CISO コーナーへようこそ。Dark Reading の毎週の記事のダイジェストは、特にセキュリティ運用の読者とセキュリティ リーダー向けに調整されています。ニュース業務、ザ エッジ、DR テクノロジー、DR グローバル、および解説セクション全体から収集した記事を毎週提供します。私たちは、あらゆる形態や規模の組織のリーダー向けに、サイバーセキュリティ戦略の運用をサポートするための多様な視点を提供することに尽力しています。

今号の CISO コーナーでは次のようになります。

5 年のクラウド セキュリティの現状に関する 2024 つの厳然たる真実

Ericka Chickowski、寄稿ライター、Dark Reading

Dark Reading は、ゼロトラストのゴッドファーザーである John Kindervag とクラウド セキュリティについて語ります。

ほとんどの組織は完全に連携していない 成熟したクラウドセキュリティ慣行、侵害のほぼ半数がクラウドから発生しており、過去 4.1 年間でクラウド侵害によりほぼ XNUMX 万ドルが失われたにもかかわらず。

ゼロトラスト セキュリティのゴッドファーザー、Forrester のアナリストとしてゼロトラスト セキュリティ モデルを概念化して普及させたジョン キンダーベイグ氏によれば、これは大きな問題です。彼はDark Readingに、状況を好転させるためにはいくつかの厳しい真実に直面する必要があると語ります。

1. クラウドに移行するだけでは安全性は高まりません。 クラウドは、ほとんどのオンプレミス環境よりも本質的に安全であるわけではありません。ハイパースケール クラウド プロバイダーはインフラストラクチャの保護には優れているかもしれませんが、顧客のセキュリティ体制に対する管理と責任は非常に限られています。そして、責任共有モデルは実際には機能しません。

2. ネイティブのセキュリティ制御は、ハイブリッドの世界では管理が困難です。 顧客にワークロード、ID、可視性をより詳細に制御できるようにするという点では品質に一貫性がありませんが、複数のクラウドすべてにわたって管理できるセキュリティ制御は困難です。

3. ID はクラウドを救わない: クラウド ID 管理が非常に重視され、ゼロトラストの ID コンポーネントに不釣り合いな注目が集まっているため、組織にとって ID はクラウドでのゼロトラストのためのバランスの取れた朝食の一部にすぎないことを理解することが重要です。

4. 何を守ろうとしているのかを理解していない企業が多すぎます。 それぞれの資産、システム、プロセスには独自のリスクが伴いますが、組織には、クラウド内に何があるか、何がクラウドに接続されているか、ましてや何を保護する必要があるのか​​について明確なアイデアが欠けています。

5. クラウドネイティブ開発のインセンティブが無効になっている: 開発者がセキュリティを組み込むための適切なインセンティブ構造を持っていない組織があまりにも多く、実際、多くの組織が、結局は安全でない実践を奨励するような倒錯的なインセンティブを持っています。 「私は、DevOps アプリ担当者は IT 界の Ricky Bobby であると言いたいのです。彼らはただ速く進みたいだけなのです」とキンダーヴォーグ氏は言う。

続きを読む： 5 年のクラウド セキュリティの現状に関する 2024 つの厳然たる真実

関連する ゼロトラストが引き継ぐ: 世界中で導入している組織の 63%

MITRE ATT&CKED: InfoSec で最も信頼できる名前は Ivanti Bugs にある

ネイト・ネルソン著、寄稿ライター、Dark Reading

この皮肉を理解している人はほとんどいません。国家規模の脅威アクターが、MITRE 自体を侵害するために 8 つの MITRE テクニックを使用しました。その中には、攻撃者が数ヶ月にわたって群がってきた Ivanti のバグの悪用も含まれます。

外国の国家ハッカーが使用した 脆弱な Ivanti エッジ デバイス MITRE Corp. の非機密ネットワークの 1 つへの 3 か月分の「ディープ」アクセスを取得します。

一般的に知られているサイバー攻撃手法をまとめた ATT&CK 用語集の管理者である MITRE は、これまで 15 年間大きなインシデントを発生していませんでした。他の多くの組織と同様に、Ivanti ゲートウェイ デバイスが悪用されたため、この連続記録は XNUMX 月に途切れました。

この侵害は、同組織が研究、開発、プロトタイピングに使用する非機密の共同ネットワークであるネットワーク実験・研究・仮想化環境 (NERVE) に影響を与えました。 NERVE の被害の程度 (冗談です) は現在評価中です。

彼らの目標が何であれ、ハッカーにはそれを実行するための十分な時間がありました。侵害は 1 月に発生しましたが、MITRE がそれを検出できたのは 4 月になってからであり、その間には 4 年間の空白がありました。

続きを読む： MITRE ATT&CKED: InfoSec で最も信頼できる名前は Ivanti Bugs にある

関連する MITRE ATT&CK のトップ テクニックとそれに対する防御方法

OWASP の LLM トップ 10 から得た CISO への教訓

Venafi 最高イノベーション責任者 Kevin Bocek 氏によるコメント

LLM が正確にトレーニングを受け、収益に影響を与える可能性のあるビジネス取引を処理できるようにするために、LLM の規制を開始する時期が来ています。

OWASP は最近、大規模言語モデル (LLM) アプリケーションのトップ 10 リストを発表しました。これにより、開発者、デザイナー、アーキテクト、およびマネージャーは、セキュリティ上の懸念に関して明確に焦点を当てるべき 10 の領域が得られました。

ほとんどすべての LLM の脅威トップ 10 モデルで使用される ID の認証の侵害が中心です。さまざまな攻撃手法が広範囲に及んでおり、モデルの入力のアイデンティティだけでなく、モデル自体のアイデンティティや、その出力やアクションにも影響を与えます。これは波及効果をもたらし、ソースでの脆弱性を阻止するためにコード署名および作成プロセスでの認証が必要になります。

トップ 10 のリスクの半分以上は本質的に軽減されるリスクであり、AI のキル スイッチが必要ですが、企業は新しい LLM を導入する際に選択肢を評価する必要があります。入力とモデル、およびモデルのアクションを認証するための適切なツールが導入されていれば、企業は AI キルスイッチのアイデアを活用し、さらなる破壊を防ぐための準備が整います。

続きを読む： OWASP の LLM トップ 10 から得た CISO への教訓

関連する Bugcrowd が LLM の脆弱性評価を発表

サイバーアタック ゴールド: SBOM は脆弱なソフトウェアの簡単な調査を提供します

著者：Rob Lemos、寄稿者、Dark Reading

攻撃者は、特定のソフトウェアの欠陥に対して潜在的に脆弱なソフトウェアを検索するためにソフトウェア部品表 (SBOM) を使用する可能性があります。

政府やセキュリティに敏感な企業は、サプライチェーンのリスクに対処するためにソフトウェアメーカーにソフトウェア部品表 (SBOM) の提供を求めることが増えていますが、これが新たな種類の懸念を生み出しています。

一言で言えば、攻撃者は、標的となった企業が実行しているソフトウェアを特定し、パケットを 1 つも送信することなく、関連する SBOM を取得し、アプリケーションのコンポーネントの弱点を分析することができる、とソフトウェア社の製品セキュリティ調査分析担当ディレクター、ラリー・ペス氏は述べています。サプライチェーンセキュリティ会社Finite State。

彼は 20 年間ペネトレーション テスターとして活躍しており、XNUMX 月の RSA カンファレンスで「邪悪な SBOM」に関するプレゼンテーションでリスクについて警告する予定です。彼は、SBOM には攻撃者が実行できる十分な情報があることを示すでしょう。 SBOM のデータベースで特定の CVE を検索する 脆弱性がある可能性のあるアプリケーションを見つけます。攻撃者にとってさらに良いのは、SBOM には、攻撃者が侵害後に「その土地で生活する」ために使用できるデバイス上の他のコンポーネントやユーティリティもリストされることだ、と同氏は言う。

続きを読む： サイバーアタック ゴールド: SBOM は脆弱なソフトウェアの簡単な調査を提供します

関連する Southern Company が変電所用の SBOM を構築

グローバル: Bill にライセンスを付与されていますか?国家はサイバーセキュリティ専門家の認定とライセンスを義務付けています

Robert Lemos、寄稿ライター、Dark Reading

マレーシア、シンガポール、ガーナはサイバーセキュリティを義務付ける法律を最初に可決した国の一つです 企業、場合によっては個人のコンサルタントもビジネスを行うためのライセンスを取得する必要がありますが、懸念は残ります。

マレーシアは他の少なくとも2つの国に加わった - シンガポール ガーナでは、サイバーセキュリティ専門家またはその企業が自国で一部のサイバーセキュリティ サービスを提供するために認定およびライセンスを取得することを義務付ける法律を可決しました。

この法律の義務はまだ決定されていないが、マレーシアを拠点とする通信社によると、「これは、他人の情報通信技術デバイスを保護するサービスを提供するサービスプロバイダー（たとえば、侵入テストプロバイダーやセキュリティオペレーションセンターなど）に適用される可能性が高い」という。クリストファー＆リー・オング法律事務所。

アジア太平洋の隣国シンガポールではすでに過去2年間、サイバーセキュリティサービスプロバイダー（CSP）のライセンス取得が義務付けられており、西アフリカの国ガーナではサイバーセキュリティ専門家のライセンス取得と認定が義務付けられている。より広く言えば、欧州連合などの政府はサイバーセキュリティ認定を標準化していますが、米国ニューヨーク州などの他の政府機関は、特定の業界におけるサイバーセキュリティ機能の認定とライセンスを要求しています。

しかし、一部の専門家は、これらの動きによって潜在的に危険な結果が生じる可能性があると見ています。

続きを読む： ビルにライセンスを取得しましたか?国家はサイバーセキュリティ専門家の認定とライセンスを義務付けています

関連する シンガポールはサイバーセキュリティへの備えに高い基準を設定

J&J スピンオフの CISO がサイバーセキュリティの最大化に取り組む

著者: Karen D. Schwartz、寄稿ライター、Dark Reading

ジョンソン・エンド・ジョンソンからスピンアウトした消費者向けヘルスケア企業 Kenvue の CISO が、ツールと新しいアイデアをどのように組み合わせてセキュリティ プログラムを構築したかを説明します。

Johnson & Johnson の Mike Wagner は、Fortune 100 企業のセキュリティ アプローチとセキュリティ スタックの形成に貢献しました。現在、彼は J&J の創業 XNUMX 年目の消費者向けヘルスケア部門である Kenvue の初代 CISO として、最大限のセキュリティを備えた合理化されたコスト効率の高いアーキテクチャを構築する任務を負っています。

この記事では、ワグナーと彼のチームが取り組んだ次の手順を詳しく説明します。

主要な役割を定義します。 ツールを実装するアーキテクトとエンジニア。 ID およびアクセス管理 (IAM) の専門家が安全な認証を可能にします。 リスク管理リーダー セキュリティをビジネスの優先事項と一致させる。インシデント対応のためのセキュリティ運用スタッフ。各サイバー機能に専任のスタッフが対応します。

機械学習と AI を組み込む: タスクには IAM の自動化が含まれます。サプライヤーの審査を合理化する。行動分析。そして脅威の検出を改善します。

どのツールとプロセスを保持し、どれを置き換えるかを選択します。 J&J のサイバーセキュリティ アーキテクチャは、数十年にわたる買収によって作成されたシステムのパッチワークです。ここでのタスクには、J&J のツールの在庫管理が含まれます。それらを Kenvue のオペレーティング モデルにマッピングします。そして新しく必要な機能を特定します。

ワグナー氏は、やるべきことはまだあると言う。次に、ゼロトラストの採用や技術的制御の強化など、最新のセキュリティ戦略に力を入れる予定です。

続きを読む： J&J スピンオフの CISO がサイバーセキュリティの最大化に取り組む

関連する Visaの不正行為に対するAIツールを覗いてみる

SolarWinds 2024: サイバー情報開示は今後どこへ向かうのか?

Appdome CEO 兼共同開発者である Tom Tovar によるコメント

SolarWinds 事件後の SEC の 4 日間ルールに基づいて、サイバーセキュリティ インシデントをいつ、どこでどのように開示すべきかについて最新のアドバイスを入手し、最初に是正するためにルールを改訂する呼びかけに参加してください。

SolarWinds 後の世界では、サイバーセキュリティのリスクやインシデントを修復する安全な場所に移動する必要があります。具体的には、企業が 10 日以内に欠陥や攻撃を修復した場合、(a) 詐欺行為の申し立てを回避する (つまり、話す必要がない)、または (b) 標準の 10Q および XNUMXK プロセスを使用できるはずです。経営陣の議論と分析セクションを含め、インシデントを開示します。

30月XNUMX日、SECは次の書類を提出した。 SolarWinds に対する詐欺行為の申し立て とその最高情報セキュリティ責任者は、SolarWindsの従業員と幹部は時間の経過とともに増大するSolarWinds製品に対するリスク、脆弱性、攻撃について知っていたにもかかわらず、「SolarWindsのサイバーセキュリティリスクの開示では、それらをまったく開示していなかった」と主張した。

このような状況での責任問題を防ぐために、修復セーフハーバーにより、企業は丸 8 日間の期間でインシデントを評価し、対応できるようになります。その後、是正された場合は、時間をかけてインシデントを適切に開示します。その結果、サイバー対応がより重視され、企業の公開株式への影響が軽減されます。 XNUMXK は未解決のサイバーセキュリティ インシデントに引き続き使用される可能性があります。

続きを読む： SolarWinds 2024: サイバー情報開示は今後どこへ向かうのか?

関連する SolarWinds が DevSecOps にとって何を意味するか

• SEO を活用したコンテンツと PR 配信。 今日増幅されます。
• PlatoData.Network 垂直生成 Ai。 自分自身に力を与えましょう。 こちらからアクセスしてください。
• プラトアイストリーム。 Web3 インテリジェンス。 知識増幅。 こちらからアクセスしてください。
• プラトンESG。 カーボン、 クリーンテック、 エネルギー、 環境、 太陽、 廃棄物管理。 こちらからアクセスしてください。
• プラトンヘルス。 バイオテクノロジーと臨床試験のインテリジェンス。 こちらからアクセスしてください。
• 情報源： https://www.darkreading.com/cybersecurity-operations/ciso-corner-evil-sboms-zero-trust-cloud-security-mitre-ivanti