ברוכים הבאים ל-CISO Corner, התקציר השבועי של מאמרים של Dark Reading המותאמים במיוחד לקוראי פעולות אבטחה ולמנהיגי אבטחה. מדי שבוע, אנו מציעים מאמרים שנאספו מכל מבצע החדשות שלנו, The Edge, DR Technology, DR Global ומדור הפרשנות שלנו. אנו מחויבים להביא לך קבוצה מגוונת של נקודות מבט כדי לתמוך בעבודה של הפעלת אסטרטגיות אבטחת סייבר, עבור מנהיגים בארגונים מכל הצורות והגדלים.

בגיליון זה של CISO Corner:

תאגידים עם ממשל סייבר יוצרים כמעט פי 4 יותר ערך

מאת דיוויד שטרום, סופר תורם, קריאה אפלה

אלה שיש להם ועדות מיוחדות הכוללות מומחה סייבר במקום להסתמך על הדירקטוריון המלא נוטים יותר לשפר את האבטחה והביצועים הפיננסיים.

חברות שעשו את המאמץ לציית להנחיות לניהול טוב יותר של אבטחת סייבר יצרו כמעט פי ארבעה את ערך בעלי המניות שלהן בהשוואה לאלו שלא.

זו המסקנה של סקר חדש שנערך במשותף על ידי Bitsight ו-Diligent Institute, אשר מדד מומחיות אבטחת סייבר על פני 23 גורמי סיכון שונים, כגון נוכחות של זיהומים בבוטנט, שרתים המארחים תוכנות זדוניות, אישורי הצפנה מיושנים לתקשורת אינטרנט ואימייל, ויציאות רשת פתוחות בשרתים הפונה לציבור.

הדו"ח גם מצא כי קיום ועדות מועצות נפרדות המתמקדות בסיכונים מיוחדים ובציות לביקורת מניבה את התוצאות הטובות ביותר. "מועצות המנהלות פיקוח על סייבר באמצעות ועדות מיוחדות עם חבר מומחה סייבר, לעומת הסתמכות על הדירקטוריון המלא, נוטות יותר לשפר את עמדות האבטחה הכוללות והביצועים הפיננסיים שלהן", מסכים לאדי אדפלה, יועץ אבטחת סייבר ומנכ"ל Omega315.

קרא עוד: תאגידים עם ממשל סייבר יוצרים כמעט פי 4 יותר ערך

מידע נוסף: עם איסורים של TikTok, הזמן לממשל תפעולי הוא עכשיו

אפילו מקצועני סייבר נראים: בתוך מתקפת ויסינג בחיים האמיתיים

מאת אליזבת מונטלבנו, סופרת תורמת, קריאה אפלה

תוקפים מצליחים מתמקדים במניפולציה פסיכולוגית של רגשות אנושיים, וזו הסיבה שכל אחד, אפילו מקצוען סייבר או בעל ידע טכנולוגי, יכול להפוך לקורבן.

זה התחיל בשיחת טלפון בסביבות 10:30 בבוקר ביום שלישי ממספר נייד לא ידוע. עבדתי על המחשב בבית ובדרך כלל לא עונה לטלפונים מאנשים שאני לא מכיר. מסיבה כלשהי, החלטתי להפסיק את מה שאני עושה ולקחת את השיחה הזו.

זו הייתה הטעות הראשונה שלי בסדרה של כמה שהייתי עושה במהלך ארבע השעות הבאות, שבמהלכן הייתי ה- קורבן של קמפיין וישינג או דיוג קולי. בסוף המבחן, העברתי כמעט 5,000 אירו בכספים מחשבון הבנק שלי ובביטקוין לרמאים. הבנק שלי הצליח לבטל את רוב ההעברות; עם זאת, הפסדתי 1,000 אירו ששלחתי לארנק הביטקוין של התוקפים.

מומחים אומרים שזה לא משנה כמה מומחיות יש לך לדעת את הטקטיקות שבהן משתמשים התוקפים או ניסיון באיתור הונאות. המפתח להצלחת התוקפים הוא משהו ישן יותר מהטכנולוגיה, שכן הוא טמון במניפולציה בדיוק של הדבר שהופך אותנו לאנושיים: הרגשות שלנו.

קרא עוד: אל תענה לטלפון: בתוך מתקפת ויסינג בחיים האמיתיים

מידע נוסף: האקרים צפון קוריאנים מכוונים לחוקרי אבטחה - שוב

הפחתת סיכון של צד שלישי דורשת גישה משותפת ויסודית

פרשנות מאת מאט מטנהיימר, מנהל שותף של ייעוץ סייבר, פרקטיקת אבטחת סייבר, S-RM

הבעיה יכולה להיראות מרתיעה, אבל לרוב הארגונים יש יותר סוכנות וגמישות להתמודד עם סיכון של צד שלישי ממה שהם חושבים.

סיכון צד שלישי מהווה אתגר ייחודי לארגונים. על פני השטח, צד שלישי יכול להיראות אמין. אך ללא שקיפות מוחלטת של פעולתו הפנימית של אותו ספק צד שלישי, כיצד יכול ארגון להבטיח שהנתונים המופקדים בידיו מאובטחים?

לעתים קרובות, ארגונים ממעיטים בשאלה הדוחקת הזו, בשל מערכת היחסים ארוכת השנים שיש להם עם ספקי הצד השלישי שלהם. אבל הופעתם של ספקי צד רביעי ואפילו חמישי צריכה לתמרץ ארגונים לאבטח את הנתונים החיצוניים שלהם. מַעֲשֶׂה בדיקת נאותות אבטחה נאותה על ספק צד שלישי חייבים כעת לכלול גילוי אם הצד השלישי מעביר נתונים של לקוחות פרטיים לגורמים נוספים במורד הזרם, מה שהם כנראה עושים, הודות לרווחיות שירותי SaaS.

למרבה המזל, ישנם חמישה שלבים פשוטים מחוץ לקופסה המספקים מפת דרכים התחלתית לארגונים להפחתת סיכונים של צד שלישי בהצלחה.

קרא עוד: הפחתת סיכון של צד שלישי דורשת גישה משותפת ויסודית

מידע נוסף: Cl0p טוען למתקפת MOVEit; הנה איך החבורה עשתה את זה

ממשלת אוסטרליה מכפילה את אבטחת הסייבר בעקבות התקפות גדולות

מאת ג'ון ליידן, סופר תורם, Dark Reading Global

הממשלה מציעה תקנות אבטחת סייבר מודרניות ומקיפות יותר עבור עסקים, ממשלה וספקי תשתיות קריטיות Down Under.

חולשות ביכולות התגובה לאירועי סייבר של אוסטרליה נחשפו בספטמבר 2022 מתקפת סייבר על ספקית התקשורת Optus, ואחריה באוקטובר התקפה מבוססת תוכנת כופר על ספקית ביטוח הבריאות Medibank.

כתוצאה מכך, ממשלת אוסטרליה מוציאה תוכניות לחידוש חוקי אבטחת סייבר ותקנות, עם אסטרטגיה מוצהרת למצב את האומה כמובילה עולמית באבטחת סייבר עד 2030.

בנוסף לטיפול בפערים בחוקי פשעי סייבר קיימים, המחוקקים האוסטרלים מקווים לתקן את חוק אבטחת התשתיות הקריטיות (SOCI) של המדינה משנת 2018 כדי לשים דגש גדול יותר על מניעת איומים, שיתוף מידע ותגובה לאירועי סייבר.

קרא עוד: ממשלת אוסטרליה מכפילה את אבטחת הסייבר בעקבות התקפות גדולות

מידע נוסף: נמלי אוסטרליה חוזרים לפעול לאחר שיבוש סייבר משתק

מדריך CISO לחומריות וקביעת סיכונים

פרשנות מאת פיטר דייסון, ראש מחלקת ניתוח נתונים, Kovrr

עבור CISOs רבים, "חומריות" נותרה מונח דו-משמעי. למרות זאת, הם צריכים להיות מסוגלים לדון בחומריות ובסיכון עם הדירקטוריונים שלהם.

ה-SEC דורש כעת מחברות ציבוריות לעשות זאת להעריך אם אירועי סייבר הם "מהותיים" כסף לדיווח עליהם. אבל עבור CISOs רבים, החומריות נשארת מונח דו-משמעי, פתוח לפרשנות על סמך סביבת אבטחת הסייבר הייחודית של ארגון.

ליבת הבלבול סביב החומריות היא לקבוע מהו "הפסד מהותי". יש הרואים שהמהותיות משפיעה על 0.01% מההכנסות של השנה הקודמת, השווה לכנקודת בסיס אחת של הכנסה (ששווה לשעה אחת של הכנסה עבור תאגידי Fortune 1000).

על ידי בדיקת ערכי סף שונים מול מדדים בתעשייה, ארגונים יכולים לקבל הבנה ברורה יותר של פגיעותם למתקפות סייבר מהותיות.

קרא עוד: מדריך CISO לחומריות וקביעת סיכונים

מידע נוסף: זהירות מגיש הודעה על הפרה מרצון עם ה-SEC

בוננזה של אפס יום מניע יותר ניצול נגד ארגונים

מאת בקי ברקן, עורכת בכירה, קריאה אפלה

יריבים מתקדמים מתמקדים יותר ויותר בטכנולוגיות ארגוניות ובספקים שלהן, בעוד שפלטפורמות משתמשי קצה מצליחות לחנוק ניצול של יום אפס עם השקעות באבטחת סייבר, לפי גוגל.

היו 50% יותר פגיעות של יום אפס שנוצלו בטבע ב-2023 מאשר ב-2022. חברות נפגעות קשה במיוחד.

על פי מחקר של Mandiant ו-Google Threat Analysis Group (TAG), יריבים מתוחכמים הנתמכים על ידי מדינות לאום מנצלים משטח התקפות ארגוני רחב ידיים. טביעות הרגל המורכבות מתוכנות של ספקים מרובים, רכיבי צד שלישי וספריות רחבות ידיים מספקות קרקע ציד עשירה לאלה עם היכולת לפתח ניצול של יום אפס.

קבוצות פשעי סייבר התמקדו במיוחד בתוכנות אבטחה, כולל שער אבטחת דוא"ל של ברקודה; Cisco Adaptive Security Appliance; Ivanti Endpoint Manager, Mobile, and Sentry; ו-Trend Micro Apex One, הוסיף המחקר.

קרא עוד: בוננזה של אפס יום מניע יותר ניצול נגד ארגונים

מידע נוסף: תוקפים מנצלים את באגי האבטחה של מיקרוסופט לעקוף אפס יום

קבלת תיקון אבטחה בסדר היום של חדר הישיבות

פרשנות מאת מאט מידלטון-ליל, מנכ"ל EMEA North, Qualys

צוותי IT יכולים לעמוד טוב יותר בבדיקה על ידי סיוע לדירקטוריון שלהם להבין סיכונים וכיצד הם מתקנים, וכן להסביר את החזון לטווח ארוך שלהם לניהול סיכונים.

מנכ"לים מהעבר אולי לא איבדו שינה לגבי האופן שבו צוות האבטחה שלהם ניגש ל-CVEs ספציפיים, אבל עם CVEs עבור באגים מסוכנים כמו Apache Log4j התיקון הביטחוני אינו מעודכן בארגונים רבים, אך כעת נמצא על סדר היום באופן רחב יותר. המשמעות היא שיותר מובילי אבטחה מתבקשים לספק תובנות לגבי מידת הניהול שלהם של סיכונים מנקודת מבט עסקית.

זה מוביל לשאלות קשות, במיוחד לגבי תקציבים ואופן השימוש בהם.

רוב ה-CISOs מתפתים להשתמש במידע סביב עקרונות הליבה של אבטחת IT - מספר הבעיות שהופסקו, עדכונים שנפרסו, בעיות קריטיות מתוקנות - אך ללא השוואה לסיכונים ובעיות עסקיים אחרים, זה יכול להיות קשה לשמור על תשומת לב ולהוכיח ש-CISO מספק .

כדי להתגבר על בעיות אלה, עלינו להשתמש בהשוואות ובנתוני הקשר כדי לספר סיפור סביב סיכון. מתן נתוני בסיס על מספר התיקונים שנפרסו אינו מתאר את כמויות המאמץ העצומות שהושקעו בתיקון בעיה קריטית שסיכנה אפליקציה מניבה הכנסות. זה גם לא מראה איך הצוות שלך מתפקד מול אחרים. בעיקרון, אתה רוצה להדגים איך נראה טוב ללוח, ואיך אתה ממשיך לספק לאורך זמן.

קרא עוד: קבלת תיקון אבטחה בסדר היום של חדר הישיבות

מידע נוסף: מה חסר בחדר הישיבות: CISOs

• הפצת תוכן ויחסי ציבור מופעל על ידי SEO. קבל הגברה היום.
• PlatoData.Network Vertical Generative Ai. העצים את עצמך. גישה כאן.
• PlatoAiStream. Web3 Intelligence. הידע מוגבר. גישה כאן.
• PlatoESG. פחמן, קלינטק, אנרגיה, סביבה, שמש, ניהול פסולת. גישה כאן.
• PlatoHealth. מודיעין ביוטכנולוגיה וניסויים קליניים. גישה כאן.
• מקור: https://www.darkreading.com/cloud-security/ciso-corner-cyber-pro-swindle-risk-valuation