Selamat datang di CISO Corner, intisari artikel mingguan Dark Reading yang dirancang khusus untuk pembaca operasi keamanan dan pemimpin keamanan. Setiap minggu, kami akan menawarkan artikel yang dikumpulkan dari seluruh operasi berita kami, The Edge, DR Technology, DR Global, dan bagian Komentar kami. Kami berkomitmen untuk memberikan Anda beragam perspektif untuk mendukung tugas operasionalisasi strategi keamanan siber, bagi para pemimpin di organisasi dalam segala bentuk dan ukuran.

Dalam CISO Corner kali ini:

5 Fakta Sulit Tentang Status Keamanan Cloud 2024

Oleh Ericka Chickowski, Penulis Kontributor, Dark Reading

Dark Reading membahas keamanan cloud dengan John Kindervag, bapak baptis tanpa kepercayaan.

Kebanyakan organisasi tidak bekerja sepenuhnya praktik keamanan cloud yang matang, meskipun hampir separuh pelanggaran berasal dari cloud dan hampir $4.1 juta hilang akibat pelanggaran cloud pada tahun lalu.

Itu adalah masalah besar, menurut bapak baptis keamanan zero-trust, John Kindervag, yang mengonsep dan mempopulerkan model keamanan zero-trust sebagai analis di Forrester. Dia memberi tahu Dark Reading bahwa ada beberapa kebenaran sulit yang harus dihadapi untuk membalikkan keadaan.

1. Anda tidak menjadi lebih aman hanya dengan mengakses cloud: Cloud tidak secara alami lebih aman dibandingkan kebanyakan lingkungan on-premise: penyedia cloud hyperscale mungkin sangat baik dalam melindungi infrastruktur, namun kendali dan tanggung jawab yang mereka miliki terhadap postur keamanan pelanggan mereka sangat terbatas. Dan model tanggung jawab bersama tidak berhasil.

2. Kontrol keamanan asli sulit dikelola di dunia hibrid: Kualitas tidak konsisten dalam hal menawarkan pelanggan kontrol lebih besar atas beban kerja, identitas, dan visibilitas mereka, namun kontrol keamanan yang dapat dikelola di seluruh cloud masih sulit dipahami.

3. Identitas tidak akan menyelamatkan cloud Anda: Dengan banyaknya penekanan yang diberikan pada manajemen identitas cloud dan perhatian yang tidak proporsional pada komponen identitas dalam zero trust, penting bagi organisasi untuk memahami bahwa identitas hanyalah bagian dari sarapan yang seimbang untuk zero trust terhadap cloud.

4. Terlalu banyak perusahaan yang tidak tahu apa yang mereka coba lindungi: Setiap aset, sistem, atau proses akan memiliki risiko uniknya sendiri, namun organisasi tidak memiliki gagasan yang jelas tentang apa yang ada di cloud atau apa yang terhubung ke cloud, apalagi apa yang perlu dilindungi.

5. Insentif pengembangan cloud-native tidak lagi berfungsi: Terlalu banyak organisasi yang tidak memiliki struktur insentif yang tepat bagi pengembang untuk meningkatkan keamanan – dan, pada kenyataannya, banyak organisasi yang memiliki insentif buruk yang pada akhirnya mendorong praktik yang tidak aman. “Saya ingin mengatakan bahwa orang-orang di aplikasi DevOps adalah Ricky Bobby di bidang TI. Mereka hanya ingin bergerak cepat,” kata Kindervag.

Baca lebih lanjut: 5 Fakta Sulit Tentang Status Keamanan Cloud 2024

Terkait: Zero Trust Mengambil Alih: 63% Organisasi Menerapkan Secara Global

MITRE ATT&CKED: Nama InfoSec yang Paling Tepercaya Jatuh ke Ivanti Bugs

Oleh Nate Nelson, Penulis Kontributor, Dark Reading

Ironisnya, tidak banyak yang tahu, karena aktor ancaman negara menggunakan delapan teknik MITRE untuk menembus MITRE itu sendiri – termasuk mengeksploitasi bug Ivanti yang telah diserang penyerang selama berbulan-bulan.

Peretas negara asing telah menggunakannya perangkat tepi Ivanti yang rentan untuk mendapatkan akses “mendalam” selama tiga bulan ke salah satu jaringan MITER Corp. yang tidak rahasia.

MITRE, pengelola glosarium ATT&CK tentang teknik-teknik serangan siber yang umum dikenal, sebelumnya telah melewati 15 tahun tanpa insiden besar. Pukulan tersebut terhenti pada bulan Januari ketika, seperti banyak organisasi lainnya, perangkat gateway Ivanti miliknya dieksploitasi.

Pelanggaran tersebut memengaruhi Networked Experimentation, Research, and Virtualization Environment (NERVE), sebuah jaringan kolaboratif yang tidak terklasifikasi yang digunakan organisasi untuk penelitian, pengembangan, dan pembuatan prototipe. Tingkat kerusakan SARAF (permainan kata-kata) saat ini sedang dinilai.

Apapun tujuannya, para peretas punya cukup waktu untuk melaksanakannya. Meskipun kompromi terjadi pada bulan Januari, MITRE baru dapat mendeteksinya pada bulan April, sehingga terdapat jeda seperempat tahun di antara keduanya.

Baca lebih lanjut: MITRE ATT&CKED: Nama InfoSec yang Paling Tepercaya Jatuh ke Ivanti Bugs

Terkait: Teknik MITRE ATT&CK Terbaik & Cara Bertahan Melawannya

Pelajaran untuk CISO Dari 10 Besar LLM OWASP

Komentar oleh Kevin Bocek, Chief Innovation Officer, Venafi

Saatnya untuk mulai mengatur LLM untuk memastikan mereka terlatih secara akurat dan siap menangani kesepakatan bisnis yang dapat mempengaruhi laba.

OWASP baru-baru ini merilis daftar 10 teratas untuk aplikasi model bahasa besar (LLM), sehingga pengembang, perancang, arsitek, dan manajer kini memiliki 10 area yang harus menjadi fokus jelas ketika menyangkut masalah keamanan.

Hampir semua 10 ancaman LLM teratas berpusat pada kompromi otentikasi untuk identitas yang digunakan dalam model. Metode serangan yang berbeda-beda mempengaruhi tidak hanya identitas masukan model tetapi juga identitas model itu sendiri, serta keluaran dan tindakannya. Hal ini berdampak langsung dan memerlukan autentikasi dalam proses penandatanganan dan pembuatan kode untuk menghentikan kerentanan pada sumbernya.

Meskipun lebih dari separuh dari 10 risiko teratas adalah risiko yang pada dasarnya telah dimitigasi dan memerlukan tombol mematikan bagi AI, perusahaan perlu mengevaluasi pilihan mereka saat menerapkan LLM baru. Jika alat yang tepat tersedia untuk mengautentikasi masukan dan model, serta tindakan model, perusahaan akan lebih siap untuk memanfaatkan gagasan mematikan AI dan mencegah kehancuran lebih lanjut.

Baca lebih lanjut: Pelajaran untuk CISO Dari 10 Besar LLM OWASP

Terkait: Bugcrowd Mengumumkan Peringkat Kerentanan untuk LLM

Serangan Siber Emas: SBOM Menawarkan Sensus Perangkat Lunak yang Rentan dengan Mudah

Oleh Rob Lemos, Penulis Kontributor, Dark Reading

Penyerang kemungkinan besar akan menggunakan software bill-of-material (SBOM) untuk mencari perangkat lunak yang berpotensi rentan terhadap kelemahan perangkat lunak tertentu.

Pemerintah dan perusahaan-perusahaan yang sensitif terhadap keamanan semakin mewajibkan pembuat perangkat lunak untuk menyediakan perangkat lunak bill of material (SBOM) untuk mengatasi risiko rantai pasokan – namun hal ini menciptakan kategori kekhawatiran baru.

Singkatnya: Seorang penyerang yang menentukan perangkat lunak apa yang sedang dijalankan oleh perusahaan target, dapat mengambil SBOM terkait dan menganalisis kelemahan komponen aplikasi, semuanya tanpa mengirimkan satu paket pun, kata Larry Pesce, direktur penelitian dan analisis keamanan produk di perangkat lunak perusahaan keamanan rantai pasokan Finite State.

Dia adalah mantan penguji penetrasi selama 20 tahun yang berencana untuk memperingatkan tentang risiko tersebut dalam presentasi tentang “SBOM Jahat” di Konferensi RSA pada bulan Mei. Dia akan menunjukkan bahwa SBOM memiliki informasi yang cukup untuk memungkinkan penyerang melakukannya mencari CVE tertentu dalam database SBOM dan temukan aplikasi yang mungkin rentan. Bahkan lebih baik lagi bagi penyerang, SBOM juga akan mencantumkan komponen dan utilitas lain pada perangkat yang dapat digunakan penyerang untuk “hidup di luar lahan” pasca-kompromi, katanya.

Baca lebih lanjut: Serangan Siber Emas: SBOM Menawarkan Sensus Perangkat Lunak yang Rentan dengan Mudah

Terkait: Perusahaan Daerah Selatan Bangun SBOM untuk Gardu Induk Tenaga Listrik

Global: Berlisensi untuk Menagih? Sertifikasi & Lisensi Ahli Keamanan Siber yang Diamanatkan Bangsa-Bangsa

Oleh Robert Lemos, Penulis Kontributor, Dark Reading

Malaysia, Singapura, dan Ghana adalah beberapa negara pertama yang mengesahkan undang-undang yang mewajibkan keamanan siber perusahaan – dan dalam beberapa kasus, konsultan individu – untuk mendapatkan izin melakukan bisnis, namun kekhawatiran masih tetap ada.

Malaysia telah bergabung dengan setidaknya dua negara lain — Singapura dan Ghana – dengan mengesahkan undang-undang yang mewajibkan para profesional keamanan siber atau perusahaan mereka untuk memiliki sertifikasi dan lisensi untuk menyediakan beberapa layanan keamanan siber di negara mereka.

Meskipun mandat undang-undang tersebut belum ditentukan, “hal ini kemungkinan besar akan berlaku bagi penyedia layanan yang menyediakan layanan untuk melindungi perangkat teknologi informasi dan komunikasi milik orang lain – [misalnya] penyedia pengujian penetrasi dan pusat operasi keamanan,” menurut lembaga yang berbasis di Malaysia. firma hukum Christopher & Lee Ong.

Negara tetangganya di Asia-Pasifik, Singapura, telah mewajibkan perizinan bagi penyedia layanan keamanan siber (CSP) selama dua tahun terakhir, dan negara Afrika Barat, Ghana, yang mewajibkan perizinan dan akreditasi profesional keamanan siber. Secara lebih luas, pemerintah seperti Uni Eropa telah menormalisasi sertifikasi keamanan siber, sementara lembaga lain – seperti negara bagian New York di AS – memerlukan sertifikasi dan lisensi untuk kemampuan keamanan siber di industri tertentu.

Namun, beberapa ahli melihat potensi konsekuensi berbahaya dari tindakan ini.

Baca lebih lanjut: Berlisensi untuk Bill? Sertifikasi & Lisensi Ahli Keamanan Siber yang Diamanatkan Bangsa-Bangsa

Terkait: Singapura Menetapkan Standar Tinggi dalam Kesiapsiagaan Keamanan Siber

J&J Spin-Off CISO tentang Memaksimalkan Keamanan Siber

Oleh Karen D. Schwartz, Penulis Kontributor, Dark Reading

Bagaimana CISO dari Kenvue, sebuah perusahaan layanan kesehatan konsumen yang merupakan hasil dari Johnson & Johnson, menggabungkan alat dan ide baru untuk membangun program keamanan.

Mike Wagner dari Johnson & Johnson membantu membentuk pendekatan keamanan dan tumpukan keamanan perusahaan Fortune 100; kini, ia adalah CISO pertama dari perusahaan spin-off layanan kesehatan konsumen J&J yang sudah berusia satu tahun, Kenvue, yang bertugas menciptakan arsitektur yang efisien dan hemat biaya dengan keamanan maksimum.

Artikel ini menguraikan langkah-langkah yang dilakukan Wagner dan timnya, yang meliputi:

Tentukan peran utama: Arsitek dan insinyur untuk mengimplementasikan alat; pakar manajemen identitas dan akses (IAM) untuk memungkinkan otentikasi aman; pemimpin manajemen risiko untuk menyelaraskan keamanan dengan prioritas bisnis; staf operasi keamanan untuk respons insiden; dan staf yang berdedikasi untuk setiap fungsi cyber.

Sematkan pembelajaran mesin dan AI: Tugasnya mencakup mengotomatisasi IAM; menyederhanakan pemeriksaan pemasok; analisis perilaku; dan meningkatkan deteksi ancaman.

Pilih alat dan proses mana yang akan dipertahankan, dan mana yang akan diganti: Meskipun arsitektur keamanan siber J&J merupakan sistem tambal sulam yang diciptakan oleh akuisisi selama beberapa dekade; tugas di sini termasuk menginventarisasi peralatan J&J; memetakannya ke model operasi Kenvue; dan mengidentifikasi kemampuan baru yang dibutuhkan.

Wagner mengatakan masih banyak yang harus dilakukan. Selanjutnya, ia berencana untuk bersandar pada strategi keamanan modern, termasuk penerapan zero trust dan peningkatan kontrol teknis.

Baca lebih lanjut: J&J Spin-Off CISO tentang Memaksimalkan Keamanan Siber

Terkait: Sekilas tentang Alat AI Visa Melawan Penipuan

SolarWinds 2024: Kemana Arah Pengungkapan Dunia Maya?

Komentar oleh Tom Tovar, CEO & Co-Creator, Appdome

Dapatkan saran terkini tentang bagaimana, kapan, dan di mana kita harus mengungkapkan insiden keamanan siber berdasarkan aturan empat hari SEC setelah SolarWinds, dan bergabunglah dalam seruan untuk mengubah aturan agar melakukan tindakan perbaikan terlebih dahulu.

Di dunia pasca-SolarWinds, kita harus beralih ke upaya remediasi yang aman untuk risiko dan insiden keamanan siber. Secara khusus, jika ada perusahaan yang memperbaiki kekurangan atau serangan dalam jangka waktu empat hari, perusahaan tersebut harus mampu (a) menghindari klaim penipuan (yaitu, tidak ada hal yang perlu dibicarakan) atau (b) menggunakan proses standar 10Q dan 10K, termasuk bagian Pembahasan dan Analisis Manajemen, untuk mengungkap kejadian tersebut.

Pada tanggal 30 Oktober, SEC mengajukan a keluhan penipuan terhadap SolarWinds dan kepala petugas keamanan informasinya, menuduh bahwa meskipun karyawan dan eksekutif SolarWinds mengetahui tentang peningkatan risiko, kerentanan, dan serangan terhadap produk SolarWinds dari waktu ke waktu, “pengungkapan risiko keamanan siber SolarWinds tidak mengungkapkannya dengan cara apa pun.”

Untuk membantu mencegah masalah tanggung jawab dalam situasi ini, pelabuhan aman remediasi akan memberikan perusahaan waktu empat hari penuh untuk mengevaluasi dan merespons suatu insiden. Kemudian, jika sudah diperbaiki, luangkan waktu untuk mengungkapkan kejadian tersebut dengan benar. Hasilnya adalah penekanan yang lebih besar pada respons dunia maya dan dampak yang lebih kecil terhadap saham publik suatu perusahaan. 8K masih dapat digunakan untuk insiden keamanan siber yang belum terselesaikan.

Baca lebih lanjut: SolarWinds 2024: Kemana Arah Pengungkapan Dunia Maya?

Terkait: Apa Arti SolarWinds bagi DevSecOps

• Konten Bertenaga SEO & Distribusi PR. Dapatkan Amplifikasi Hari Ini.
• PlatoData.Jaringan Vertikal Generatif Ai. Berdayakan Diri Anda. Akses Di Sini.
• PlatoAiStream. Intelijen Web3. Pengetahuan Diperkuat. Akses Di Sini.
• PlatoESG. Karbon, teknologi bersih, energi, Lingkungan Hidup, Tenaga surya, Penanganan limbah. Akses Di Sini.
• PlatoHealth. Kecerdasan Uji Coba Biotek dan Klinis. Akses Di Sini.
• Sumber: https://www.darkreading.com/cybersecurity-operations/ciso-corner-evil-sboms-zero-trust-cloud-security-mitre-ivanti