Velkomin í CISO Corner, vikulega grein Dark Reading sem er sérsniðin að lesendum öryggisaðgerða og öryggisleiðtogum. Í hverri viku munum við bjóða upp á greinar sem unnar eru úr fréttaþjónustu okkar, The Edge, DR Technology, DR Global og athugasemdahlutann okkar. Við erum staðráðin í að færa þér fjölbreytt sett af sjónarhornum til að styðja starfið við að framkvæma netöryggisáætlanir, fyrir leiðtoga hjá samtökum af öllum stærðum og gerðum.

Í þessu hefti:

NIST Cybersecurity Framework 2.0: 4 skref til að byrja

Eftir Robert Lemos, rithöfundur, Dark Reading

National Institute of Standards and Technology (NIST) hefur endurskoðað bókina um að búa til alhliða netöryggisáætlun sem miðar að því að hjálpa fyrirtækjum af öllum stærðum að vera öruggari. Hér er hvar á að byrja að koma breytingunum í framkvæmd.

Notkun nýjustu útgáfunnar af netöryggisramma NIST (CSF), sem kom út í vikunni, gæti þýtt verulegar breytingar á netöryggisáætlunum.

Til dæmis, það er glænýtt „Stjórn“ aðgerð til að fella inn aukið eftirlit stjórnenda og stjórnar með netöryggi, og það stækkar bestu öryggisvenjur umfram þá fyrir mikilvægar atvinnugreinar. Allt í allt munu netöryggissveitir hafa vinnu sína fyrir sig og verða að skoða núverandi mat, auðkennd eyður og úrbætur til að ákvarða áhrif rammabreytinganna.

Sem betur fer geta ábendingar okkar um notkun nýjustu útgáfunnar af NIST netöryggisrammanum hjálpað til við að vísa veginn fram á við. Þau fela í sér að nota allar NIST auðlindirnar (CSF er ekki bara skjal heldur safn auðlinda sem fyrirtæki geta notað til að beita rammanum að sérstöku umhverfi sínu og kröfum); setjast niður með C-svítunni til að ræða „stjórna“ aðgerðina; umbúðir í öryggi aðfangakeðju; og staðfestir að ráðgjafaþjónusta og netöryggisstöðustjórnunarvörur séu endurmetnar og uppfærðar til að styðja við nýjustu CSF.

Lesa meira: NIST Cybersecurity Framework 2.0: 4 skref til að byrja

Tengt: Bandarísk stjórnvöld víkka út hlutverk í hugbúnaðaröryggi

Apple, frumraun merki skammtaþolin dulkóðun, en áskoranir loom

Eftir Jai Vijayan, framlagsrithöfundur, Dark Reading

PQ3 frá Apple til að tryggja iMessage og Signal's PQXH sýna hvernig stofnanir búa sig undir framtíð þar sem dulkóðunarsamskiptareglur verða að vera veldishraða að brjóta.

Þegar skammtatölvur þroskast og gefa andstæðingum léttvæga leið til að opna jafnvel öruggustu núverandi dulkóðunarsamskiptareglur, þurfa stofnanir að hreyfa sig núna til að vernda samskipti og gögn.

Í því skyni eru nýjar PQ3 post-quantum cryptographic (PQC) samskiptareglur Apple til að tryggja iMessage samskipti, og svipaðar dulkóðunarreglur sem Signal kynnti á síðasta ári sem kallast PQXDH, skammtaþolnar, sem þýðir að þeir geta - fræðilega séð, að minnsta kosti - staðist árásir frá skammtafræði. tölvur að reyna að brjóta þær.

En stofnanir, breytingin á hluti eins og PQC verður löng, flókin og líklega sársaukafull. Núverandi fyrirkomulag sem er mjög háð opinberum lykilinnviðum mun krefjast endurmats og aðlögunar til að samþætta skammtaþolin reiknirit. Og flutningur yfir í post-quantum dulkóðun kynnir nýtt sett af stjórnunaráskorunum fyrir upplýsingatækni, tækni og öryggisteymi fyrirtækja sem eru samhliða fyrri flutningum, eins og frá TLS1.2 í 1.3 og ipv4 í v6, sem báðar hafa tekið áratugi.

Lesa meira: Apple, frumraun merki skammtaþolin dulkóðun, en áskoranir loom

Tengt: Sprunga veik dulritun áður en skammtatölvun gerir það

Iklukkan er 10:XNUMX Veistu hvar gervigreindargerðirnar þínar eru í kvöld?

Eftir Ericka Chickowski, rithöfundur, Dark Reading

Skortur á sýnileika gervigreindarlíkana og öryggi setur öryggisvandamál hugbúnaðarframboðs á sterum.

Ef þú hélst að öryggisvandamál hugbúnaðarviðfangskeðjunnar væri nógu erfitt í dag, spenntu þá upp. Sprengilegur vöxtur í notkun gervigreindar er um það bil að gera þessi birgðakeðjuvandamál veldishraða erfiðara að sigla á komandi árum.

Gervigreind/vélanámslíkön leggja grunninn að getu gervigreindarkerfis til að þekkja mynstur, gera spár, taka ákvarðanir, koma af stað aðgerðum eða búa til efni. En sannleikurinn er sá að flestar stofnanir vita ekki einu sinni hvernig á að byrja að græða sýnileika í allar gervigreindargerðir sem eru innbyggðar í hugbúnaði sínum.

Til að ræsa, eru líkön og innviðir í kringum þau byggð öðruvísi en aðrir hugbúnaðaríhlutir og hefðbundin öryggis- og hugbúnaðarverkfæri eru ekki byggð til að leita að eða skilja hvernig gervigreind líkön virka eða hvernig þau eru gölluð.

„Módel, að hönnun, er sjálfframkvæmandi kóða. Það hefur ákveðna umboðsmennsku,“ segir Daryan Dehghanpisheh, annar stofnandi Protect AI. „Ef ég sagði þér að þú sért með eignir um allan innviði þína sem þú getur ekki séð, þú getur ekki borið kennsl á, þú veist ekki hvað þau innihalda, þú veist ekki hvað kóðinn er og þeir framkvæma sjálfir og hafa utanaðkomandi símtöl, það hljómar grunsamlega eins og leyfisvírus, er það ekki?“

Lesa meira: Klukkan er 10:XNUMX. Veistu hvar gervigreindargerðirnar þínar eru í kvöld?

Tengt: Knúsandi andlitsgervigreindarvettvangur fullur af 100 illgjarnri kóða-framkvæmd líkön

Orgs eiga yfir höfði sér stórar refsingar fyrir SEC fyrir að upplýsa ekki um brot

Eftir Robert Lemos, rithöfundur

Í því sem gæti verið fullnustumartröð, bíða hugsanlega milljóna dollara í sektir, mannorðsskaða, málsókn hluthafa og aðrar viðurlög fyrirtækja sem ekki fara að nýjum reglum SEC um gagnabrot.

Fyrirtæki og CISO þeirra gætu staðið frammi fyrir allt frá hundruðum þúsunda til milljóna dollara í sektum og öðrum viðurlögum frá bandaríska verðbréfaeftirlitinu (SEC), ef þau fá ekki netöryggis- og upplýsingabrotsferli til að fara eftir með nýjum reglum sem nú hafa tekið gildi.

SEC regs hafa tennur: Framkvæmdastjórnin getur gefið varanlegt lögbann sem skipar stefnda að hætta hegðun í kjarna málsins, fyrirskipa endurgreiðslu á illa fengnum ávinningi eða innleiða þrjú stig stighækkandi viðurlaga sem geta leitt til stjarnfræðilegra sekta .

Kannski mest áhyggjuefni fyrir CISO er sú persónulega ábyrgð sem þeir standa frammi fyrir núna fyrir mörg svið atvinnurekstrar sem þeir hafa í gegnum tíðina ekki borið ábyrgð á. Aðeins helmingur CISO (54%) er viss um að þeir geti farið að úrskurði SEC.

Allt þetta leiðir til víðtækrar endurskoðunar á hlutverki CISO og aukakostnaðar fyrir fyrirtæki.

Lesa meira: Orgs eiga yfir höfði sér stórar refsingar fyrir SEC fyrir að upplýsa ekki um brot

Tengt: Það sem fyrirtæki og CISO ættu að vita um vaxandi lagaógnir

Reglugerð um líffræðileg tölfræði hitar upp, gefur til kynna að farið sé eftir höfuðverk

Eftir David Strom, rithöfundur, Dark Reading

Vaxandi kjarr af persónuverndarlögum sem stjórna líffræðilegum tölfræði miðar að því að vernda neytendur innan um vaxandi skýjabrot og djúpfalsanir sem skapast af gervigreind. En fyrir fyrirtæki sem meðhöndla líffræðileg tölfræðigögn er auðveldara sagt en gert að vera í samræmi.

Áhyggjur af líffræðilegum tölfræði persónuverndar eru að hitna upp, þökk sé vaxandi gervigreind (AI) byggðar á djúpfalsuðum ógnum, vaxandi líffræðileg tölfræðinotkun fyrirtækja, búist við nýrri persónuverndarlöggjöf á ríkisstigi og nýrri framkvæmdarskipun sem Biden forseti gaf út í vikunni sem felur í sér líffræðilega tölfræði persónuvernd.

Það þýðir að fyrirtæki þurfa að vera framsýnni og sjá fyrir og skilja áhættuna til að byggja upp viðeigandi innviði til að rekja og nota líffræðileg tölfræðiefni. Og þeir sem stunda viðskipti á landsvísu verða að endurskoða verklagsreglur um gagnavernd til að uppfylla bútasaum af reglugerðum, þar á meðal að skilja hvernig þeir fá samþykki neytenda eða leyfa neytendum að takmarka notkun slíkra gagna og ganga úr skugga um að þau passi við mismunandi fínleika reglugerðanna.

Lesa meira: Reglugerð um líffræðileg tölfræði hitar upp, gefur til kynna að farið sé eftir höfuðverk

Tengt: Veldu bestu líffræðileg tölfræði sannvottun fyrir notkunartilvikið þitt

DR Global: „Valsýnn“ írönsk tölvuþrjóthópur fangar ísraelsk, flug- og varnarmálafyrirtæki í Sameinuðu arabísku furstadæmunum

Eftir Robert Lemos, rithöfundur, Dark Reading

UNC1549, öðru nafni Smoke Sandstorm og Tortoiseshell, virðist vera sökudólgurinn á bak við netárásarherferð sem er sérsniðin fyrir hverja miða stofnun.

Íranski ógnunarhópurinn UNC1549 - einnig þekktur sem Smoke Sandstorm og Tortoiseshell - er að sækjast eftir geimferðum og varnarmálafyrirtæki í Ísrael, Sameinuðu arabísku furstadæmin og önnur lönd í stórum Miðausturlöndum.

Athyglisvert er að á milli sérsniðinnar atvinnumiðaðrar spjótveiðar og notkunar skýjainnviða fyrir stjórn og stjórnun getur verið erfitt að greina árásina, segir Jonathan Leathery, aðalsérfræðingur Google Cloud's Mandiant.

„Það sem er mest eftirtektarvert er hversu blekking þessi ógn getur verið að uppgötva og rekja - þeir hafa greinilega aðgang að mikilvægum auðlindum og eru sértækar í miðun sinni,“ segir hann. „Það er líklega meiri virkni frá þessum leikara sem er ekki enn uppgötvað, og það eru enn minni upplýsingar um hvernig þeir starfa þegar þeir hafa stefnt markmiði.

Lesa meira: „Valsýnn“ írönsk tölvuþrjóthópur fangar ísraelsk, flug- og varnarmálafyrirtæki í Sameinuðu arabísku furstadæmunum

Tengt: Kína kynnir nýja netvarnaráætlun fyrir iðnaðarnet

MITER setur út 4 glænýjar CWEs fyrir örgjörva öryggisgalla

Eftir Jai Vijayan, framlagsrithöfundur, Dark Reading

Markmiðið er að veita flísahönnuðum og öryggissérfræðingum í hálfleiðararýminu betri skilning á helstu örgjörvagöllum eins og Meltdown og Spectre.

Með auknum fjölda hliðarrása hetjudáða sem miða á CPU-auðlindir, bætti MITRE-forritið Common Weakness Enumeration (CWE) við fjórum nýjum örgjörva-tengdum veikleikum við listann yfir algengar gerðir hugbúnaðar og vélbúnaðar.

CWE eru afrakstur samvinnu á milli Intel, AMD, Arm, Riscure og Cycuity og gefa örgjörvahönnuðum og öryggissérfræðingum í hálfleiðararýminu sameiginlegt tungumál til að ræða veikleika í nútíma örgjörvaarkitektúr.

Hinar fjórar nýju CWE eru CWE-1420, CWE-1421, CWE-1422 og CWE-1423.

CWE-1420 varðar afhjúpun á viðkvæmum upplýsingum við tímabundna eða íhugandi framkvæmd - hagræðingaraðgerð vélbúnaðar sem tengist Meltdown og Specter - og er „foreldri“ hinna þriggja CWEs.

CWE-1421 hefur að gera með viðkvæmar upplýsingaleka í sameiginlegum örarkitektúrum við tímabundna framkvæmd; CWE-1422 tekur á gagnaleka sem tengist rangri gagnaframsendingu meðan á tímabundinni framkvæmd stendur. CWE-1423 lítur á útsetningu gagna sem eru bundin við tiltekið innra ástand innan örgjörva.

Lesa meira: MITER setur út 4 glænýjar CWEs fyrir örgjörva öryggisgalla

Tengt: MITER rúllar út frumgerð aðfangakeðjuöryggis

Samræmd persónuverndarlöggjöf ríkisins og nýja gervigreindaráskorunin

Umsögn eftir Jason Eddinger, yfiröryggisráðgjafa, gagnavernd, GuidePoint Security

Það er kominn tími til að fyrirtæki skoði hvað þau eru að vinna úr, hvers konar áhættu þau eru með og hvernig þau ætla að draga úr þeirri áhættu.

Átta bandarísk ríki samþykktu lög um persónuvernd árið 2023 og árið 2024 munu lög taka gildi eftir fjögur, þannig að fyrirtæki þurfa að halla sér aftur og skoða gögnin sem þau eru að vinna úr, hvers konar áhættu þau hafa, hvernig á að stjórna þessu. áhættu, og áætlanir þeirra um að draga úr áhættunni sem þeir hafa greint. Innleiðing gervigreindar mun gera það erfiðara.

Þegar fyrirtæki kortleggja stefnu til að fara að öllum þessum nýju reglugerðum sem eru þarna úti, er rétt að hafa í huga að þó að þessi lög séu að mörgu leyti samræmd að mörgu leyti, þá sýna þau einnig ríkissértæk blæbrigði.

Fyrirtæki ættu að búast við að sjá marga vaxandi gagnaverndarstefnu á þessu ári, þar á meðal:

Lesa meira: Samræmd persónuverndarlöggjöf ríkisins og nýja gervigreindaráskorunin

Tengt: Persónuvernd slær lausnarhugbúnað sem helstu áhyggjuefni trygginga

• SEO knúið efni og PR dreifing. Fáðu magnara í dag.
• PlatoData.Network Vertical Generative Ai. Styrktu sjálfan þig. Aðgangur hér.
• PlatoAiStream. Web3 upplýsingaöflun. Þekking aukin. Aðgangur hér.
• PlatóESG. Kolefni, CleanTech, Orka, Umhverfi, Sól, Úrgangsstjórnun. Aðgangur hér.
• PlatoHealth. Líftækni og klínísk rannsóknagreind. Aðgangur hér.
• Heimild: https://www.darkreading.com/ics-ot-security/ciso-corner-operationalizing-nist-csf-ai-models-run-amok