보안 운영 독자와 보안 리더를 위해 특별히 제작된 Dark Reading의 주간 기사 요약인 CISO 코너에 오신 것을 환영합니다. 매주 우리는 뉴스 운영, The Edge, DR Technology, DR Global 및 논평 섹션에서 수집한 기사를 제공할 것입니다. 우리는 모든 형태와 규모의 조직의 리더를 위해 사이버 보안 전략 운영 작업을 지원하기 위해 다양한 관점을 제공하기 위해 최선을 다하고 있습니다.

이번 호 CISO 코너에서는:

5년 클라우드 보안 현황에 관한 2024가지 어려운 진실

Ericka Chickowski 작성, Dark Reading 작가

Dark Reading이 제로 트러스트의 대부인 John Kindervag와 함께 클라우드 보안에 대해 이야기합니다.

대부분의 조직은 완전히 협력하지 않습니다. 성숙한 클라우드 보안 관행, 지난해 침해 사고의 거의 절반이 클라우드에서 발생했고 클라우드 침해로 인해 거의 4.1만 달러의 손실이 발생했음에도 불구하고 말이죠.

Forrester의 분석가로서 제로 트러스트 보안 모델을 개념화하고 대중화한 제로 트러스트 보안의 대부 John Kindervag에 따르면 이는 큰 문제입니다. 그는 상황을 반전시키기 위해 직면해야 할 몇 가지 어려운 진실이 있다고 Dark Reading에 말합니다.

1. 클라우드로 전환한다고 해서 보안이 강화되는 것은 아닙니다. 클라우드는 본질적으로 대부분의 온프레미스 환경보다 더 안전하지 않습니다. 하이퍼스케일 클라우드 제공업체는 인프라를 보호하는 데는 매우 능숙할 수 있지만 고객의 보안 상태에 대한 통제력과 책임은 매우 제한적입니다. 그리고 공동 책임 모델은 실제로 작동하지 않습니다.

2. 하이브리드 환경에서는 기본 보안 제어를 관리하기 어렵습니다. 고객에게 워크로드, ID 및 가시성에 대한 더 많은 제어권을 제공하는 경우 품질이 일관되지 않지만, 여러 클라우드 전체에서 관리할 수 있는 보안 제어는 어렵습니다.

3. ID는 클라우드를 저장하지 않습니다. 클라우드 ID 관리에 많은 중점을 두고 제로 트러스트의 ID 구성 요소에 대한 불균형적인 관심이 있기 때문에 조직에서는 ID가 클라우드의 제로 트러스트를 위한 균형 잡힌 아침 식사의 일부일 뿐이라는 점을 이해하는 것이 중요합니다.

4. 자신이 무엇을 보호하려고 하는지 모르는 기업이 너무 많습니다. 각 자산, 시스템 또는 프로세스에는 고유한 위험이 따르지만, 조직에는 보호가 필요한 것은 고사하고 클라우드에 무엇이 있는지, 클라우드에 연결되어 있는지에 대한 명확한 개념이 부족합니다.

5. 클라우드 네이티브 개발 인센티브가 제대로 작동하지 않습니다. 너무 많은 조직에는 개발자가 보안을 강화할 수 있는 적절한 인센티브 구조가 없습니다. 실제로 많은 조직에서는 결국 안전하지 않은 관행을 조장하는 잘못된 인센티브를 갖고 있습니다. “저는 DevOps 앱 담당자가 IT의 Ricky Bobby라고 말하고 싶습니다. 그들은 단지 빨리 가고 싶어할 뿐입니다.”라고 Kindervag는 말합니다.

더 읽기 : 5년 클라우드 보안 현황에 관한 2024가지 어려운 진실

관련 : 제로 트러스트가 전 세계적으로 구현되는 조직의 63%

MITRE ATT&CKED: InfoSec의 가장 신뢰할 수 있는 이름이 Ivanti Bugs에 속함

작성자: Nate Nelson, 기고 작가, Dark Reading

국가적 위협 행위자가 MITRE 자체를 침해하기 위해 공격자들이 몇 달 동안 몰려들고 있는 Ivanti 버그를 악용하는 것을 포함하여 8가지 MITRE 기술을 사용했기 때문에 아이러니는 거의 사라졌습니다.

외국 국가 해커들이 사용했습니다. 취약한 Ivanti 엣지 장치 MITRE Corp.의 기밀되지 않은 네트워크 중 하나에 대한 3개월 간의 "깊은" 액세스 권한을 얻습니다.

일반적으로 알려진 사이버 공격 기술에 대한 유비쿼터스 ATT&CK 용어집을 관리하는 MITRE는 이전에 15년 동안 큰 사고 없이 지냈습니다. 다른 많은 조직과 마찬가지로 Ivanti 게이트웨이 장치가 악용된 XNUMX월에 이러한 연속 행진이 단절되었습니다.

이번 침해는 조직이 연구, 개발, 프로토타입 제작에 사용하는 기밀되지 않은 협업 네트워크인 NERVE(Networked Experimentation, Research, and Virtualization Environment)에 영향을 미쳤습니다. NERVE 손상(말장난 의도)의 정도는 현재 평가 중입니다.

그들의 목표가 무엇이든, 해커들은 그것을 수행할 충분한 시간을 가졌습니다. 손상은 1월에 발생했지만 MITRE는 4월에만 이를 탐지할 수 있었으며 그 사이에는 1년의 공백이 있었습니다.

더 읽기 : MITRE ATT&CKED: InfoSec의 가장 신뢰할 수 있는 이름이 Ivanti Bugs에 속함

관련 : 최고의 MITRE ATT&CK 기술 및 방어 방법

OWASP의 LLM Top 10에서 CISO를 위한 교훈

Venafi 최고 혁신 책임자(CIO) Kevin Bocek의 논평

이제 LLM이 정확하게 교육을 받고 수익에 영향을 미칠 수 있는 비즈니스 거래를 처리할 준비가 되었는지 확인하기 위해 규제를 시작할 때입니다.

OWASP는 최근 LLM(대형 언어 모델) 애플리케이션에 대한 상위 10개 목록을 발표했습니다. 따라서 개발자, 디자이너, 설계자 및 관리자는 이제 보안 문제와 관련하여 분명히 집중해야 할 10개 영역이 있습니다.

거의 모든 LLM 위협 상위 10개 모델에 사용된 신원에 대한 인증의 손상을 중심으로 합니다. 다양한 공격 방법은 모델 입력의 ID뿐만 아니라 모델 자체의 ID와 출력 및 작업에도 영향을 미치면서 다양한 범위에서 실행됩니다. 이는 연쇄 효과가 있으며 소스에서 취약점을 중지하기 위해 코드 서명 및 프로세스 생성 시 인증을 요구합니다.

상위 10개 위험 중 절반 이상이 본질적으로 완화되고 AI에 대한 킬 스위치를 요구하는 위험이지만 기업은 새로운 LLM을 배포할 때 옵션을 평가해야 합니다. 입력과 모델, 그리고 모델의 동작을 인증하기 위한 올바른 도구가 있다면 기업은 AI 킬 스위치 아이디어를 활용하고 추가 파괴를 방지할 수 있는 역량을 더 잘 갖추게 될 것입니다.

더 읽기 : OWASP의 LLM Top 10에서 CISO를 위한 교훈

관련 : Bugcrowd, LLM에 대한 취약성 등급 발표

Cyberattack Gold: SBOM은 취약한 소프트웨어에 대한 손쉬운 인구 조사를 제공합니다.

Rob Lemos, 기고 작가, Dark Reading

공격자는 특정 소프트웨어 결함에 잠재적으로 취약한 소프트웨어를 검색하기 위해 소프트웨어 부품 명세서(SBOM)를 사용할 가능성이 높습니다.

정부와 보안에 민감한 기업은 공급망 위험을 해결하기 위해 소프트웨어 제조업체에 소프트웨어 자재 명세서(SBOM)를 제공하도록 점점 더 요구하고 있지만 이는 새로운 범주의 우려를 낳고 있습니다.

간단히 말해서, 표적 회사가 어떤 소프트웨어를 실행하고 있는지 파악한 공격자는 단일 패킷을 보내지 않고도 관련 SBOM을 검색하고 애플리케이션 구성 요소의 약점을 분석할 수 있다고 소프트웨어의 제품 보안 연구 및 분석 이사인 Larry Pesce는 말합니다. 공급망 보안 회사인 Finite State.

그는 20년 동안 침투 테스터로 일해 왔으며 XNUMX월 RSA 컨퍼런스에서 "사악한 SBOM"에 대한 프레젠테이션을 통해 위험에 대해 경고할 계획입니다. 그는 SBOM이 공격자가 다음을 수행할 수 있을 만큼 충분한 정보를 가지고 있음을 보여줄 것입니다. SBOM 데이터베이스에서 특정 CVE 검색 취약할 가능성이 있는 애플리케이션을 찾습니다. 공격자에게 더 좋은 점은 SBOM이 공격자가 손상 후 "토지에서 생활"하는 데 사용할 수 있는 장치의 다른 구성 요소와 유틸리티도 나열한다는 것입니다.

더 읽기 : Cyberattack Gold: SBOM은 취약한 소프트웨어에 대한 손쉬운 인구 조사를 제공합니다.

관련 : Southern Company, 전력 변전소용 SBOM 구축

글로벌: 청구서에 대한 라이센스가 있습니까? 국가에서 요구하는 사이버 보안 전문가의 인증 및 라이선스

작성자: Robert Lemos, 기고 작가, Dark Reading

말레이시아, 싱가포르, 가나는 사이버 보안을 요구하는 법률을 통과시킨 최초의 국가 중 하나입니다. 기업(어떤 경우에는 개인 컨설턴트)이 사업 허가를 취득해야 하지만 우려는 여전히 남아 있습니다.

말레이시아는 적어도 두 개의 다른 국가에 합류했습니다. 싱가포르 가나 - 사이버 보안 전문가 또는 그 회사가 해당 국가에서 일부 사이버 보안 서비스를 제공하려면 인증 및 라이선스를 취득하도록 요구하는 법률을 통과시켰습니다.

이 법안의 의무 사항은 아직 결정되지 않았지만 말레이시아에 본사를 둔 “이는 다른 사람의 정보 통신 기술 장치를 보호하기 위한 서비스를 제공하는 서비스 제공업체(예: 침투 테스트 제공업체 및 보안 운영 센터)에 적용될 가능성이 높습니다.”라고 합니다. 법률사무소 크리스토퍼앤이옹.

아시아 태평양 이웃 국가인 싱가포르는 이미 지난 2년 동안 사이버 보안 서비스 제공업체(CSP)의 라이선스를 요구했고, 서아프리카 국가인 가나는 사이버 보안 전문가의 라이선스와 인증을 요구했습니다. 보다 광범위하게는 유럽 연합과 같은 정부가 사이버 보안 인증을 표준화한 반면, 미국 뉴욕주와 같은 다른 기관에서는 특정 산업의 사이버 보안 기능에 대한 인증 및 라이선스를 요구합니다.

그러나 일부 전문가들은 이러한 조치로 인해 잠재적으로 위험한 결과가 발생할 수 있다고 보고 있습니다.

더 읽기 : Bill에 대한 라이센스가 있습니까? 국가에서 요구하는 사이버 보안 전문가의 인증 및 라이선스

관련 : 싱가포르, 사이버 보안 대비에 있어 높은 기준 설정

사이버 보안 극대화를 위한 J&J 스핀오프 CISO

작성자: Karen D. Schwartz, Dark Reading의 기고가

Johnson & Johnson에서 분사한 소비자 의료 회사인 Kenvue의 CISO가 도구와 새로운 아이디어를 결합하여 보안 프로그램을 구축한 방법입니다.

Johnson & Johnson의 Mike Wagner는 Fortune 100대 기업의 보안 접근 방식과 보안 스택을 형성하는 데 도움을 주었습니다. 이제 그는 J&J에서 설립된 지 XNUMX년이 된 소비자 헬스케어 기업인 Kenvue의 첫 번째 CISO로, 최대의 보안을 갖춘 간소화되고 비용 효과적인 아키텍처를 만드는 임무를 맡고 있습니다.

이 기사에서는 Wagner와 그의 팀이 수행한 단계를 다음과 같이 설명합니다.

주요 역할을 정의합니다. 도구를 구현하는 건축가 및 엔지니어 보안 인증을 가능하게 하는 ID 및 액세스 관리(IAM) 전문가 리스크 관리 리더 비즈니스 우선순위에 맞춰 보안을 조정합니다. 사고 대응을 위한 보안 운영 직원; 각 사이버 기능을 담당하는 전담 직원.

기계 학습 및 AI 내장: 작업에는 IAM 자동화가 포함됩니다. 공급업체 조사 간소화; 행동 분석; 위협 탐지를 개선합니다.

유지할 도구와 프로세스와 교체할 프로세스를 선택하세요. J&J의 사이버 보안 아키텍처는 수십 년간의 인수를 통해 만들어진 시스템의 패치워크입니다. 여기의 작업에는 J&J의 도구 목록 작성이 포함되었습니다. 이를 Kenvue의 운영 모델에 매핑합니다. 새로운 필요한 기능을 식별합니다.

바그너는 할 일이 더 많다고 말했습니다. 다음으로 그는 제로 트러스트 채택, 기술 통제 강화 등 현대적인 보안 전략을 활용할 계획입니다.

더 읽기 : 사이버 보안 극대화를 위한 J&J 스핀오프 CISO

관련 : 사기 방지를 위한 Visa의 AI 도구 살펴보기

SolarWinds 2024: 사이버 공개는 어디에서 시작됩니까?

Appdome CEO 겸 공동 창작자 Tom Tovar의 논평

SolarWinds 이후 SEC의 4일 규칙에 따라 사이버 보안 사고를 공개해야 하는 방법, 시기, 장소에 대한 최신 조언을 받고, 먼저 해결하기 위한 규칙 개정 요청에 참여하세요.

SolarWinds 이후의 세계에서는 사이버 보안 위험 및 사고에 대한 교정 안전 항구로 이동해야 합니다. 특히, 어떤 기업이 10일 이내에 결함이나 공격을 해결한다면 (a) 사기 주장(즉, 논의할 사항 없음)을 피하거나 (b) 표준 10Q 및 XNUMXK 프로세스를 사용할 수 있어야 합니다. 경영 논의 및 분석 섹션을 포함하여 사건을 공개합니다.

30월 XNUMX일, SEC는 보고서를 제출했습니다. SolarWinds에 대한 사기 신고 및 최고 정보 보안 책임자는 SolarWinds 직원과 경영진이 시간이 지남에 따라 SolarWinds 제품에 대한 위험, 취약성 및 공격이 증가하고 있음을 알고 있었음에도 불구하고 "SolarWinds의 사이버 보안 위험 공개에서는 어떤 식으로든 이를 공개하지 않았습니다"라고 주장했습니다.

이러한 상황에서 책임 문제를 방지하기 위해 교정 면책 조항을 통해 기업은 8일 동안 사고를 평가하고 대응할 수 있습니다. 그런 다음 문제가 해결되면 시간을 내어 사건을 적절하게 공개하세요. 그 결과 사이버 대응이 더욱 강조되고 회사의 공개 주식에 미치는 영향이 줄어듭니다. XNUMXK는 해결되지 않은 사이버 보안 사고에 여전히 사용될 수 있습니다.

더 읽기 : SolarWinds 2024: 사이버 공개는 어디에서 시작됩니까?

관련 : DevSecOps에 SolarWinds가 갖는 의미

• SEO 기반 콘텐츠 및 PR 배포. 오늘 증폭하십시오.
• PlatoData.Network 수직 생성 Ai. 자신에게 권한을 부여하십시오. 여기에서 액세스하십시오.
• PlatoAiStream. 웹3 인텔리전스. 지식 증폭. 여기에서 액세스하십시오.
• 플라톤ESG. 탄소, 클린테크, 에너지, 환경, 태양광, 폐기물 관리. 여기에서 액세스하십시오.
• PlatoHealth. 생명 공학 및 임상 시험 인텔리전스. 여기에서 액세스하십시오.
• 출처: https://www.darkreading.com/cybersecurity-operations/ciso-corner-evil-sboms-zero-trust-cloud-security-mitre-ivanti