Üdvözöljük a CISO Cornerben, a Dark Reading heti kivonatában, amely kifejezetten a biztonsági műveletek olvasóira és biztonsági vezetőire szabott cikkeket tartalmaz. Minden héten hírműködésünkből, a The Edge-ből, a DR Technology-ból, a DR Global-ból és a kommentárunkból összegyűjtött cikkeket kínálunk. Elkötelezettek vagyunk amellett, hogy változatos perspektívákat kínálunk Önnek, hogy támogassuk a kiberbiztonsági stratégiák operacionalizálását a különféle formájú és méretű szervezetek vezetői számára.

A CISO Corner jelen számában:

5 kemény igazság a Cloud Security 2024 helyzetéről

Írta: Ericka Chickowski, közreműködő író, Dark Reading

A Dark Reading a felhőbiztonságról beszélget John Kindervaggal, a nulla bizalom keresztapjával.

A legtöbb szervezet nem működik együtt teljes mértékben kiforrott felhőbiztonsági gyakorlatok, annak ellenére, hogy a felhőből eredő jogsértések csaknem fele, és az elmúlt évben csaknem 4.1 millió dollárt veszítettek a felhőből származó incidensek.

Ez nagy probléma a zéró bizalmi biztonság keresztapja, John Kindervag szerint, aki a Forrester elemzőjeként megalkotta és népszerűsítette a nulla bizalommal járó biztonsági modellt. Azt mondja a Dark Readingnek, hogy van néhány kemény igazság, amellyel szembe kell nézni a dolgok megfordítása érdekében.

1. Nem lesz nagyobb biztonságban, ha a felhőbe lép: A felhő nem eredendően biztonságosabb, mint a legtöbb helyszíni környezet: a hiperskálájú felhőszolgáltatók nagyon jól védik az infrastruktúrát, de az ügyfeleik biztonsági helyzete feletti ellenőrzésük és felelősségük nagyon korlátozott. A megosztott felelősség modellje pedig nem igazán működik.

2. A natív biztonsági ellenőrzéseket nehéz kezelni egy hibrid világban: A minőség inkonzisztens, ha arról van szó, hogy az ügyfeleknek nagyobb ellenőrzést biztosítsanak a munkaterhelésük, személyazonosságuk és láthatóságuk felett, de a több felhőben kezelhető biztonsági ellenőrzések megfoghatatlanok.

3. Az identitás nem menti a felhőt: Mivel ekkora hangsúlyt fektetnek a felhőalapú identitáskezelésre, és aránytalanul nagy figyelmet fordítanak az identitáskomponensre nulla bizalom mellett, fontos, hogy a szervezetek megértsék, hogy az identitás csak része a felhőbe vetett bizalom nulla kiegyensúlyozott reggelijének.

4. Túl sok cég nem tudja, mit akar megvédeni: Minden eszköznek, rendszernek vagy folyamatnak megvan a maga egyedi kockázata, de a szervezeteknek nincs világos elképzelésük arról, hogy mi van a felhőben, vagy mi kapcsolódik a felhőhöz, nem beszélve arról, hogy mit kell védeni.

5. A felhőalapú natív fejlesztési ösztönzők kimaradtak: Túl sok szervezet egyszerűen nem rendelkezik megfelelő ösztönző struktúrával a fejlesztők számára, hogy menet közben a biztonságra törekedjenek – sőt, sokuknak vannak olyan rossz ösztönzői, amelyek végül bizonytalan gyakorlatra ösztönöznek. „Szeretem azt mondani, hogy a DevOps alkalmazás emberei az IT Ricky Bobbyjai. Csak gyorsan akarnak menni” – mondja Kindervag.

Bővebben: 5 kemény igazság a Cloud Security 2024 helyzetéről

Kapcsolódó: Zero Trust veszi át az irányítást: a globálisan megvalósító szervezetek 63%-a

MITER ATT&CKED: Az InfoSec legmegbízhatóbb neve Ivanti Bugs

Írta: Nate Nelson, közreműködő író, Dark Reading

Az irónia kevesen veszett el, mivel egy nemzetállami fenyegetést jelentő szereplő nyolc MITER-technikát alkalmazott magának a MITER-nek – beleértve az Ivanti-hibák kihasználását, amelyeken a támadók hónapok óta nyüzsögnek.

Külföldi nemzetállami hackerek használtak sebezhető Ivanti edge készülékek hogy három hónapig „mély” hozzáférést szerezzen a MITER Corp. egyik nem minősített hálózatához.

MITRE, az általánosan ismert kibertámadási technikákról szóló, mindenütt jelenlévő ATT&CK szószedet stewardja, korábban 15 éven át nem történt komolyabb incidens. A sorozat januárban szakadt meg, amikor sok más szervezethez hasonlóan az Ivanti gateway eszközeit is kihasználták.

A jogsértés a Hálózati Kísérleti, Kutatási és Virtualizációs Környezetet (NERVE) érintette, egy besorolatlan, együttműködésen alapuló hálózatot, amelyet a szervezet kutatásra, fejlesztésre és prototípus-készítésre használ. Az IDEG károsodás mértékének felmérése folyamatban van.

Bármi is volt a céljuk, a hackereknek bőven volt idejük megvalósítani azokat. Bár a kompromisszum januárban megtörtént, a MITER csak áprilisban tudta észlelni, így negyed évnyi különbség maradt közöttük.

Bővebben: MITER ATT&CKED: Az InfoSec legmegbízhatóbb neve Ivanti Bugs

Kapcsolódó: A legjobb MITER ATT&CK technikák és az ellenük való védekezés

Leckék a CISO-knak az OWASP LLM Top 10-éből

Kevin Bocek, a Venafi innovációs igazgatója kommentárja

Itt az ideje, hogy elkezdjük szabályozni az LLM-eket annak biztosítása érdekében, hogy megfelelően képzettek legyenek, és készek legyenek kezelni az üzleti ügyleteket, amelyek hatással lehetnek az eredményre.

Az OWASP a közelmúltban tette közzé a nagy nyelvi modellek (LLM) alkalmazások tíz legjobb listáját, így a fejlesztők, tervezők, építészek és menedzserek most már 10 területre kell összpontosítaniuk, amikor biztonsági kérdésekről van szó.

Majdnem az összes A 10 legjobb LLM fenyegetés középpontjában a modellekben használt identitások hitelesítésének kompromisszuma áll. A különböző támadási módszerek futnak végig, nem csak a modell bemenetek azonosságára, hanem maguknak a modelleknek az identitására is, valamint azok kimeneteire és akcióira is. Ennek átütő hatása van, és hitelesítést igényel a kód-aláírási és létrehozási folyamatokban, hogy megállítsák a sérülékenységet a forrásnál.

Míg a 10 legfontosabb kockázat több mint fele olyan, amely alapvetően mérséklődött, és az AI-nál a kill switch-re van szükség, a vállalatoknak értékelniük kell lehetőségeikat az új LLM-ek bevezetésekor. Ha a megfelelő eszközök rendelkezésre állnak a bemenetek és a modellek, valamint a modellek cselekedeteinek hitelesítésére, a vállalatok jobban fel vannak szerelve az AI kill-switch ötletének kihasználására és a további pusztulás megelőzésére.

Bővebben: Leckék a CISO-knak az OWASP LLM Top 10-éből

Kapcsolódó: A Bugcrowd bejelenti az LLM-ek sebezhetőségi besorolását

Cybertámadás Gold: Az SBOM-ok egyszerű összeírást kínálnak a sebezhető szoftverekről

Írta: Rob Lemos, közreműködő író, Dark Reading

A támadók valószínűleg szoftveres anyagjegyzéket (SBOM) fognak használni olyan szoftverek keresésére, amelyek potenciálisan érzékenyek bizonyos szoftverhibákra.

A kormányzat és a biztonságra érzékeny vállalatok egyre inkább megkövetelik a szoftvergyártóktól, hogy adják meg számukra a szoftveres anyagjegyzéket (SBOM), hogy kezeljék az ellátási lánc kockázatát – ez azonban új aggodalomra ad okot.

Dióhéjban: Larry Pesce, a szoftverek termékbiztonsági kutatásáért és elemzéséért felelős igazgatója röviden: egy támadó, aki meghatározza, hogy a megcélzott vállalat milyen szoftvert futtat, lekérheti a kapcsolódó SBOM-ot, és elemezheti az alkalmazás összetevőinek hiányosságait, mindezt egyetlen csomag küldése nélkül. ellátási lánc biztonsági cég, a Finite State.

20 éves korábbi penetrációtesztelő, aki azt tervezi, hogy a májusi RSA konferencián a „Gonosz SBOM-okról” szóló előadásában figyelmeztet a kockázatra. Megmutatja, hogy az SBOM-ok elegendő információval rendelkeznek a támadók számára keressen konkrét CVE-ket az SBOM-ok adatbázisában és keressen egy alkalmazást, amely valószínűleg sebezhető. A támadók számára még jobb, ha az SBOM-ok olyan egyéb összetevőket és segédprogramokat is listáznak az eszközön, amelyeket a támadó a „földről való élethez” használhat a kiegyezést követően.

Bővebben: Cybertámadás Gold: Az SBOM-ok egyszerű összeírást kínálnak a sebezhető szoftverekről

Kapcsolódó: A Southern Company SBOM-ot épít elektromos alállomáshoz

Globális: Bill-nek van engedélye? Nemzetek által megbízott kiberbiztonsági szakemberek tanúsítása és engedélyezése

Írta: Robert Lemos, közreműködő író, Dark Reading

Malajzia, Szingapúr és Ghána az elsők között fogadta el a kiberbiztonságot előíró törvényeket cégek – és egyes esetekben egyéni tanácsadók – engedélyt szerezni az üzleti tevékenység folytatásához, de továbbra is fennállnak aggályok.

Malajzia legalább két másik nemzethez csatlakozott Szingapúr és Ghána – olyan törvények elfogadásával, amelyek megkövetelik, hogy a kiberbiztonsági szakemberek vagy cégeik tanúsítvánnyal és engedéllyel rendelkezzenek bizonyos kiberbiztonsági szolgáltatások nyújtására az országukban.

Bár a jogszabályi felhatalmazást még nem határozták meg, „ez valószínűleg azokra a szolgáltatókra vonatkozik majd, amelyek szolgáltatásokat nyújtanak egy másik személy információs és kommunikációs technológiai eszközeinek védelmére – [például] a penetrációtesztelő szolgáltatókra és a biztonsági műveleti központokra” – állítja a malajziai székhelyű. Christopher & Lee Ong ügyvédi iroda.

Az ázsiai-csendes-óceáni szomszédos Szingapúr az elmúlt két évben már megkövetelte a kiberbiztonsági szolgáltatók (CSP) engedélyezését, a nyugat-afrikai Ghána pedig a kiberbiztonsági szakemberek engedélyezését és akkreditációját. Szélesebb körben az olyan kormányok, mint az Európai Unió, normalizálták a kiberbiztonsági tanúsítványokat, míg más ügynökségek – például az Egyesült Államok New York állama – tanúsítványt és engedélyt igényelnek a kiberbiztonsági képességekhez bizonyos iparágakban.

Egyes szakértők azonban úgy látják, hogy ezek a lépések potenciálisan veszélyes következményekkel járhatnak.

Bővebben: Engedélyezve Billnek? Nemzetek által megbízott kiberbiztonsági szakemberek tanúsítása és engedélyezése

Kapcsolódó: Szingapúr magasra tette a mércét a kiberbiztonsági felkészültség terén

J&J Spin-Off CISO a kiberbiztonság maximalizálásáról

Írta: Karen D. Schwartz, közreműködő író, Dark Reading

A CISO of Kenvue, egy fogyasztói egészségügyi vállalat a Johnson & Johnsonból, hogyan kombinálta az eszközöket és az új ötleteket a biztonsági program kiépítéséhez.

A Johnson & Johnson munkatársa, Mike Wagner segített kialakítani a Fortune 100 vállalat biztonsági megközelítését és biztonsági készletét; most ő az első CISO a J&J éves múltra visszatekintő fogyasztói egészségügyi spinoffjában, a Kenvue-ban, akinek a feladata egy áramvonalas és költséghatékony architektúra létrehozása, maximális biztonsággal.

Ez a cikk lebontja azokat a lépéseket, amelyeken Wagner és csapata végigdolgozott, többek között:

Határozza meg a kulcsszerepeket: Építészek és mérnökök szerszámok megvalósításához; identitás- és hozzáférés-kezelési (IAM) szakértők a biztonságos hitelesítés lehetővé tétele érdekében; kockázatkezelési vezetők a biztonság és az üzleti prioritások összehangolása; biztonsági műveletek személyzete az incidensek kezelésére; és minden kiberfunkcióhoz elkötelezett személyzet.

A gépi tanulás és a mesterséges intelligencia beágyazása: A feladatok közé tartozik az IAM automatizálása; a szállítók átvilágításának egyszerűsítése; viselkedéselemzés; és a fenyegetések észlelésének javítása.

Válassza ki, mely eszközöket és folyamatokat szeretné megtartani, és melyeket cserélni: Míg a J&J kiberbiztonsági architektúrája több évtizedes felvásárlások által létrehozott rendszerek foltja; itt a feladatok közé tartozott a J&J eszközeinek leltározása; leképezésük Kenvue működési modelljére; és új szükséges képességek azonosítása.

Wagner szerint van még tennivaló. Ezt követően azt tervezi, hogy a modern biztonsági stratégiákra támaszkodik, beleértve a nulla bizalom elfogadását és a műszaki ellenőrzések javítását.

Bővebben: J&J Spin-Off CISO a kiberbiztonság maximalizálásáról

Kapcsolódó: Bepillantás a Visa csalás elleni mesterséges intelligencia eszközeibe

SolarWinds 2024: Hová vezetnek innen a kiberinformációk?

Tom Tovar, az Appdome vezérigazgatója és társalkotója kommentárja

Friss tanácsokat kaphat arról, hogyan, mikor és hol tegyük közzé a kiberbiztonsági incidenseket a SEC négynapos szabálya szerint a SolarWinds után, és csatlakozzon a szabály megújítására irányuló felhíváshoz, hogy először orvosoljuk.

A SolarWinds utáni világban a kiberbiztonsági kockázatok és incidensek helyreállításának biztonságos kikötőjébe kell lépnünk. Konkrétan, ha bármely vállalat a négynapos időkereten belül orvosolja a hiányosságokat vagy támad, képesnek kell lennie (a) elkerülni a csalási keresetet (azaz nincs miről beszélni), vagy (b) használni a szabványos 10Q és 10K eljárást, ideértve a Vezetői megbeszélés és elemzés szakaszt, hogy felfedje az incidenst.

A SEC október 30-án benyújtotta a csalási panasz a SolarWinds ellen és információbiztonsági igazgatója, azt állítva, hogy bár a SolarWinds alkalmazottai és vezetői tudtak a SolarWinds termékei elleni növekvő kockázatokról, sebezhetőségekről és támadásokról az idő múlásával, „a SolarWinds kiberbiztonsági kockázati nyilatkozatai semmilyen módon nem fedték fel ezeket.”

Az ilyen helyzetekben a felelősséggel kapcsolatos problémák elkerülése érdekében a helyreállítási biztonságos kikötő lehetővé tenné a vállalatok számára, hogy teljes négynapos időkeretet kapjanak az incidensek értékelésére és reagálására. Ezután, ha orvosolják, szánjon időt az incidens megfelelő feltárására. Az eredmény nagyobb hangsúlyt fektet a kiberreagálásra, és kisebb hatással van a vállalat nyilvános részvényeire. A 8K-k továbbra is használhatók megoldatlan kiberbiztonsági incidensekre.

Bővebben: SolarWinds 2024: Hová vezetnek innen a kiberinformációk?

Kapcsolódó: Mit jelent a SolarWinds a DevSecOps számára

• SEO által támogatott tartalom és PR terjesztés. Erősödjön még ma.
• PlatoData.Network Vertical Generative Ai. Erősítse meg magát. Hozzáférés itt.
• PlatoAiStream. Web3 Intelligence. Felerősített tudás. Hozzáférés itt.
• PlatoESG. Carbon, CleanTech, Energia, Környezet, Nap, Hulladékgazdálkodás. Hozzáférés itt.
• PlatoHealth. Biotechnológiai és klinikai vizsgálatok intelligencia. Hozzáférés itt.
• Forrás: https://www.darkreading.com/cybersecurity-operations/ciso-corner-evil-sboms-zero-trust-cloud-security-mitre-ivanti