और कर्मचारियों को जो उन्होंने सीखा है उसे लागू करने में मदद करने की आवश्यकता है।

सीआईएसओ कंपनी भर में साइबर सुरक्षा के लिए हितधारक समर्थन बनाने में महत्वपूर्ण भूमिका निभाते हैं - जिसमें उनके बोर्डों से जागरूकता प्रशिक्षण के लिए दीर्घकालिक समर्थन अर्जित करने की बात भी शामिल है। जीतने की रणनीतियों में आकर्षक और गैर-तकनीकी तरीके से साइबर सुरक्षा अवधारणाओं को संप्रेषित करना और बोर्ड के सदस्यों को यह दिखाना शामिल है साइबर सुरक्षा कार्यक्रम महत्वपूर्ण आरओआई प्रदान करते हैं.

यह कॉलम पांच तरीके बताता है जिससे सीआईएसओ बोर्ड दिखा सकते हैं कि साइबर सुरक्षा को प्राथमिकता देने का समय आ गया है:

अधिक पढ़ें: सीआईएसओ कैसे साइबर सुरक्षा को बोर्डों के लिए दीर्घकालिक प्राथमिकता बना सकते हैं

संबंधित: उम्मीदें आसमान छूने के बावजूद सीआईएसओ सी-सूट स्थिति के लिए संघर्ष कर रहे हैं

रमज़ान के दौरान मध्य पूर्व में साइबर सुरक्षा का खतरा बढ़ गया है

एलिसिया बुलर द्वारा, योगदानकर्ता लेखिका, डार्क रीडिंग

मुस्लिम पवित्र महीने के दौरान कर्मचारियों की कमी और बढ़े हुए DDoS, फ़िशिंग और रैंसमवेयर अभियानों के बीच क्षेत्र में सुरक्षा टीमें अपनी सुरक्षा कैसे मजबूत करती हैं।

मुस्लिम कैलेंडर का नौवां महीना दुनिया भर में मनाया जाता है, क्योंकि अनुयायी उपवास को प्रतिबिंबित करने और अभ्यास करने के लिए समय निकालते हैं, और साइबर सुरक्षा टीमें अक्सर बहुत कम कर्मचारियों के साथ काम करती हैं। रमज़ान वह अवधि भी है जब मुस्लिम खरीदार विशेष खाद्य पदार्थों, उपहारों और विशेष प्रस्तावों पर अपना खर्च बढ़ाते हैं।

यह सब बुरे अभिनेताओं के लिए कपटपूर्ण गतिविधियों और घोटालों को संचालित करने के लिए एक आदर्श तूफान भी पैदा करता है। एंडपॉइंट-प्रोटेक्शन फर्म रिसिक्योरिटी ने 10 मार्च से शुरू हुए रमज़ान के दौरान साइबर दुर्भावना में उल्लेखनीय वृद्धि देखी है। कंपनी का अनुमान है कि इस साल के रमज़ान के दौरान अब तक मध्य पूर्व के खिलाफ इन साइबर हमलों और साइबर घोटालों से कुल वित्तीय प्रभाव 100 मिलियन डॉलर तक पहुंच गया है। .

मध्य पूर्व स्थित कंपनियां साइबर सुरक्षा बढ़ा सकती हैं काम के घंटे कम होने और ईकॉमर्स गतिविधि में वृद्धि के बीच अतिरिक्त सतर्कता और आउटसोर्स समर्थन के साथ।

आईडीसी में सुरक्षा, मध्य पूर्व, तुर्की और अफ्रीका (एमईटीए) की एसोसिएट रिसर्च डायरेक्टर शिल्पी हांडा कहती हैं, "इस अवधि के दौरान कई संगठन सक्रिय रूप से अपने आउटसोर्स अनुबंधों को बढ़ाते हैं, विशेष रूप से 24/7 सुरक्षा संचालन को मजबूत करने पर ध्यान केंद्रित करते हैं।" रमज़ान के दौरान दूरस्थ और विविध कार्यबल विशेष रूप से फायदेमंद है क्योंकि चौबीसों घंटे सुरक्षा शिफ्ट को मुस्लिम रोज़ेदारों और गैर-मुस्लिम कर्मचारियों के मिश्रण से पूरी तरह से कवर किया जा सकता है।

अधिक पढ़ें: रमज़ान के दौरान मध्य पूर्व में साइबर सुरक्षा का खतरा बढ़ गया है

संबंधित: DMARC ईमेल सुरक्षा की तैनाती में मध्य पूर्व अग्रणी

इंटरनेट को सुरक्षित करने वाले संगठनों को वित्त पोषण

जेनिफ़र लाविंस्की द्वारा, योगदानकर्ता लेखिका, डार्क रीडिंग

कॉमन गुड साइबर एक वैश्विक संघ है जो गैर-लाभकारी, निजी क्षेत्र और सरकारी संगठनों को इंटरनेट बुनियादी ढांचे को सुरक्षित करने पर ध्यान केंद्रित करने वाले संगठनों को वित्त पोषित करने के लिए जोड़ता है।

इसके लिए कोई एक इकाई जिम्मेदार नहीं है इंटरनेट को बनाए रखना और सुरक्षित करना. इसके बजाय, यह कार्य संगठनों और व्यक्तियों के एक विविध समूह पर आता है जो कम धन के साथ, या तंग बजट पर निर्वाह करके इस सार्वजनिक उपयोगिता को संरक्षित करते हैं। दांव अविश्वसनीय रूप से ऊंचे हैं, लेकिन इस बुनियादी ढांचे को सुरक्षित रखने के लिए उपलब्ध संसाधनों की मात्रा कम है।

पलाडिन ग्लोबल इंस्टीट्यूट के अध्यक्ष और पूर्व अमेरिकी कार्यवाहक राष्ट्रीय साइबर निदेशक केम्बा वाल्डेन ने कहा, "इंटरनेट के प्रमुख घटकों का रखरखाव स्वयंसेवकों, गैर-लाभकारी संस्थाओं और गैर सरकारी संगठनों और अन्य लोगों द्वारा किया जाता है जो बहुत कम बजट और संसाधनों के साथ काम करते हैं।" "इस पर विचार करें: हमारे डिजिटल बुनियादी ढांचे का आधार, बुनियादी ढांचा जो आज हमारी अर्थव्यवस्था में नागरिक समाज को पनपने और बढ़ने में सक्षम बनाता है, स्वयंसेवकों, गैर-लाभकारी संस्थाओं, गैर-सरकारी संगठनों और अन्य लोगों के नेटवर्क पर निर्भर है।"

कॉमन गुड साइबर नामक एक पहल कानून और नीति, व्यापार नीतियों और सरकार और साइबर सुरक्षा की सामान्य आवश्यकता को पूरा करने के लिए पर्याप्त अन्य फंडिंग वाहनों में पर्याप्त फंडिंग बनाने के नए तरीके ढूंढ रही है। विचारों में संयुक्त वित्त पोषण संगठन बनाना शामिल है; गैर-लाभकारी संस्थाओं के लिए संघीय धन उगाहना; इंटरनेट के बुनियादी ढांचे का समर्थन करने के लिए कौन क्या कर रहा है इसकी सूची बनाना; और इंटरनेट सुरक्षित करने वाले समूहों को संसाधन प्रदान करने के लिए एक हब या त्वरक।

अधिक पढ़ें: इंटरनेट को सुरक्षित करने वाले संगठनों को वित्त पोषण

संबंधित: ओपन सोर्स डेवलपर्स की उपेक्षा करने से इंटरनेट खतरे में पड़ जाता है

कैसे कतर में 2022 फुटबॉल विश्व कप लगभग हैक कर लिया गया था

जय विजयन, योगदानकर्ता लेखक, डार्क रीडिंग द्वारा

एक सुरक्षा विक्रेता का कहना है कि चीन से जुड़े खतरे वाले अभिनेता के पास राउटर कॉन्फ़िगरेशन डेटाबेस तक पहुंच थी जो कवरेज को पूरी तरह से बाधित कर सकता था।

कतर में 2022 फीफा विश्व कप फुटबॉल टूर्नामेंट से लगभग छह महीने पहले, एक खतरनाक अभिनेता - जिसे बाद में चीन से जुड़े ब्लैकटेक के रूप में पहचाना गया - ने चुपचाप खेलों के लिए एक प्रमुख संचार प्रदाता के नेटवर्क में सेंध लगाई और नेटवर्क डिवाइस कॉन्फ़िगरेशन को संग्रहीत करने वाले एक महत्वपूर्ण सिस्टम पर मैलवेयर लगाया।

खेलों के छह महीने बाद तक उल्लंघन का पता नहीं चला, जिसके दौरान साइबर-जासूसी समूह ने दूरसंचार प्रदाता के लक्षित ग्राहकों से अज्ञात मात्रा में डेटा एकत्र किया - जिसमें विश्व कप से जुड़े लोग और इसके लिए सेवाएं प्रदान करने वाले विक्रेता भी शामिल थे।

लेकिन यह "और क्या हो सकता था" वास्तव में डरावना हिस्सा है: टेलीकॉम प्रदाता के सिस्टम पर ब्लैकटेक की पहुंच ने खतरे वाले अभिनेता को मुख्य संचार को पूरी तरह से बाधित करने की अनुमति दी होगी - जिसमें गेम से जुड़ी सभी स्ट्रीमिंग सेवाएं भी शामिल थीं। इस तरह के व्यवधान का परिणाम भू-राजनीतिक निहितार्थ, ब्रांड क्षति, राष्ट्रीय प्रतिष्ठा और संभावित रूप से काफी बड़ा होगा। करोड़ों डॉलर का घाटा हुआ विश्व कप से पहले लाइसेंसिंग अधिकारों और विज्ञापनों पर बातचीत की गई।

अधिक पढ़ें: कैसे कतर में 2022 फुटबॉल विश्व कप लगभग हैक कर लिया गया था

संबंधित: एनएफएल, सीआईएसए सुपर बाउल LVIII में साइबर खतरों को रोकने पर विचार कर रहे हैं

Microsoft ने Azure AI में सुरक्षा बढ़ा दी है

जय विजयन, योगदानकर्ता लेखक, डार्क रीडिंग द्वारा

Microsoft Azure AI को त्वरित इंजेक्शन जैसे खतरों से बचाने के लिए टूल जोड़ता है, साथ ही डेवलपर्स को यह सुनिश्चित करने की क्षमता देता है कि जेनरेटर AI ऐप्स मॉडल और सामग्री हेरफेर हमलों के प्रति अधिक लचीले हों।

खतरे के अभिनेताओं के बारे में बढ़ती चिंताओं के बीच शीघ्र इंजेक्शन हमलों का उपयोग करना जेनरेटिव एआई (जेनएआई) सिस्टम खतरनाक और अप्रत्याशित तरीके से व्यवहार करते हैं, Microsoft का AI स्टूडियो डेवलपर्स के लिए GenAI ऐप्स बनाने के लिए संसाधन उपलब्ध करा रहा है जो उन खतरों के प्रति अधिक लचीले हैं।

Azure AI स्टूडियो एक होस्टेड प्लेटफ़ॉर्म है जिसका उपयोग संगठन अपने स्वयं के डेटा के आधार पर कस्टम AI सहायक, सह-पायलट, बॉट, खोज उपकरण और अन्य एप्लिकेशन बनाने के लिए कर सकते हैं।

माइक्रोसॉफ्ट ने जो पांच नई क्षमताएं जोड़ी हैं - या जल्द ही जोड़ेगी - वे हैं प्रॉम्प्ट शील्ड्स, ग्राउंडेडनेस डिटेक्शन, सुरक्षा प्रणाली संदेश, सुरक्षा मूल्यांकन और जोखिम और सुरक्षा निगरानी। सुविधाओं को कुछ महत्वपूर्ण चुनौतियों का समाधान करने के लिए डिज़ाइन किया गया है जिन्हें शोधकर्ताओं ने हाल ही में उजागर किया है - और बड़े भाषा मॉडल (एलएलएम) और जेनएआई टूल के उपयोग के संबंध में नियमित आधार पर उजागर करना जारी रखा है।

माइक्रोसॉफ्ट के जिम्मेदार एआई के मुख्य उत्पाद अधिकारी, सारा बर्ड ने कहा, "जेनरेटिव एआई हर विभाग, कंपनी और उद्योग के लिए एक शक्ति गुणक हो सकता है।" "उसी समय, फाउंडेशन मॉडल सुरक्षा और सुरक्षा के लिए नई चुनौतियाँ पेश करते हैं जिनके लिए नवीन शमन और निरंतर सीखने की आवश्यकता होती है।"

अधिक पढ़ें: Microsoft ने Azure AI में सुरक्षा बढ़ा दी है

संबंधित: डीपफेक या फ़िशिंग को भूल जाइए: प्रॉम्प्ट इंजेक्शन GenAI की सबसे बड़ी समस्या है

4 और ख़ुलासों के खुलासे के अगले दिन इवांती ने सुरक्षा व्यवस्था में व्यापक सुधार का वादा किया

जय विजयन, योगदानकर्ता लेखक, डार्क रीडिंग द्वारा

इस साल अब तक, इवांती ने अपने रिमोट एक्सेस उत्पादों में कुल 10 खामियों का खुलासा किया है - जिनमें से कई गंभीर हैं, और एक इसके आईटीएसएम उत्पाद में है।

इवांती के सीईओ जेफ एबॉट ने इस सप्ताह कहा कि उनकी कंपनी अपनी सुरक्षा प्रथाओं में पूरी तरह से सुधार करेगी, भले ही विक्रेता ने बग के एक और नए सेट का खुलासा किया हो। भेद्यता-ग्रस्त इवांति कनेक्ट सिक्योर और पॉलिसी सिक्योर रिमोट एक्सेस उत्पाद।

ग्राहकों को लिखे एक खुले पत्र में, एबॉट ने जनवरी से लगातार बग खुलासे के बाद अपने सुरक्षा ऑपरेटिंग मॉडल को बदलने के लिए आने वाले महीनों में कंपनी द्वारा किए जाने वाले कई बदलावों की प्रतिबद्धता जताई। वादा किए गए सुधारों में इवांती की इंजीनियरिंग, सुरक्षा और भेद्यता प्रबंधन प्रक्रियाओं का पूर्ण रूप से सुधार और उत्पाद विकास के लिए एक नई सुरक्षित-दर-डिज़ाइन पहल का कार्यान्वयन शामिल है।

कंपनी के हालिया सुरक्षा ट्रैक रिकॉर्ड को देखते हुए ये प्रतिबद्धताएं इवांती के प्रति ग्राहकों के बढ़ते मोहभंग को रोकने में कितनी मदद करेंगी, यह स्पष्ट नहीं है। दरअसल, एबॉट की टिप्पणियां इवांती द्वारा अपनी कनेक्ट सिक्योर और पॉलिसी सिक्योर गेटवे प्रौद्योगिकियों में चार नए बग का खुलासा करने और उनमें से प्रत्येक के लिए पैच जारी करने के एक दिन बाद आईं।

अधिक पढ़ें: 4 और ख़ुलासों के खुलासे के अगले दिन इवांती ने सुरक्षा व्यवस्था में व्यापक सुधार का वादा किया

संबंधित: फेड से माइक्रोसॉफ्ट: अभी अपना क्लाउड सुरक्षा अधिनियम साफ़ करें

साइबर सुरक्षा पूरे समाज का मुद्दा क्यों है?

एडम मारुयामा, फील्ड सीटीओ, गैरीसन टेक्नोलॉजी द्वारा टिप्पणी

एक साथ काम करना और साइबर सुरक्षा को हमारी कॉर्पोरेट और व्यक्तिगत सोच के हिस्से के रूप में एकीकृत करना हैकर्स के लिए जीवन को कठिन और हमारे लिए सुरक्षित बना सकता है।

हम कमजोरियों में डूब रहे हैं: साइबर सिक्योरिटी एंड इंफ्रास्ट्रक्चर सिक्योरिटी एजेंसी (सीआईएसए) के निदेशक जेन ईस्टरली ने हाल ही में चीनी साइबर ऑपरेशंस पर कांग्रेस की सुनवाई में कहा था कि "हमने खराब सॉफ्टवेयर डिजाइन के माध्यम से हमलावरों पर काबू पाना आसान बना दिया है"। लेकिन साइबर सुरक्षा के लिए बाजार को नया आकार देने के लिए पूरे समाज को प्रयास करना होगा ताकि ऐसी प्रौद्योगिकियां बनाई जा सकें जो उच्च प्रदर्शन वाली और सुरक्षित दोनों हों।

जैसा कि सीआईएसए ने अपनी सिक्योर बाय डिज़ाइन पहल में व्यक्त किया है, विक्रेताओं द्वारा सुरक्षित कोडिंग ऐसी प्रौद्योगिकियाँ बनाने की दिशा में पहला कदम है जो सुरक्षित और उपयोग योग्य दोनों हैं। लेकिन व्यवसायों को यह एहसास होना चाहिए, जैसा कि ईस्टरली ने कहा था, कि उनके सभी व्यावसायिक प्रथाओं में साइबर सुरक्षा को शामिल करके "साइबर-जोखिम व्यावसायिक जोखिम है"। विशेष रूप से, सीआईएसओ का कद बढ़ाकर और उन्हें संपूर्ण व्यवसाय, विशेष रूप से खरीद निर्णयों की समग्र साइबर सुरक्षा निगरानी देकर, कंपनियां साइबर सुरक्षा को व्यावसायिक प्रक्रियाओं में एक जैविक कदम के रूप में शामिल कर सकती हैं।

इस बीच, साइबर सुरक्षा और आईटी पेशेवरों - दो निकट रूप से संबंधित लेकिन अक्सर टकराव वाले समूह - को ऐसे नेटवर्क बनाने के लिए एक साथ आना चाहिए जो उनके उपयोगकर्ताओं के लिए सुरक्षित और कार्यात्मक दोनों हों। और, साइबर सुरक्षा के लिए संपूर्ण समाज के दृष्टिकोण का अंतिम भाग सबसे कठिन और सबसे महत्वपूर्ण दोनों है: मल्टीफैक्टर प्रमाणीकरण जैसी चीजों के माध्यम से नागरिकों के दिन-प्रतिदिन के जीवन में साइबर सुरक्षा को एकीकृत करना।

अधिक पढ़ें: साइबर सुरक्षा पूरे समाज का मुद्दा क्यों है?

संबंधित: एनआईएसटी अपने एनवीडी बैकलॉग से बाहर निकलने में मदद चाहता है

• एसईओ संचालित सामग्री और पीआर वितरण। आज ही प्रवर्धित हो जाओ।
• प्लेटोडेटा.नेटवर्क वर्टिकल जेनरेटिव एआई। स्वयं को शक्तिवान बनाएं। यहां पहुंचें।
• प्लेटोआईस्ट्रीम। Web3 इंटेलिजेंस। ज्ञान प्रवर्धित। यहां पहुंचें।
• प्लेटोईएसजी. कार्बन, क्लीनटेक, ऊर्जा, पर्यावरण, सौर, कचरा प्रबंधन। यहां पहुंचें।
• प्लेटोहेल्थ। बायोटेक और क्लिनिकल परीक्षण इंटेलिजेंस। यहां पहुंचें।
• स्रोत: https://www.darkreading.com/remote-workforce/ciso-corner-ivanti-mea-culpa-world-cup-hack-cyber-awareness