ברוכים הבאים ל-CISO Corner, התקציר השבועי של מאמרים של Dark Reading המותאמים במיוחד לקוראי פעולות אבטחה ולמנהיגי אבטחה. מדי שבוע, נציע מאמרים שנאספו מכל מבצע החדשות שלנו, The Edge, DR Technology, DR Global ומדור הפרשנות שלנו. אנו מחויבים להביא לך קבוצה מגוונת של נקודות מבט כדי לתמוך בעבודה של הפעלת אסטרטגיות אבטחת סייבר, עבור מנהיגים בארגונים מכל הצורות והגדלים.

בגיליון זה של CISO Corner:

5 אמיתות קשות על מצב אבטחת הענן 2024

מאת אריקה צ'יקובסקי, סופרת תורמת, קריאה אפלה

Dark Reading מדבר על אבטחת ענן עם ג'ון קינדרוואג, הסנדק של אפס אמון.

רוב הארגונים לא עובדים עם מלא נוהלי אבטחת ענן בוגרים, למרות כמעט מחצית מהפרצות שמקורן בענן וכמעט 4.1 מיליון דולר הפסידו בשל פרצות ענן בשנה האחרונה.

זו בעיה גדולה, לדברי הסנדק של אבטחת אמון אפס, ג'ון קינדרוואג, שהמשיג והפיץ את מודל האבטחה של אפס אמון כאנליסט בפורסטר. הוא אומר ל-Dark Reading שיש כמה אמיתות קשות להתמודדות כדי לשנות את המצב.

1. אתה לא נעשה בטוח יותר רק על ידי מעבר לענן: הענן אינו מאובטח מטבעו מרוב הסביבות המקומיות: ספקי ענן בקנה מידה גבוה עשויים להיות טובים מאוד בהגנה על תשתיות, אך השליטה והאחריות שיש להם על מצב האבטחה של הלקוחות שלהם מוגבלות מאוד. ומודל האחריות המשותפת לא ממש עובד.

2. בקרות אבטחה מקוריות קשות לניהול בעולם היברידי: האיכות אינה עקבית בכל הנוגע להציע ללקוחות שליטה רבה יותר על עומסי העבודה, הזהויות והנראות שלהם, אך בקרות אבטחה שניתן לנהל על פני כל העננים המרובים הם חמקמקים.

3. זהות לא תציל את הענן שלך: עם כל כך הרבה דגש על ניהול זהויות בענן ותשומת לב לא פרופורציונלית על מרכיב הזהות באפס אמון, חשוב לארגונים להבין שזהות היא רק חלק מארוחת בוקר מאוזנת היטב לאפס אמון בענן.

4. יותר מדי חברות לא יודעות על מה הן מנסות להגן: כל נכס או מערכת או תהליך יישאו בסיכון הייחודי שלו, אבל לארגונים אין מושג ברור מה יש בענן או מה מתחבר לענן, שלא לדבר על מה צריך הגנה.

5. תמריצים לפיתוח מקורי בענן אינם מופקעים: ליותר מדי ארגונים פשוט אין את מבני התמריצים הנכונים למפתחים לאפות באבטחה תוך כדי - ולמעשה, לרבים יש תמריצים פרוורטיים שבסופו של דבר מעודדים תרגול לא בטוח. "אני אוהב לומר שאנשי אפליקציית DevOps הם ריקי בובי של ה-IT. הם רק רוצים ללכת מהר", אומר קינדרוואג.

קרא עוד: 5 אמיתות קשות על מצב אבטחת הענן 2024

מידע נוסף: אפס אמון משתלט: 63% מהארגונים שמיישמים ברחבי העולם

MITER ATT&CKED: השם המהימן ביותר של InfoSec נופל לידי Ivanti Bugs

מאת נייט נלסון, סופר תורם, קריאה אפלה

האירוניה אובדת על מעטים, מכיוון ששחקן איום במדינת לאום השתמש בשמונה טכניקות MITER כדי לפרוץ את MITER עצמה - כולל ניצול באגים של Ivanti שהתוקפים שורצים עליהם במשך חודשים.

האקרים של מדינות לאום זרים השתמשו מכשירי Ivanti Edge פגיעים להשיג גישה "עמוקה" של שלושה חודשים לאחת מהרשתות הלא מסווגות של MITER Corp.

MITRE, מנהל מילון המונחים הנפוץ של ATT&CK של טכניקות התקפות סייבר ידועות, עבר בעבר 15 שנים ללא תקרית גדולה. הרצף נפל בינואר כאשר, כמו כל כך הרבה ארגונים אחרים, נוצלו מכשירי השער שלה איבנטי.

הפרצה השפיעה על סביבת הניסויים, המחקר והווירטואליזציה ברשת (NERVE), רשת לא מסווגת, שיתופית שבה משתמש הארגון למחקר, פיתוח ויצירת אב טיפוס. היקף הנזק העצבי (משחק מילים) מוערך כעת.

יהיו מטרותיהם אשר יהיו, להאקרים היה מספיק זמן לבצע אותן. למרות שהפשרה התרחשה בינואר, MITER הצליח לזהות אותה רק באפריל, והותיר פער של רבע שנה ביניהם.

קרא עוד: MITER ATT&CKED: השם המהימן ביותר של InfoSec נופל לידי Ivanti Bugs

מידע נוסף: טכניקות מובילות של MITER ATT&CK וכיצד להתגונן מפניהן

שיעורים עבור CISOs מ-LLM Top 10 של OWASP

פרשנות מאת קווין בוצ'ק, מנהל חדשנות ראשי, Venafi

הגיע הזמן להתחיל להסדיר את ה-LLMs כדי להבטיח שהם עברו הכשרה מדויקת ומוכנים להתמודד עם עסקאות עסקיות שעלולות להשפיע על השורה התחתונה.

OWASP פרסמה לאחרונה את רשימת 10 המובילים שלה עבור יישומי מודל שפה גדול (LLM), כך שלמפתחים, מעצבים, אדריכלים ומנהלים יש כעת 10 תחומים להתמקד בהם בבירור בכל הנוגע לדאגות אבטחה.

כמעט כל ה 10 האיומים המובילים ב-LLM מרכז סביב פשרה של אימות עבור הזהויות המשמשות במודלים. שיטות ההתקפה השונות פועלות על כל טווח, ומשפיעות לא רק על זהויות הקלט של המודל אלא גם על זהות המודלים עצמם, כמו גם על התפוקות והפעולות שלהם. יש לכך אפקט דפוק וקורא לאימות בחתימת הקוד ויצירת תהליכים כדי לעצור את הפגיעות במקור.

בעוד שיותר ממחצית מ-10 הסיכונים המובילים הם כאלה שבעצם מצומצמים ומחייבים את מתג ההרוג עבור AI, חברות יצטרכו להעריך את האפשרויות שלהן בעת ​​פריסת LLMs חדשים. אם קיימים הכלים הנכונים כדי לאמת את התשומות והמודלים, כמו גם את פעולות המודלים, חברות יהיו מצוידות יותר למנף את רעיון מתג-ההרג בינה מלאכותית ולמנוע הרס נוסף.

קרא עוד: שיעורים עבור CISOs מ-LLM Top 10 של OWASP

מידע נוסף: Bugcrowd מכריזה על דירוגי פגיעות עבור LLMs

מתקפת סייבר זהב: SBOMs מציעים מפקד קל של תוכנות פגיעות

מאת רוב למוס, כותב תורם, קריאה אפלה

ככל הנראה תוקפים ישתמשו בכתבי תוכנה (SBOM) לחיפוש תוכנות שעלולות להיות פגיעות לפגמי תוכנה ספציפיים.

ממשלה וחברות רגישות לאבטחה דורשות יותר ויותר מיצרניות תוכנה לספק להן כתבי תוכנה (SBOMs) כדי לטפל בסיכון שרשרת האספקה ​​- אבל זה יוצר קטגוריה חדשה של דאגה.

בקצרה: תוקף שקובע איזו תוכנה מפעילה חברה ממוקדת, יכול לאחזר את ה-SBOM המשויך ולנתח את רכיבי האפליקציה עבור חולשות, הכל מבלי לשלוח חבילה אחת, אומר לארי פסה, מנהל מחקר וניתוח אבטחת מוצרים בתוכנה חברת אבטחת שרשרת האספקה ​​Finite State.

הוא בוחן חדירה לשעבר של 20 שנה, שמתכנן להזהיר מפני הסיכון במצגת על "SBOMs Evil" בכנס RSA במאי. הוא יראה של-SBOM יש מספיק מידע כדי לאפשר לתוקפים לעשות זאת חפש CVEs ספציפיים במסד נתונים של SBOMs ולמצוא אפליקציה שסביר להניח שהיא פגיעה. אפילו טוב יותר עבור תוקפים, SBOMs יפרטו גם רכיבים וכלי עזר אחרים במכשיר שבהם יכול התוקף להשתמש כדי "לחיות מהאדמה" לאחר הפשרה, הוא אומר.

קרא עוד: מתקפת סייבר זהב: SBOMs מציעים מפקד קל של תוכנות פגיעות

מידע נוסף: החברה הדרומית בונה SBOM עבור תחנת כוח חשמלית

גלובלי: מורשה לחיוב? אישור מנדט ורשיונות של מקצועני אבטחת סייבר

מאת רוברט למוס, סופר תורם, קריאה אפלה

מלזיה, סינגפור וגאנה הן בין המדינות הראשונות שהעבירו חוקים המחייבים אבטחת סייבר חברות - ובמקרים מסוימים, יועצים בודדים - לקבל רישיונות לעשות עסקים, אך החששות נותרו.

מלזיה הצטרפה לפחות לשתי מדינות נוספות - סינגפור וגאנה - בהעברת חוקים המחייבים אנשי מקצוע בתחום אבטחת הסייבר או החברות שלהם לקבל אישור ורישיון לספק שירותי אבטחת סייבר במדינתם.

בעוד שהמנדטים של החקיקה טרם נקבעו, "זה יחול ככל הנראה על ספקי שירותים המספקים שירותים להגנה על מכשירי טכנולוגיית מידע ותקשורת של אדם אחר - [לדוגמה] ספקי בדיקות חדירה ומרכזי תפעול אבטחה", לפי מלזיה. משרד עורכי הדין Christopher & Lee Ong.

השכנה מאסיה-פסיפיק, סינגפור, כבר דרשה רישוי של ספקי שירותי אבטחת סייבר (CSPs) בשנתיים האחרונות, והמדינה המערב אפריקאית גאנה, הדורשת רישוי והסמכה של אנשי מקצוע בתחום אבטחת הסייבר. באופן נרחב יותר, ממשלות כמו האיחוד האירופי נרמלו אישורי אבטחת סייבר, בעוד שסוכנויות אחרות - כמו מדינת ניו יורק בארה"ב - דורשות הסמכה ורישיונות עבור יכולות אבטחת סייבר בתעשיות ספציפיות.

עם זאת, כמה מומחים רואים השלכות שעלולות להיות מסוכנות ממהלכים אלה.

קרא עוד: מורשה לביל? אישור מנדט ורשיונות של מקצועני אבטחת סייבר

מידע נוסף: סינגפור מציבה רף גבוה במוכנות לאבטחת סייבר

J&J ספין אוף CISO בנושא מקסום אבטחת סייבר

מאת קארן ד. שוורץ, סופרת תורמת, קריאה אפלה

כיצד ה-CISO של Kenvue, חברת בריאות צרכנית, יצאה מג'ונסון אנד ג'ונסון, שילבה כלים ורעיונות חדשים כדי לבנות את תוכנית האבטחה.

מייק וגנר של ג'ונסון אנד ג'ונסון עזר לעצב את גישת האבטחה ואת ערימת האבטחה של חברת Fortune 100; כעת, הוא ה-CISO הראשון של הספין-אוף של J&J לטיפול צרכני, Kenvue, שהופקד על יצירת ארכיטקטורה יעילה וחסכונית עם אבטחה מקסימלית.

מאמר זה מפרק את השלבים בהם עבדו ואגנר וצוותו, הכוללים:

הגדר תפקידי מפתח: אדריכלים ומהנדסים ליישום כלים; מומחי ניהול זהויות וגישה (IAM) כדי לאפשר אימות מאובטח; מובילי ניהול סיכונים ליישר קו אבטחה עם סדרי העדיפויות העסקיים; צוות מבצעי אבטחה לתגובה לאירועים; וצוות ייעודי לכל פונקציית סייבר.

הטמעת למידת מכונה ובינה מלאכותית: המשימות כוללות אוטומציה של IAM; ייעול בדיקת הספקים; ניתוח התנהגותי; ושיפור זיהוי האיומים.

בחר אילו כלים ותהליכים לשמור, ואילו להחליף: בעוד שארכיטקטורת אבטחת הסייבר של J&J היא טלאים של מערכות שנוצרו על ידי עשרות שנים של רכישות; המשימות כאן כללו מלאי של הכלים של J&J; מיפוי שלהם למודל הפעולה של Kenvue; וזיהוי יכולות נחוצות חדשות.

ואגנר אומר שיש עוד מה לעשות. בשלב הבא, הוא מתכנן להישען על אסטרטגיות אבטחה מודרניות, כולל אימוץ של אפס אמון ושיפור של בקרות טכניות.

קרא עוד: J&J ספין אוף CISO בנושא מקסום אבטחת סייבר

מידע נוסף: הצצה לכלי הבינה המלאכותית של ויזה נגד הונאה

SolarWinds 2024: לאן מובילות גילויי סייבר מכאן?

פרשנות מאת טום טובר, מנכ"ל ושותף ליצירה, Appdome

קבל עצות מעודכנות כיצד, מתי והיכן עלינו לחשוף תקריות אבטחת סייבר במסגרת כלל ארבעת הימים של ה-SEC לאחר SolarWinds, והצטרף לקריאה לחדש את הכלל כדי לתקן תחילה.

בעולם שלאחר SolarWinds, עלינו לעבור לנמל בטוח לשיקום עבור סיכונים ותקריות אבטחת סייבר. באופן ספציפי, אם חברה כלשהי מתקנת את הליקויים או ההתקפה בתוך מסגרת הזמן של ארבעה ימים, היא אמורה להיות מסוגלת (א) להימנע מתביעת הונאה (כלומר, אין מה לדבר) או (ב) להשתמש בתהליך הסטנדרטי של 10Q ו-10K, כולל סעיף דיון וניתוח ההנהלה, כדי לחשוף את האירוע.

ב-30 באוקטובר הגישה ה-SEC א תלונת הונאה נגד SolarWinds וקצין אבטחת המידע הראשי שלה, בטענה שלמרות שעובדי ומנהלי SolarWinds ידעו על הסיכונים, הפגיעות וההתקפות המתגברות נגד מוצרי SolarWinds לאורך זמן, "גילויי סיכוני אבטחת הסייבר של SolarWinds לא חשפו אותם בשום צורה".

כדי לסייע במניעת בעיות אחריות במצבים אלה, נמל בטוח לתיקון יאפשר לחברות מסגרת זמן שלמה של ארבעה ימים להעריך אירוע ולהגיב אליו. לאחר מכן, אם תוקן, קח את הזמן כדי לחשוף את האירוע כראוי. התוצאה היא יותר דגש על תגובת סייבר ופחות השפעה על המניות הציבוריות של החברה. עדיין ניתן להשתמש ב-8Ks לאירועי אבטחת סייבר לא פתורים.

קרא עוד: SolarWinds 2024: לאן מובילות גילויי סייבר מכאן?

מידע נוסף: המשמעות של SolarWinds עבור DevSecOps

• הפצת תוכן ויחסי ציבור מופעל על ידי SEO. קבל הגברה היום.
• PlatoData.Network Vertical Generative Ai. העצים את עצמך. גישה כאן.
• PlatoAiStream. Web3 Intelligence. הידע מוגבר. גישה כאן.
• PlatoESG. פחמן, קלינטק, אנרגיה, סביבה, שמש, ניהול פסולת. גישה כאן.
• PlatoHealth. מודיעין ביוטכנולוגיה וניסויים קליניים. גישה כאן.
• מקור: https://www.darkreading.com/cybersecurity-operations/ciso-corner-evil-sboms-zero-trust-cloud-security-mitre-ivanti