सीआईएसओ कॉर्नर में आपका स्वागत है, डार्क रीडिंग का साप्ताहिक लेख विशेष रूप से सुरक्षा संचालन पाठकों और सुरक्षा नेताओं के लिए तैयार किया गया है। हर हफ्ते, हम अपने समाचार ऑपरेशन, द एज, डीआर टेक्नोलॉजी, डीआर ग्लोबल और हमारे कमेंटरी अनुभाग से प्राप्त लेख पेश करेंगे। हम सभी आकार और साइज़ के संगठनों के नेताओं के लिए साइबर सुरक्षा रणनीतियों के संचालन के काम में सहायता के लिए विविध दृष्टिकोण लाने के लिए प्रतिबद्ध हैं।

सीआईएसओ कॉर्नर के इस अंक में:

5 में क्लाउड सुरक्षा की स्थिति के बारे में 2024 कठिन सत्य

एरिका चिकोव्स्की द्वारा, योगदानकर्ता लेखिका, डार्क रीडिंग

डार्क रीडिंग शून्य विश्वास के गॉडफादर जॉन किंडरवाग के साथ क्लाउड सुरक्षा पर बात करती है।

अधिकांश संगठन पूरी तरह से काम नहीं कर रहे हैं परिपक्व क्लाउड सुरक्षा प्रथाएँ, लगभग आधे उल्लंघनों की उत्पत्ति क्लाउड में होने के बावजूद और पिछले वर्ष में क्लाउड उल्लंघनों से लगभग $4.1 मिलियन का नुकसान हुआ।

जीरो-ट्रस्ट सुरक्षा के गॉडफादर जॉन किंडरवाग के अनुसार, यह एक बड़ी समस्या है, जिन्होंने फॉरेस्टर में एक विश्लेषक के रूप में जीरो-ट्रस्ट सुरक्षा मॉडल की संकल्पना की और इसे लोकप्रिय बनाया। वह डार्क रीडिंग को बताता है कि चीजों को बदलने के लिए कुछ कठिन सच्चाइयों का सामना करना पड़ता है।

1. केवल क्लाउड पर जाने से आप अधिक सुरक्षित नहीं हो जाते: अधिकांश ऑन-प्रिमाइसेस परिवेशों की तुलना में क्लाउड स्वाभाविक रूप से अधिक सुरक्षित नहीं है: हाइपरस्केल क्लाउड प्रदाता बुनियादी ढांचे की सुरक्षा में बहुत अच्छे हो सकते हैं, लेकिन अपने ग्राहकों की सुरक्षा स्थिति पर उनका नियंत्रण और जिम्मेदारी बहुत सीमित है। और साझा जिम्मेदारी मॉडल वास्तव में काम नहीं करता है।

2. मिश्रित दुनिया में मूल सुरक्षा नियंत्रण प्रबंधित करना कठिन है: जब ग्राहकों को उनके कार्यभार, पहचान और दृश्यता पर अधिक नियंत्रण प्रदान करने की बात आती है तो गुणवत्ता असंगत होती है, लेकिन सुरक्षा नियंत्रण जिन्हें सभी कई क्लाउडों में प्रबंधित किया जा सकता है, मायावी हैं।

3. पहचान आपके क्लाउड को नहीं बचाएगी: क्लाउड पहचान प्रबंधन पर इतना जोर देने और शून्य भरोसे में पहचान घटक पर असंगत ध्यान देने के साथ, संगठनों के लिए यह समझना महत्वपूर्ण है कि पहचान क्लाउड में शून्य भरोसे के लिए एक अच्छी तरह से संतुलित नाश्ते का ही हिस्सा है।

4. बहुत सी कंपनियाँ नहीं जानतीं कि वे किसकी सुरक्षा करने का प्रयास कर रही हैं: प्रत्येक परिसंपत्ति या प्रणाली या प्रक्रिया का अपना अनूठा जोखिम होगा, लेकिन संगठनों को इस बात का स्पष्ट पता नहीं है कि क्लाउड में क्या है या क्लाउड से क्या जुड़ता है, अकेले ही बताएं कि किस चीज़ की सुरक्षा की आवश्यकता है।

5. क्लाउड-नेटिव विकास प्रोत्साहन बेकार हैं: बहुत से संगठनों के पास डेवलपर्स के लिए सुरक्षा सुनिश्चित करने के लिए सही प्रोत्साहन संरचनाएं नहीं हैं - और, वास्तव में, कई के पास विकृत प्रोत्साहन हैं जो अंततः असुरक्षित अभ्यास को प्रोत्साहित करते हैं। “मुझे यह कहना पसंद है कि DevOps ऐप के लोग आईटी के रिकी बॉबी हैं। वे बस तेजी से आगे बढ़ना चाहते हैं,'' किंडरवाग कहते हैं।

अधिक पढ़ें: 5 में क्लाउड सुरक्षा की स्थिति के बारे में 2024 कठिन सत्य

संबंधित: ज़ीरो ट्रस्ट ने कब्ज़ा कर लिया: 63% संगठन वैश्विक स्तर पर कार्यान्वित हो रहे हैं

MITER ATT&CKED: इन्फोसेक का सबसे भरोसेमंद नाम इवंती बग्स के नाम पर है

नैट नेल्सन द्वारा, योगदानकर्ता लेखक, डार्क रीडिंग

विडंबना यह है कि कुछ लोग भूल गए हैं, क्योंकि एक राष्ट्र-राज्य खतरा अभिनेता ने एमआईटीईआर में सेंध लगाने के लिए आठ एमआईटीईआर तकनीकों का इस्तेमाल किया - जिसमें इवांती बग का शोषण भी शामिल था, जिस पर हमलावर कई महीनों से मंडरा रहे थे।

विदेशी राष्ट्र-राज्य हैकर्स ने उपयोग किया है कमजोर इवंती एज डिवाइस MITER Corp. के अवर्गीकृत नेटवर्कों में से एक तक तीन महीने की "गहरी" पहुंच प्राप्त करने के लिए।

MITRE, आमतौर पर ज्ञात साइबर हमले तकनीकों की सर्वव्यापी ATT&CK शब्दावली के प्रबंधक, पहले 15 वर्षों तक बिना किसी बड़ी घटना के रहे थे। यह सिलसिला जनवरी में टूटा, जब कई अन्य संगठनों की तरह, इसके इवांती गेटवे उपकरणों का शोषण किया गया।

उल्लंघन ने नेटवर्क्ड एक्सपेरिमेंटेशन, रिसर्च और वर्चुअलाइजेशन एनवायरनमेंट (एनईआरवीई) को प्रभावित किया, जो एक अवर्गीकृत, सहयोगी नेटवर्क है जिसका उपयोग संगठन अनुसंधान, विकास और प्रोटोटाइप के लिए करता है। वर्तमान में तंत्रिका क्षति की सीमा का आकलन किया जा रहा है।

उनके लक्ष्य जो भी हों, हैकरों के पास उन्हें पूरा करने के लिए पर्याप्त समय था। हालाँकि समझौता जनवरी में हुआ था, MITER केवल अप्रैल में इसका पता लगाने में सक्षम था, बीच में एक चौथाई साल का अंतर छोड़कर।

अधिक पढ़ें: MITER ATT&CKED: इन्फोसेक का सबसे भरोसेमंद नाम इवंती बग्स के नाम पर है

संबंधित: शीर्ष MITER ATT&CK तकनीकें और उनसे बचाव कैसे करें

ओडब्ल्यूएएसपी के एलएलएम टॉप 10 से सीआईएसओ के लिए सबक

केविन बोसेक, मुख्य नवप्रवर्तन अधिकारी, वेनाफ़ी द्वारा टिप्पणी

यह सुनिश्चित करने के लिए एलएलएम को विनियमित करना शुरू करने का समय आ गया है कि वे सटीक रूप से प्रशिक्षित हैं और उन व्यापारिक सौदों को संभालने के लिए तैयार हैं जो निचले स्तर को प्रभावित कर सकते हैं।

OWASP ने हाल ही में बड़े भाषा मॉडल (एलएलएम) अनुप्रयोगों के लिए अपनी शीर्ष 10 सूची जारी की है, इसलिए सुरक्षा चिंताओं के मामले में डेवलपर्स, डिजाइनरों, आर्किटेक्ट्स और प्रबंधकों के पास अब स्पष्ट रूप से ध्यान केंद्रित करने के लिए 10 क्षेत्र हैं।

लगभग सभी शीर्ष 10 एलएलएम खतरे मॉडलों में प्रयुक्त पहचानों के लिए प्रमाणीकरण के समझौते पर केन्द्रित। अलग-अलग हमले के तरीकों का दायरा बढ़ता है, जो न केवल मॉडल इनपुट की पहचान को प्रभावित करता है, बल्कि स्वयं मॉडल की पहचान, साथ ही उनके आउटपुट और कार्यों को भी प्रभावित करता है। इसका नॉक-ऑन प्रभाव होता है और स्रोत पर भेद्यता को रोकने के लिए कोड-हस्ताक्षर और निर्माण प्रक्रियाओं में प्रमाणीकरण की आवश्यकता होती है।

जबकि शीर्ष 10 जोखिमों में से आधे से अधिक वे हैं जिन्हें अनिवार्य रूप से कम किया गया है और एआई के लिए किल स्विच की आवश्यकता है, कंपनियों को नए एलएलएम तैनात करते समय अपने विकल्पों का मूल्यांकन करने की आवश्यकता होगी। यदि इनपुट और मॉडल के साथ-साथ मॉडल के कार्यों को प्रमाणित करने के लिए सही उपकरण मौजूद हैं, तो कंपनियां एआई किल-स्विच विचार का लाभ उठाने और आगे के विनाश को रोकने के लिए बेहतर ढंग से सुसज्जित होंगी।

अधिक पढ़ें: ओडब्ल्यूएएसपी के एलएलएम टॉप 10 से सीआईएसओ के लिए सबक

संबंधित: बगक्राउड ने एलएलएम के लिए भेद्यता रेटिंग की घोषणा की

साइबरअटैक गोल्ड: एसबीओएम कमजोर सॉफ्टवेयर की आसान जनगणना की पेशकश करते हैं

रॉब लेमोस द्वारा, योगदानकर्ता लेखक, डार्क रीडिंग

हमलावर संभावित रूप से विशिष्ट सॉफ़्टवेयर दोषों के प्रति संवेदनशील सॉफ़्टवेयर की खोज के लिए सॉफ़्टवेयर बिल-ऑफ़-मटेरियल (एसबीओएम) का उपयोग करेंगे।

सरकार और सुरक्षा-संवेदनशील कंपनियों को आपूर्ति-श्रृंखला जोखिम को संबोधित करने के लिए सॉफ्टवेयर निर्माताओं से सामग्री के सॉफ्टवेयर बिल (एसबीओएम) प्रदान करने की आवश्यकता बढ़ रही है - लेकिन यह चिंता की एक नई श्रेणी पैदा कर रहा है।

संक्षेप में: एक हमलावर जो यह निर्धारित करता है कि लक्षित कंपनी कौन सा सॉफ्टवेयर चला रही है, वह संबंधित एसबीओएम को पुनः प्राप्त कर सकता है और कमजोरियों के लिए एप्लिकेशन के घटकों का विश्लेषण कर सकता है, यह सब एक भी पैकेट भेजे बिना, सॉफ्टवेयर में उत्पाद सुरक्षा अनुसंधान और विश्लेषण के निदेशक लैरी पेस कहते हैं। आपूर्ति-श्रृंखला सुरक्षा फर्म फिनाईट स्टेट।

वह 20 साल का पूर्व प्रवेश परीक्षक है जो मई में आरएसए सम्मेलन में "ईविल एसबीओएम" पर एक प्रस्तुति में जोखिम के बारे में चेतावनी देने की योजना बना रहा है। वह दिखाएगा कि एसबीओएम के पास हमलावरों को अनुमति देने के लिए पर्याप्त जानकारी है एसबीओएम के डेटाबेस में विशिष्ट सीवीई खोजें और ऐसा एप्लिकेशन ढूंढें जो संभावित रूप से असुरक्षित हो। उनका कहना है कि हमलावरों के लिए और भी बेहतर, एसबीओएम डिवाइस पर अन्य घटकों और उपयोगिताओं को भी सूचीबद्ध करेगा जिनका उपयोग हमलावर समझौते के बाद "जमीन से दूर रहने" के लिए कर सकता है।

अधिक पढ़ें: साइबरअटैक गोल्ड: एसबीओएम कमजोर सॉफ्टवेयर की आसान जनगणना की पेशकश करते हैं

संबंधित: साउदर्न कंपनी इलेक्ट्रिक पावर सबस्टेशन के लिए एसबीओएम का निर्माण करती है

वैश्विक: बिल के लिए लाइसेंस प्राप्त? राष्ट्र जनादेश प्रमाणन और साइबर सुरक्षा पेशेवरों का लाइसेंस

रॉबर्ट लेमोस द्वारा, योगदानकर्ता लेखक, डार्क रीडिंग

मलेशिया, सिंगापुर और घाना साइबर सुरक्षा की आवश्यकता वाले कानून पारित करने वाले पहले देशों में से हैं कंपनियाँ - और कुछ मामलों में, व्यक्तिगत सलाहकार - व्यवसाय करने के लिए लाइसेंस प्राप्त करने के लिए, लेकिन चिंताएँ बनी हुई हैं।

मलेशिया कम से कम दो अन्य देशों में शामिल हो गया है - सिंगापुर और घाना - ऐसे कानून पारित करने में जिनके लिए साइबर सुरक्षा पेशेवरों या उनकी फर्मों को अपने देश में कुछ साइबर सुरक्षा सेवाएं प्रदान करने के लिए प्रमाणित और लाइसेंस प्राप्त करने की आवश्यकता होती है।

हालांकि कानून के आदेश अभी तक निर्धारित नहीं किए गए हैं, "यह संभवतः उन सेवा प्रदाताओं पर लागू होगा जो किसी अन्य व्यक्ति की सूचना और संचार प्रौद्योगिकी उपकरण की सुरक्षा के लिए सेवाएं प्रदान करते हैं - [उदाहरण के लिए] प्रवेश परीक्षण प्रदाता और सुरक्षा संचालन केंद्र," मलेशिया स्थित के अनुसार लॉ फर्म क्रिस्टोफर और ली ओंग।

एशिया-प्रशांत पड़ोसी सिंगापुर को पहले से ही पिछले दो वर्षों से साइबर सुरक्षा सेवा प्रदाताओं (सीएसपी) के लाइसेंस की आवश्यकता है, और पश्चिम अफ्रीकी देश घाना को साइबर सुरक्षा पेशेवरों की लाइसेंसिंग और मान्यता की आवश्यकता है। अधिक व्यापक रूप से, यूरोपीय संघ जैसी सरकारों ने साइबर सुरक्षा प्रमाणपत्रों को सामान्य कर दिया है, जबकि अन्य एजेंसियों - जैसे कि अमेरिकी राज्य न्यूयॉर्क - को विशिष्ट उद्योगों में साइबर सुरक्षा क्षमताओं के लिए प्रमाणन और लाइसेंस की आवश्यकता होती है।

हालाँकि, कुछ विशेषज्ञ इन कदमों से संभावित खतरनाक परिणाम देखते हैं।

अधिक पढ़ें: बिल के लिए लाइसेंस प्राप्त है? राष्ट्र जनादेश प्रमाणन और साइबर सुरक्षा पेशेवरों का लाइसेंस

संबंधित: सिंगापुर ने साइबर सुरक्षा तैयारियों में उच्च स्तर स्थापित किया

साइबर सुरक्षा को अधिकतम करने पर J&J स्पिन-ऑफ CISO

करेन डी. श्वार्ट्ज द्वारा, योगदानकर्ता लेखक, डार्क रीडिंग

जॉनसन एंड जॉनसन से निकली उपभोक्ता स्वास्थ्य सेवा कंपनी केनव्यू के सीआईएसओ ने सुरक्षा कार्यक्रम बनाने के लिए उपकरणों और नए विचारों को कैसे संयोजित किया।

जॉनसन एंड जॉनसन के माइक वैगनर ने फॉर्च्यून 100 कंपनी के सुरक्षा दृष्टिकोण और सुरक्षा स्टैक को आकार देने में मदद की; अब, वह J&J के वर्षों पुराने उपभोक्ता स्वास्थ्य सेवा स्पिनऑफ, केनव्यू के पहले CISO हैं, जिन्हें अधिकतम सुरक्षा के साथ एक सुव्यवस्थित और लागत प्रभावी वास्तुकला बनाने का काम सौंपा गया है।

यह लेख उन चरणों का विवरण देता है जिन पर वैगनर और उनकी टीम ने काम किया, जिनमें शामिल हैं:

प्रमुख भूमिकाएँ परिभाषित करें: उपकरण लागू करने के लिए आर्किटेक्ट और इंजीनियर; सुरक्षित प्रमाणीकरण सक्षम करने के लिए पहचान और पहुंच प्रबंधन (आईएएम) विशेषज्ञ; जोखिम प्रबंधन नेता सुरक्षा को व्यावसायिक प्राथमिकताओं के साथ संरेखित करना; घटना की प्रतिक्रिया के लिए सुरक्षा संचालन कर्मचारी; और प्रत्येक साइबर कार्य के लिए समर्पित कर्मचारी।

मशीन लर्निंग और एआई एम्बेड करें: कार्यों में IAM को स्वचालित करना शामिल है; आपूर्तिकर्ता जांच को सुव्यवस्थित करना; व्यवहारिक विश्लेषण; और खतरे का पता लगाने में सुधार।

चुनें कि कौन से उपकरण और प्रक्रियाएँ बनाए रखनी हैं और किसे बदलना है: जबकि J&J की साइबर सुरक्षा वास्तुकला दशकों के अधिग्रहण द्वारा बनाई गई प्रणालियों का एक मिश्रण है; यहां कार्यों में J&J के उपकरणों की सूची बनाना शामिल था; उन्हें केनव्यू के ऑपरेटिंग मॉडल पर मैप करना; और नई आवश्यक क्षमताओं की पहचान करना।

वैगनर का कहना है कि अभी और भी बहुत कुछ करना बाकी है। इसके बाद, उनकी योजना आधुनिक सुरक्षा रणनीतियों की ओर झुकाव की है, जिसमें शून्य विश्वास को अपनाना और तकनीकी नियंत्रण को बढ़ाना शामिल है।

अधिक पढ़ें: साइबर सुरक्षा को अधिकतम करने पर J&J स्पिन-ऑफ CISO

संबंधित: धोखाधड़ी के विरुद्ध वीज़ा के एआई टूल्स पर एक नज़र

सोलरविंड्स 2024: साइबर खुलासे कहां से होते हैं?

टॉम टोवर, सीईओ और सह-निर्माता, ऐपडोम द्वारा टिप्पणी

सोलरविंड्स के बाद एसईसी के चार दिवसीय नियम के तहत हमें कैसे, कब और कहां साइबर सुरक्षा घटनाओं का खुलासा करना चाहिए, इस पर अद्यतन सलाह प्राप्त करें और पहले निवारण के लिए नियम को सुधारने के लिए कॉल में शामिल हों।

सोलरविंड्स के बाद की दुनिया में, हमें साइबर सुरक्षा जोखिमों और घटनाओं के लिए एक उपचारात्मक सुरक्षित बंदरगाह की ओर बढ़ना चाहिए। विशेष रूप से, यदि कोई कंपनी चार दिन की समय सीमा के भीतर कमियों को दूर करती है या हमला करती है, तो उसे (ए) धोखाधड़ी के दावे से बचने में सक्षम होना चाहिए (यानी, बात करने के लिए कुछ भी नहीं) या (बी) मानक 10Q और 10K प्रक्रिया का उपयोग करना चाहिए, घटना का खुलासा करने के लिए प्रबंधन चर्चा और विश्लेषण अनुभाग भी शामिल है।

30 अक्टूबर को, एसईसी ने एक दायर किया सोलरविंड्स के खिलाफ धोखाधड़ी की शिकायत और इसके मुख्य सूचना सुरक्षा अधिकारी ने आरोप लगाया कि भले ही सोलरविंड्स के कर्मचारियों और अधिकारियों को समय के साथ सोलरविंड्स के उत्पादों के खिलाफ बढ़ते जोखिमों, कमजोरियों और हमलों के बारे में पता था, "सोलरविंड्स के साइबर सुरक्षा जोखिम खुलासे ने उन्हें किसी भी तरह से प्रकट नहीं किया।"

इन स्थितियों में दायित्व के मुद्दों को रोकने में मदद करने के लिए, एक उपचारात्मक सुरक्षित बंदरगाह कंपनियों को किसी घटना का मूल्यांकन करने और प्रतिक्रिया देने के लिए पूरे चार दिन की समय सीमा की अनुमति देगा। फिर यदि निवारण हो तो घटना का उचित खुलासा करने के लिए समय निकालें। इसका परिणाम साइबर प्रतिक्रिया पर अधिक जोर देना और कंपनी के सार्वजनिक स्टॉक पर कम प्रभाव डालना है। 8K का उपयोग अभी भी अनसुलझे साइबर सुरक्षा घटनाओं के लिए किया जा सकता है।

अधिक पढ़ें: सोलरविंड्स 2024: साइबर खुलासे कहां से होते हैं?

संबंधित: DevSecOps के लिए सोलरविंड्स का क्या अर्थ है

• एसईओ संचालित सामग्री और पीआर वितरण। आज ही प्रवर्धित हो जाओ।
• प्लेटोडेटा.नेटवर्क वर्टिकल जेनरेटिव एआई। स्वयं को शक्तिवान बनाएं। यहां पहुंचें।
• प्लेटोआईस्ट्रीम। Web3 इंटेलिजेंस। ज्ञान प्रवर्धित। यहां पहुंचें।
• प्लेटोईएसजी. कार्बन, क्लीनटेक, ऊर्जा, पर्यावरण, सौर, कचरा प्रबंधन। यहां पहुंचें।
• प्लेटोहेल्थ। बायोटेक और क्लिनिकल परीक्षण इंटेलिजेंस। यहां पहुंचें।
• स्रोत: https://www.darkreading.com/cybersecurity-operations/ciso-corner-evil-sboms-zero-trust-cloud-security-mitre-ivanti