Velkomin í CISO Corner, vikulega grein Dark Reading sem er sérsniðin að lesendum öryggisaðgerða og öryggisleiðtogum. Í hverri viku munum við bjóða upp á greinar sem unnar eru úr fréttaþjónustu okkar, The Edge, DR Technology, DR Global og athugasemdahlutann okkar. Við erum staðráðin í að færa þér fjölbreytt sett af sjónarhornum til að styðja starfið við að framkvæma netöryggisáætlanir, fyrir leiðtoga hjá samtökum af öllum stærðum og gerðum.

Í þessu hefti af CISO Corner:

5 hörð sannindi um stöðu skýjaöryggis 2024

Eftir Ericka Chickowski, rithöfundur, Dark Reading

Dark Reading ræðir skýjaöryggi við John Kindervag, guðföður núlltraustsins.

Flestar stofnanir vinna ekki að fullu með þroskuð öryggisaðferðir í skýi, þrátt fyrir að næstum helmingur brotanna sé upprunninn í skýinu og tæplega 4.1 milljón dollara tapað vegna skýjabrota á síðasta ári.

Það er stórt vandamál, að mati guðföður núlltraustsöryggis, John Kindervag, sem útfærði og gerði núlltraustsöryggislíkanið vinsælt sem sérfræðingur hjá Forrester. Hann segir við Dark Reading að það þurfi að horfast í augu við erfiðan sannleika til að snúa hlutunum við.

1. Þú verður ekki öruggari með því að fara í skýið: Skýið er ekki meðfædda öruggara en flest staðbundin umhverfi: skýjaveitur í stórum stíl geta verið mjög góðar í að vernda innviði, en stjórnin og ábyrgðin sem þeir hafa á öryggisstöðu viðskiptavina sinna er mjög takmörkuð. Og líkanið um sameiginlega ábyrgð virkar í raun ekki.

2. Erfitt er að stjórna innfæddum öryggisstýringum í blendingsheimi: Gæði eru ósamræmi þegar kemur að því að bjóða viðskiptavinum meiri stjórn á vinnuálagi þeirra, auðkenni og sýnileika, en öryggisstýringar sem hægt er að stjórna yfir öll mörg skýin eru fimmti.

3. Identity mun ekki bjarga skýinu þínu: Þar sem svo mikil áhersla er lögð á stjórnun auðkenna í skýi og óhóflega athygli á sjálfsmyndarhlutanum í núlltrausti, er mikilvægt fyrir stofnanir að skilja að sjálfsmynd er aðeins hluti af vel samsettum morgunverði fyrir ekkert traust í skýinu.

4. Of mörg fyrirtæki vita ekki hvað þau eru að reyna að vernda: Hver eign eða kerfi eða ferli mun bera sína einstöku áhættu, en fyrirtæki skortir skýra hugmynd um hvað er í skýinu eða hvað tengist skýinu, hvað þá hvað þarf að vernda.

5. Þróunarhvatar frá skýjum eru út í hött: Of margar stofnanir hafa einfaldlega ekki rétta hvataskipulagið fyrir þróunaraðila til að baka inn öryggi á meðan þeir fara - og í raun eru margir með rangsnúna hvata sem endar með því að hvetja til óöruggrar framkvæmdar. „Mér finnst gaman að segja að fólk með DevOps appið sé Ricky Bobbys upplýsingatækninnar. Þeir vilja bara fara hratt,“ segir Kindervag.

Lesa meira: 5 hörð sannindi um stöðu skýjaöryggis 2024

Tengt: Zero Trust tekur við: 63% af stofnunum sem koma til framkvæmda á heimsvísu

MITER ATT&CKED: Traustasta nafn InfoSec fellur til Ivanti Bugs

Eftir Nate Nelson, rithöfundur, Dark Reading

Kaldhæðnin er týnd hjá fáum, þar sem ógnarleikari í þjóðríki notaði átta MITER aðferðir til að brjóta MITER sjálft - þar á meðal að nýta sér Ivanti pöddu sem árásarmenn hafa verið að æsa yfir í marga mánuði.

Erlendir þjóðríkis tölvuþrjótar hafa notað viðkvæm Ivanti brún tæki að fá þriggja mánaða „djúpan“ aðgang að einu af óflokkuðu netkerfum MITER Corp.

MITRE, umsjónarmaður alls staðar nálægs ATT&CK orðasafns yfir almennt þekkta netárásartækni, gekk áður í 15 ár án stóratviks. Rúnin sleit í janúar þegar, eins og svo mörg önnur samtök, voru Ivanti gáttartæki þess nýtt.

Brotið hafði áhrif á Networked Experimentation, Research, and Virtualization Environment (NERVE), óflokkað, samstarfsnet sem stofnunin notar til rannsókna, þróunar og frumgerða. Nú er verið að meta umfang taugaskemmdanna (orðaleikur ætlaður).

Hver sem markmið þeirra voru, höfðu tölvuþrjótarnir nægan tíma til að framkvæma þau. Þrátt fyrir að málamiðlunin hafi átt sér stað í janúar gat MITER aðeins greint hana í apríl og skildi eftir ársfjórðungsbil á milli.

Lesa meira: MITER ATT&CKED: Traustasta nafn InfoSec fellur til Ivanti Bugs

Tengt: Helstu MITER ATT&CK tækni og hvernig á að verjast þeim

Lærdómar fyrir CISO frá OWASP's LLM Top 10

Umsögn Kevin Bocek, nýsköpunarstjóra Venafi

Það er kominn tími til að byrja að stjórna LLMs til að tryggja að þeir séu nákvæmlega þjálfaðir og tilbúnir til að takast á við viðskiptasamninga sem gætu haft áhrif á botninn.

OWASP gaf nýlega út topp 10 listann yfir stór tungumálamódel (LLM) forrit, þannig að forritarar, hönnuðir, arkitektar og stjórnendur hafa nú 10 svæði til að einbeita sér að þegar kemur að öryggisáhyggjum.

Næstum allar topp 10 LLM hótanir miðast við málamiðlun um auðkenningu fyrir auðkennin sem notuð eru í líkönunum. Hinar ýmsu árásaraðferðir keyra svið og hafa ekki aðeins áhrif á auðkenni líkansinntakanna heldur einnig auðkenni líkananna sjálfra, svo og úttak þeirra og aðgerðir. Þetta hefur keðjuverkandi áhrif og kallar á auðkenningu í kóðaundirrituninni og búa til ferla til að stöðva varnarleysið við upprunann.

Þó að meira en helmingur af efstu 10 áhættunum séu þær sem eru í meginatriðum mildaðar og kalla á dreifingarrofann fyrir gervigreind, munu fyrirtæki þurfa að meta valkosti sína þegar þeir setja inn nýja LLM. Ef réttu tólin eru til staðar til að sannvotta inntak og líkön, sem og aðgerðir módelanna, verða fyrirtæki betur í stakk búin til að nýta gervigreindarrofa hugmyndina og koma í veg fyrir frekari eyðileggingu.

Lesa meira: Lærdómar fyrir CISO frá OWASP's LLM Top 10

Tengt: Bugcrowd tilkynnir veikleikamat fyrir LLM

Netárásargull: SBOMs bjóða upp á auðvelt manntal á viðkvæmum hugbúnaði

Eftir Rob Lemos, rithöfundur, Dark Reading

Árásarmenn munu líklega nota hugbúnaðarskrár (SBOM) til að leita að hugbúnaði sem er hugsanlega viðkvæmur fyrir sérstökum hugbúnaðargöllum.

Stjórnvöld og öryggisviðkvæm fyrirtæki krefjast þess í auknum mæli að hugbúnaðarframleiðendur útvegi þeim hugbúnaðarseðla (SBOMs) til að takast á við aðfangakeðjuáhættu - en þetta skapar nýjan áhyggjuflokk.

Í hnotskurn: Árásarmaður sem ákvarðar hvaða hugbúnað fyrirtæki er að keyra, getur sótt tilheyrandi SBOM og greint íhluti forritsins fyrir veikleika, allt án þess að senda einn pakka, segir Larry Pesce, forstöðumaður vöruöryggisrannsókna og greiningar hjá hugbúnaði birgðakeðjuöryggisfyrirtækið Finite State.

Hann er fyrrum skarpskyggniprófari til 20 ára sem ætlar að vara við áhættunni í kynningu á „Evil SBOMs“ á RSA ráðstefnunni í maí. Hann mun sýna að SBOMs hafa nægar upplýsingar til að leyfa árásarmönnum að gera það leitaðu að sérstökum CVE í gagnagrunni SBOMs og finndu forrit sem er líklega viðkvæmt. Jafnvel betra fyrir árásarmenn, SBOMs munu einnig skrá aðra íhluti og tól á tækinu sem árásarmaðurinn gæti notað til að „lifa af landinu“ eftir málamiðlun, segir hann.

Lesa meira: Netárásargull: SBOMs bjóða upp á auðvelt manntal á viðkvæmum hugbúnaði

Tengt: Southern Company byggir SBOM fyrir raforkuvirki

Global: Leyfi til Bill? Umboðsvottun þjóða og leyfi fyrir netöryggissérfræðingum

Eftir Robert Lemos, rithöfundur, Dark Reading

Malasía, Singapúr og Gana eru meðal fyrstu landanna til að setja lög sem krefjast netöryggis fyrirtæki - og í sumum tilfellum einstakir ráðgjafar - að fá leyfi til að stunda viðskipti, en áhyggjur eru áfram.

Malasía hefur gengið til liðs við að minnsta kosti tvær aðrar þjóðir - Singapore og Gana - með því að setja lög sem krefjast þess að sérfræðingar í netöryggi eða fyrirtæki þeirra séu vottuð og leyfi til að veita netöryggisþjónustu í sínu landi.

Þrátt fyrir að enn eigi eftir að ákveða umboð laganna, "þetta mun líklega eiga við um þjónustuveitendur sem veita þjónustu til að vernda upplýsinga- og fjarskiptatæknibúnað annars einstaklings - [til dæmis] veitendur skarpskyggniprófunar og öryggisaðgerðamiðstöðva," samkvæmt Malasíu. lögmannsstofan Christopher & Lee Ong.

Nágrannaríki Asíu og Kyrrahafs, Singapúr, hefur þegar krafist leyfisveitenda fyrir netöryggisþjónustu (CSPs) undanfarin tvö ár, og Vestur-Afríkuríkið Gana, sem krefst leyfis og faggildingar netöryggissérfræðinga. Meira víða, stjórnvöld eins og Evrópusambandið hafa staðlað netöryggisvottanir, á meðan aðrar stofnanir - eins og New York fylki í Bandaríkjunum - krefjast vottunar og leyfis fyrir netöryggisgetu í tilteknum atvinnugreinum.

Hins vegar sjá sumir sérfræðingar hugsanlega hættulegar afleiðingar af þessum aðgerðum.

Lesa meira: Leyfi til Bill? Umboðsvottun þjóða og leyfi fyrir netöryggissérfræðingum

Tengt: Singapúr setur háan mælikvarða í viðbúnaði við netöryggi

J&J Spin-Off CISO um að hámarka netöryggi

Eftir Karen D. Schwartz, rithöfundur, Dark Reading

Hvernig CISO í Kenvue, neytendaheilbrigðisfyrirtæki spratt upp úr Johnson & Johnson, sameinaði verkfæri og nýjar hugmyndir til að byggja upp öryggisáætlunina.

Mike Wagner hjá Johnson & Johnson hjálpaði til við að móta öryggisnálgun og öryggisstafla Fortune 100 fyrirtækisins; núna, hann er fyrsti CISO ársgamals neytendaheilsugæslunnar, Kenvue, sem hefur það verkefni að búa til straumlínulagaðan og hagkvæman arkitektúr með hámarksöryggi.

Þessi grein sundurliðar skrefin sem Wagner og teymi hans unnu í gegnum, þar á meðal:

Skilgreindu lykilhlutverk: Arkitektar og verkfræðingar til að útfæra verkfæri; sérfræðingar um auðkenni og aðgangsstjórnun (IAM) til að gera örugga auðkenningu kleift; leiðtogar áhættustýringar að samræma öryggi við forgangsröðun fyrirtækja; starfsfólk öryggisaðgerða fyrir viðbrögð við atvikum; og hollt starfsfólk fyrir hverja netaðgerð.

Fella inn vélanám og gervigreind: Verkefnin fela í sér sjálfvirkan IAM; hagræða eftirliti birgja; atferlisgreining; og bæta hættugreiningu.

Veldu hvaða verkfæri og ferla á að halda og hvaða á að skipta út: Þó að netöryggisarkitektúr J&J sé bútasaumur af kerfum sem búin eru til með áratuga kaupum; Verkefni hér voru meðal annars skrásetning á verkfærum J&J; kortleggja þær að rekstrarlíkani Kenvue; og greina nýja nauðsynlega getu.

Wagner segir að það sé meira að gera. Næst ætlar hann að halla sér að nútíma öryggisaðferðum, þar á meðal upptöku á núlltrausti og aukningu tæknilegra eftirlits.

Lesa meira: J&J Spin-Off CISO um að hámarka netöryggi

Tengt: Skoðaðu gervigreindarverkfæri Visa gegn svikum

SolarWinds 2024: Hvert fara netupplýsingar héðan?

Umsögn eftir Tom Tovar, forstjóra og meðhöfund, Appdome

Fáðu uppfærðar ráðleggingar um hvernig, hvenær og hvar við ættum að upplýsa um netöryggisatvik samkvæmt fjögurra daga reglu SEC eftir SolarWinds, og taktu þátt í símtalinu um að endurbæta regluna til að bæta úr fyrst.

Í heimi eftir SolarWinds ættum við að fara í örugga höfn fyrir úrbætur vegna netöryggisáhættu og atvika. Nánar tiltekið, ef eitthvert fyrirtæki bætir úr annmörkum eða árás innan fjögurra daga tímaramma, ætti það að geta (a) forðast svikakröfu (þ.e. ekkert til að tala um) eða (b) nota staðlaða 10Q og 10K ferli, þar á meðal stjórnendaumræðu og greiningu, til að upplýsa um atvikið.

Þann 30. október lagði SEC fram a svikakæra á hendur SolarWinds og yfirmaður upplýsingaöryggis þess, og fullyrða að jafnvel þó að starfsmenn og stjórnendur SolarWinds hafi vitað um vaxandi áhættu, veikleika og árásir gegn vörum SolarWinds með tímanum, hafi „netöryggisáhættuupplýsingar SolarWinds ekki birt þær á nokkurn hátt.

Til að koma í veg fyrir ábyrgðarvandamál í þessum aðstæðum myndi örugg höfn fyrir úrbætur leyfa fyrirtækjum heilan fjögurra daga tímaramma til að meta og bregðast við atviki. Síðan, ef bætt er úr, gefðu þér tíma til að upplýsa atvikið á réttan hátt. Niðurstaðan er meiri áhersla á netviðbrögð og minni áhrif á opinbert hlutabréf fyrirtækis. 8Ks gæti samt verið notað fyrir óleyst netöryggisatvik.

Lesa meira: SolarWinds 2024: Hvert fara netupplýsingar héðan?

Tengt: Hvað SolarWinds þýðir fyrir DevSecOps

• SEO knúið efni og PR dreifing. Fáðu magnara í dag.
• PlatoData.Network Vertical Generative Ai. Styrktu sjálfan þig. Aðgangur hér.
• PlatoAiStream. Web3 upplýsingaöflun. Þekking aukin. Aðgangur hér.
• PlatóESG. Kolefni, CleanTech, Orka, Umhverfi, Sól, Úrgangsstjórnun. Aðgangur hér.
• PlatoHealth. Líftækni og klínísk rannsóknagreind. Aðgangur hér.
• Heimild: https://www.darkreading.com/cybersecurity-operations/ciso-corner-evil-sboms-zero-trust-cloud-security-mitre-ivanti