CISO കോർണറിലേക്ക് സ്വാഗതം, സുരക്ഷാ ഓപ്പറേഷൻ റീഡർമാർക്കും സുരക്ഷാ നേതാക്കൾക്കുമായി പ്രത്യേകം തയ്യാറാക്കിയ ലേഖനങ്ങളുടെ ഡാർക്ക് റീഡിംഗിൻ്റെ പ്രതിവാര ഡൈജസ്റ്റ്. എല്ലാ ആഴ്‌ചയും, ഞങ്ങളുടെ വാർത്താ ഓപ്പറേഷൻ, ദി എഡ്ജ്, ഡിആർ ടെക്‌നോളജി, ഡിആർ ഗ്ലോബൽ, ഞങ്ങളുടെ കമൻ്ററി വിഭാഗം എന്നിവയിൽ നിന്ന് ശേഖരിച്ച ലേഖനങ്ങൾ ഞങ്ങൾ വാഗ്ദാനം ചെയ്യും. എല്ലാ രൂപത്തിലും വലുപ്പത്തിലുമുള്ള ഓർഗനൈസേഷനുകളിലെ നേതാക്കൾക്കായി സൈബർ സുരക്ഷാ തന്ത്രങ്ങൾ പ്രവർത്തനക്ഷമമാക്കുന്നതിനുള്ള ജോലിയെ പിന്തുണയ്ക്കുന്നതിന് വൈവിധ്യമാർന്ന വീക്ഷണങ്ങൾ നിങ്ങൾക്ക് കൊണ്ടുവരാൻ ഞങ്ങൾ പ്രതിജ്ഞാബദ്ധരാണ്.

CISO കോർണറിൻ്റെ ഈ ലക്കത്തിൽ:

5 ലെ ക്ലൗഡ് സെക്യൂരിറ്റിയുടെ അവസ്ഥയെക്കുറിച്ചുള്ള 2024 കഠിനമായ സത്യങ്ങൾ

എറിക്ക ചിക്കോവ്സ്കി എഴുതിയത്, സംഭാവന ചെയ്യുന്ന എഴുത്തുകാരി, ഇരുണ്ട വായന

സീറോ ട്രസ്റ്റിൻ്റെ ഗോഡ്ഫാദറായ ജോൺ കിൻഡർവാഗുമായി ഡാർക്ക് റീഡിംഗ് ക്ലൗഡ് സുരക്ഷയെക്കുറിച്ച് സംസാരിക്കുന്നു.

മിക്ക സംഘടനകളും പൂർണ്ണമായി പ്രവർത്തിക്കുന്നില്ല മുതിർന്ന ക്ലൗഡ് സുരക്ഷാ സമ്പ്രദായങ്ങൾ, ഏകദേശം പകുതിയോളം ലംഘനങ്ങൾ ക്ലൗഡിൽ നിന്ന് ഉത്ഭവിച്ചിട്ടും കഴിഞ്ഞ വർഷം ക്ലൗഡ് ലംഘനങ്ങൾ മൂലം ഏകദേശം 4.1 മില്യൺ ഡോളർ നഷ്ടപ്പെട്ടു.

സീറോ ട്രസ്റ്റ് സെക്യൂരിറ്റിയുടെ ഗോഡ്ഫാദർ ജോൺ കിൻഡർവാഗിൻ്റെ അഭിപ്രായത്തിൽ, ഫോറസ്റ്ററിലെ ഒരു അനലിസ്റ്റായി സീറോ-ട്രസ്റ്റ് സെക്യൂരിറ്റി മോഡൽ സങ്കൽപ്പിക്കുകയും ജനപ്രിയമാക്കുകയും ചെയ്‌തത് ഒരു വലിയ പ്രശ്‌നമാണ്. കാര്യങ്ങൾ വഴിതിരിച്ചുവിടാൻ ചില കഠിനമായ സത്യങ്ങൾ നേരിടേണ്ടിവരുമെന്ന് അദ്ദേഹം ഡാർക്ക് റീഡിംഗിനോട് പറയുന്നു.

1. ക്ലൗഡിലേക്ക് പോയാൽ മാത്രം നിങ്ങൾ കൂടുതൽ സുരക്ഷിതരാകില്ല: മിക്ക ഓൺ-പ്രിമൈസ് എൻവയോൺമെൻ്റുകളേക്കാളും ക്ലൗഡ് സ്വതസിദ്ധമായി സുരക്ഷിതമല്ല: ഹൈപ്പർസ്‌കെയിൽ ക്ലൗഡ് ദാതാക്കൾ ഇൻഫ്രാസ്ട്രക്ചർ പരിരക്ഷിക്കുന്നതിൽ വളരെ മികച്ചവരായിരിക്കാം, എന്നാൽ അവരുടെ ഉപഭോക്താക്കളുടെ സുരക്ഷാ നിലപാടിൽ അവർക്ക് ഉള്ള നിയന്ത്രണവും ഉത്തരവാദിത്തവും വളരെ പരിമിതമാണ്. പങ്കിട്ട ഉത്തരവാദിത്ത മോഡൽ ശരിക്കും പ്രവർത്തിക്കുന്നില്ല.

2. ഒരു ഹൈബ്രിഡ് ലോകത്ത് പ്രാദേശിക സുരക്ഷാ നിയന്ത്രണങ്ങൾ കൈകാര്യം ചെയ്യാൻ പ്രയാസമാണ്: ഉപഭോക്താക്കൾക്ക് അവരുടെ ജോലിഭാരം, ഐഡൻ്റിറ്റികൾ, ദൃശ്യപരത എന്നിവയിൽ കൂടുതൽ നിയന്ത്രണം നൽകുമ്പോൾ ഗുണനിലവാരം പൊരുത്തമില്ലാത്തതാണ്, എന്നാൽ ഒന്നിലധികം ക്ലൗഡുകളിലുടനീളം നിയന്ത്രിക്കാൻ കഴിയുന്ന സുരക്ഷാ നിയന്ത്രണങ്ങൾ അവ്യക്തമാണ്.

3. ഐഡൻ്റിറ്റി നിങ്ങളുടെ ക്ലൗഡ് സംരക്ഷിക്കില്ല: ക്ലൗഡ് ഐഡൻ്റിറ്റി മാനേജ്‌മെൻ്റിന് വളരെയധികം ഊന്നൽ നൽകുകയും സീറോ ട്രസ്റ്റിലെ ഐഡൻ്റിറ്റി ഘടകത്തിൽ ആനുപാതികമല്ലാത്ത ശ്രദ്ധ നൽകുകയും ചെയ്യുന്നതിനാൽ, ക്ലൗഡിലുള്ള സീറോ ട്രസ്റ്റിനുള്ള സമതുലിതമായ പ്രഭാതഭക്ഷണത്തിൻ്റെ ഭാഗം മാത്രമാണ് ഐഡൻ്റിറ്റി എന്ന് ഓർഗനൈസേഷനുകൾ മനസ്സിലാക്കേണ്ടത് പ്രധാനമാണ്.

4. നിരവധി സ്ഥാപനങ്ങൾക്ക് അവർ എന്താണ് പരിരക്ഷിക്കാൻ ശ്രമിക്കുന്നതെന്ന് അറിയില്ല: ഓരോ അസറ്റും അല്ലെങ്കിൽ സിസ്റ്റവും അല്ലെങ്കിൽ പ്രക്രിയയും അതിൻ്റേതായ അദ്വിതീയ അപകടസാധ്യത വഹിക്കും, എന്നാൽ ക്ലൗഡിൽ എന്താണ് ഉള്ളതെന്നോ ക്ലൗഡുമായി ബന്ധിപ്പിക്കുന്നതെന്തെന്നോ ഉള്ള വ്യക്തമായ ധാരണ ഓർഗനൈസേഷനുകൾക്ക് ഇല്ല, എന്താണ് പരിരക്ഷിക്കേണ്ടത് എന്ന് പറയട്ടെ.

5. ക്ലൗഡ്-നേറ്റീവ് ഡെവലപ്‌മെൻ്റ് പ്രോത്സാഹനങ്ങൾ തീർത്തും അപകടകരമാണ്: പല ഓർഗനൈസേഷനുകളിലും ഡെവലപ്പർമാർക്ക് സുരക്ഷിതത്വത്തിൽ ചുടാൻ ശരിയായ പ്രോത്സാഹന ഘടനയില്ല - വാസ്തവത്തിൽ, പലർക്കും സുരക്ഷിതമല്ലാത്ത പരിശീലനത്തെ പ്രോത്സാഹിപ്പിക്കുന്ന വികലമായ പ്രോത്സാഹനങ്ങളുണ്ട്. “DevOps ആപ്പ് ആളുകൾ ഐടിയിലെ റിക്കി ബോബികളാണെന്ന് പറയാൻ ഞാൻ ആഗ്രഹിക്കുന്നു. അവർ വേഗത്തിൽ പോകാൻ ആഗ്രഹിക്കുന്നു,” കിൻഡർവാഗ് പറയുന്നു.

കൂടുതല് വായിക്കുക: 5 ലെ ക്ലൗഡ് സെക്യൂരിറ്റിയുടെ അവസ്ഥയെക്കുറിച്ചുള്ള 2024 കഠിനമായ സത്യങ്ങൾ

ബന്ധപ്പെട്ട: സീറോ ട്രസ്റ്റ് ഏറ്റെടുക്കുന്നു: 63% സംഘടനകൾ ആഗോളതലത്തിൽ നടപ്പിലാക്കുന്നു

MITER ATT&CKED: ഇൻഫോസെക്കിൻ്റെ ഏറ്റവും വിശ്വസനീയമായ പേര് ഇവാൻ്റി ബഗ്‌സിലേക്ക് പതിക്കുന്നു

നേറ്റ് നെൽസൺ എഴുതിയത്, സംഭാവന ചെയ്യുന്ന എഴുത്തുകാരൻ, ഡാർക്ക് റീഡിംഗ്

MITER തന്നെ ലംഘിക്കാൻ എട്ട് MITER ടെക്നിക്കുകൾ ഒരു ദേശീയ-രാഷ്ട്ര ഭീഷണി നടൻ ഉപയോഗിച്ചതിനാൽ വിരോധാഭാസം ചിലർക്ക് നഷ്ടമായി.

വിദേശ രാജ്യ-സംസ്ഥാന ഹാക്കർമാർ ഉപയോഗിച്ചു ദുർബലമായ ഇവാൻ്റി എഡ്ജ് ഉപകരണങ്ങൾ MITER കോർപ്പറേഷൻ്റെ തരംതിരിക്കാത്ത നെറ്റ്‌വർക്കുകളിൽ ഒന്നിലേക്ക് മൂന്ന് മാസത്തെ "ഡീപ്" ആക്‌സസ് നേടുന്നതിന്.

പൊതുവെ അറിയപ്പെടുന്ന സൈബർ ആക്രമണ സാങ്കേതിക വിദ്യകളുടെ സർവ്വവ്യാപിയായ ATT&CK ഗ്ലോസറിയുടെ കാര്യസ്ഥനായ MITRE, മുമ്പ് 15 വർഷം വലിയ സംഭവങ്ങളൊന്നുമില്ലാതെ കടന്നുപോയി. മറ്റ് പല ഓർഗനൈസേഷനുകളെയും പോലെ, അതിൻ്റെ ഇവാൻ്റി ഗേറ്റ്‌വേ ഉപകരണങ്ങളും ഉപയോഗപ്പെടുത്തിയപ്പോൾ ജനുവരിയിൽ ഈ സ്ട്രീക്ക് തകർന്നു.

ഗവേഷണം, വികസനം, പ്രോട്ടോടൈപ്പിംഗ് എന്നിവയ്‌ക്കായി ഓർഗനൈസേഷൻ ഉപയോഗിക്കുന്ന തരംതിരിക്കാത്ത, സഹകരണ ശൃംഖലയായ നെറ്റ്‌വർക്ക്ഡ് പരീക്ഷണം, ഗവേഷണം, വിർച്ച്വലൈസേഷൻ എൻവയോൺമെൻ്റ് (NERVE) എന്നിവയെ ലംഘനം ബാധിച്ചു. NERVE നാശത്തിൻ്റെ അളവ് (പൺ ഉദ്ദേശിച്ചത്) നിലവിൽ വിലയിരുത്തുകയാണ്.

അവരുടെ ലക്ഷ്യങ്ങൾ എന്തായിരുന്നാലും, അത് നടപ്പിലാക്കാൻ ഹാക്കർമാർക്ക് ധാരാളം സമയം ഉണ്ടായിരുന്നു. ജനുവരിയിൽ ഒത്തുതീർപ്പ് സംഭവിച്ചെങ്കിലും, ഏപ്രിലിൽ മാത്രമേ MITER ന് അത് കണ്ടെത്താനായുള്ളൂ, ഇടയ്ക്ക് കാൽവർഷത്തെ ഇടവേള അവശേഷിപ്പിച്ചു.

കൂടുതല് വായിക്കുക: MITER ATT&CKED: ഇൻഫോസെക്കിൻ്റെ ഏറ്റവും വിശ്വസനീയമായ പേര് ഇവാൻ്റി ബഗ്‌സിലേക്ക് പതിക്കുന്നു

ബന്ധപ്പെട്ട: മികച്ച MITER ATT&CK ടെക്നിക്കുകളും അവയ്‌ക്കെതിരെ എങ്ങനെ പ്രതിരോധിക്കാം

OWASP-യുടെ LLM ടോപ്പ് 10-ൽ നിന്നുള്ള CISO-കൾക്കുള്ള പാഠങ്ങൾ

വെനാഫിയിലെ ചീഫ് ഇന്നൊവേഷൻ ഓഫീസർ കെവിൻ ബോസെക്കിൻ്റെ കമൻ്ററി

എൽഎൽഎമ്മുകൾ കൃത്യമായി പരിശീലിപ്പിച്ചിട്ടുണ്ടെന്നും ബിസിനസ്സ് ഡീലുകൾ കൈകാര്യം ചെയ്യാൻ തയ്യാറാണെന്നും ഉറപ്പാക്കാൻ എൽഎൽഎമ്മുകളെ നിയന്ത്രിക്കാൻ തുടങ്ങേണ്ട സമയമാണിത്.

വലിയ ഭാഷാ മോഡൽ (LLM) ആപ്ലിക്കേഷനുകൾക്കായി OWASP അടുത്തിടെ അതിൻ്റെ മികച്ച 10 ലിസ്റ്റ് പുറത്തിറക്കി, അതിനാൽ ഡെവലപ്പർമാർ, ഡിസൈനർമാർ, ആർക്കിടെക്റ്റുകൾ, മാനേജർമാർ എന്നിവർക്ക് സുരക്ഷാ പ്രശ്‌നങ്ങളിൽ ശ്രദ്ധ കേന്ദ്രീകരിക്കാൻ ഇപ്പോൾ 10 മേഖലകളുണ്ട്.

മിക്കവാറും എല്ലാ മികച്ച 10 LLM ഭീഷണികൾ മോഡലുകളിൽ ഉപയോഗിക്കുന്ന ഐഡൻ്റിറ്റികൾക്കായുള്ള പ്രാമാണീകരണത്തിൻ്റെ ഒരു വിട്ടുവീഴ്ചയെ കേന്ദ്രീകരിക്കുന്നു. മോഡൽ ഇൻപുട്ടുകളുടെ ഐഡൻ്റിറ്റികളെ മാത്രമല്ല, മോഡലുകളുടെ ഐഡൻ്റിറ്റികളെയും അവയുടെ ഔട്ട്പുട്ടുകളെയും പ്രവർത്തനങ്ങളെയും ബാധിക്കുന്ന വ്യത്യസ്ത ആക്രമണ രീതികൾ ഗാമറ്റ് പ്രവർത്തിപ്പിക്കുന്നു. ഇതിന് ഒരു നോക്ക്-ഓൺ ഇഫക്റ്റ് ഉണ്ട്, കൂടാതെ ഉറവിടത്തിലെ അപകടസാധ്യത തടയുന്നതിന് കോഡ്-സൈനിംഗിലും പ്രക്രിയകൾ സൃഷ്ടിക്കുന്നതിലും പ്രാമാണീകരണത്തിനായി ആവശ്യപ്പെടുന്നു.

മികച്ച 10 അപകടസാധ്യതകളിൽ പകുതിയിലധികവും ലഘൂകരിക്കപ്പെടുകയും AI-യുടെ കിൽ സ്വിച്ച് ആവശ്യപ്പെടുകയും ചെയ്യുന്നവയാണെങ്കിലും, പുതിയ LLM-കൾ വിന്യസിക്കുമ്പോൾ കമ്പനികൾ അവരുടെ ഓപ്ഷനുകൾ വിലയിരുത്തേണ്ടതുണ്ട്. ഇൻപുട്ടുകളും മോഡലുകളും മോഡലുകളുടെ പ്രവർത്തനങ്ങളും പ്രാമാണീകരിക്കുന്നതിന് ശരിയായ ഉപകരണങ്ങൾ നിലവിലുണ്ടെങ്കിൽ, AI കിൽ-സ്വിച്ച് ആശയം പ്രയോജനപ്പെടുത്താനും കൂടുതൽ നാശം തടയാനും കമ്പനികൾ കൂടുതൽ സജ്ജമാകും.

കൂടുതല് വായിക്കുക: OWASP-യുടെ LLM ടോപ്പ് 10-ൽ നിന്നുള്ള CISO-കൾക്കുള്ള പാഠങ്ങൾ

ബന്ധപ്പെട്ട: ബഗ്‌ക്രൗഡ് LLM-കൾക്കുള്ള ദുർബലത റേറ്റിംഗുകൾ പ്രഖ്യാപിക്കുന്നു

Cyberattack Gold: SBOM-കൾ ദുർബലമായ സോഫ്റ്റ്‌വെയറിൻ്റെ ഒരു എളുപ്പ സെൻസസ് വാഗ്ദാനം ചെയ്യുന്നു

റോബ് ലെമോസ് എഴുതിയത്, സംഭാവന ചെയ്യുന്ന എഴുത്തുകാരൻ, ഡാർക്ക് റീഡിംഗ്

നിർദ്ദിഷ്ട സോഫ്‌റ്റ്‌വെയർ പിഴവുകൾക്ക് ഇരയാകാൻ സാധ്യതയുള്ള സോഫ്‌റ്റ്‌വെയർ തിരയുന്നതിനായി ആക്രമണകാരികൾ സോഫ്‌റ്റ്‌വെയർ ബില്ലുകൾ (എസ്‌ബിഒഎം) ഉപയോഗിക്കും.

സർക്കാരും സെക്യൂരിറ്റി സെൻസിറ്റീവ് കമ്പനികളും വിതരണ ശൃംഖലയുടെ അപകടസാധ്യത പരിഹരിക്കുന്നതിനായി സോഫ്റ്റ്‌വെയർ നിർമ്മാതാക്കളോട് സോഫ്റ്റ്‌വെയർ ബില്ലുകൾ (SBOMs) നൽകണമെന്ന് ആവശ്യപ്പെടുന്നു - എന്നാൽ ഇത് ഒരു പുതിയ തരം ആശങ്ക സൃഷ്ടിക്കുന്നു.

ചുരുക്കത്തിൽ: ടാർഗെറ്റുചെയ്‌ത കമ്പനി ഏത് സോഫ്‌റ്റ്‌വെയറാണ് പ്രവർത്തിക്കുന്നതെന്ന് നിർണ്ണയിക്കുന്ന ആക്രമണകാരിക്ക്, ഒരു പാക്കറ്റ് പോലും അയയ്‌ക്കാതെ, അനുബന്ധ SBOM വീണ്ടെടുക്കാനും അപ്ലിക്കേഷൻ്റെ ഘടകങ്ങളുടെ ബലഹീനതകൾ വിശകലനം ചെയ്യാനും കഴിയുമെന്ന്, സോഫ്റ്റ്‌വെയറിലെ ഉൽപ്പന്ന സുരക്ഷാ ഗവേഷണത്തിനും വിശകലനത്തിനും ഡയറക്ടർ ലാറി പെസ്‌സെ പറയുന്നു. വിതരണ ശൃംഖല സുരക്ഷാ സ്ഥാപനമായ ഫിനിറ്റ് സ്റ്റേറ്റ്.

20 വർഷത്തെ മുൻ പെനട്രേഷൻ ടെസ്റ്ററാണ് അദ്ദേഹം, മെയ് മാസത്തിൽ RSA കോൺഫറൻസിൽ "ഈവിൾ SBOMs" എന്ന അവതരണത്തിൽ അപകടസാധ്യതയെക്കുറിച്ച് മുന്നറിയിപ്പ് നൽകാൻ പദ്ധതിയിടുന്നു. ആക്രമണകാരികളെ അനുവദിക്കുന്നതിന് SBOM-കൾക്ക് മതിയായ വിവരങ്ങൾ ഉണ്ടെന്ന് അദ്ദേഹം കാണിക്കും SBOM-കളുടെ ഒരു ഡാറ്റാബേസിൽ നിർദ്ദിഷ്ട CVE-കൾക്കായി തിരയുക അപകടസാധ്യതയുള്ള ഒരു ആപ്ലിക്കേഷൻ കണ്ടെത്തുകയും ചെയ്യുക. ആക്രമണകാരികൾക്ക് ഇതിലും മികച്ചത്, വിട്ടുവീഴ്ചയ്ക്ക് ശേഷമുള്ള "ഭൂമിയിൽ നിന്ന് ജീവിക്കാൻ" ആക്രമണകാരിക്ക് ഉപയോഗിക്കാനാകുന്ന ഉപകരണത്തിലെ മറ്റ് ഘടകങ്ങളും യൂട്ടിലിറ്റികളും SBOM-കൾ ലിസ്റ്റ് ചെയ്യും, അദ്ദേഹം പറയുന്നു.

കൂടുതല് വായിക്കുക: Cyberattack Gold: SBOM-കൾ ദുർബലമായ സോഫ്റ്റ്‌വെയറിൻ്റെ ഒരു എളുപ്പ സെൻസസ് വാഗ്ദാനം ചെയ്യുന്നു

ബന്ധപ്പെട്ട: സതേൺ കമ്പനി ഇലക്ട്രിക് പവർ സബ്സ്റ്റേഷനായി SBOM നിർമ്മിക്കുന്നു

ഗ്ലോബൽ: ബില്ലിന് ലൈസൻസുണ്ടോ? സൈബർ സുരക്ഷാ പ്രോസിൻ്റെ രാജ്യങ്ങളുടെ മാൻഡേറ്റ് സർട്ടിഫിക്കേഷനും ലൈസൻസും

റോബർട്ട് ലെമോസ് എഴുതിയത്, സംഭാവന ചെയ്യുന്ന എഴുത്തുകാരൻ, ഡാർക്ക് റീഡിംഗ്

മലേഷ്യ, സിംഗപ്പൂർ, ഘാന എന്നിവയാണ് സൈബർ സുരക്ഷ ആവശ്യമായ നിയമങ്ങൾ പാസാക്കിയ ആദ്യ രാജ്യങ്ങളിൽ ഒന്ന് സ്ഥാപനങ്ങൾ - ചില സന്ദർഭങ്ങളിൽ, വ്യക്തിഗത കൺസൾട്ടൻ്റുകൾ - ബിസിനസ്സ് ചെയ്യുന്നതിനുള്ള ലൈസൻസുകൾ നേടുന്നതിന്, പക്ഷേ ആശങ്കകൾ നിലനിൽക്കുന്നു.

മലേഷ്യ കുറഞ്ഞത് മറ്റ് രണ്ട് രാജ്യങ്ങളുമായി ചേർന്നു - സിംഗപൂർ കൂടാതെ ഘാന - സൈബർ സുരക്ഷാ പ്രൊഫഷണലുകൾ അല്ലെങ്കിൽ അവരുടെ സ്ഥാപനങ്ങൾ അവരുടെ രാജ്യത്ത് ചില സൈബർ സുരക്ഷാ സേവനങ്ങൾ നൽകുന്നതിന് സാക്ഷ്യപ്പെടുത്തുകയും ലൈസൻസ് നൽകുകയും ചെയ്യേണ്ട നിയമങ്ങൾ പാസാക്കുന്നതിൽ.

നിയമനിർമ്മാണത്തിൻ്റെ കൽപ്പനകൾ ഇനിയും നിർണ്ണയിച്ചിട്ടില്ലെങ്കിലും, "മറ്റൊരു വ്യക്തിയുടെ വിവരങ്ങളും ആശയവിനിമയ സാങ്കേതിക ഉപകരണവും സംരക്ഷിക്കുന്നതിന് സേവനങ്ങൾ നൽകുന്ന സേവന ദാതാക്കൾക്ക് ഇത് ബാധകമാകും - [ഉദാഹരണത്തിന്] നുഴഞ്ഞുകയറ്റ പരിശോധന ദാതാക്കളും സുരക്ഷാ പ്രവർത്തന കേന്ദ്രങ്ങളും," മലേഷ്യ ആസ്ഥാനമായുള്ള അഭിപ്രായത്തിൽ നിയമ സ്ഥാപനമായ ക്രിസ്റ്റഫർ & ലീ ഓങ്.

ഏഷ്യ-പസഫിക് അയൽരാജ്യമായ സിംഗപ്പൂരിന് കഴിഞ്ഞ രണ്ട് വർഷമായി സൈബർ സുരക്ഷാ സേവന ദാതാക്കളുടെ (സിഎസ്പി) ലൈസൻസിംഗ് ഇതിനകം ആവശ്യമാണ്, കൂടാതെ സൈബർ സുരക്ഷാ പ്രൊഫഷണലുകളുടെ ലൈസൻസിംഗും അക്രഡിറ്റേഷനും ആവശ്യമുള്ള പശ്ചിമ ആഫ്രിക്കൻ രാജ്യമായ ഘാനയും. കൂടുതൽ വ്യാപകമായി, യൂറോപ്യൻ യൂണിയൻ പോലുള്ള ഗവൺമെൻ്റുകൾ സൈബർ സുരക്ഷാ സർട്ടിഫിക്കേഷനുകൾ സാധാരണമാക്കിയിട്ടുണ്ട്, അതേസമയം മറ്റ് ഏജൻസികൾക്ക് - യുഎസ് സ്റ്റേറ്റ് ഓഫ് ന്യൂയോർക്ക് പോലുള്ളവ - നിർദ്ദിഷ്ട വ്യവസായങ്ങളിലെ സൈബർ സുരക്ഷാ കഴിവുകൾക്ക് സർട്ടിഫിക്കേഷനും ലൈസൻസുകളും ആവശ്യമാണ്.

എന്നിരുന്നാലും, ചില വിദഗ്ധർ ഈ നീക്കങ്ങളിൽ നിന്ന് അപകടകരമായ പ്രത്യാഘാതങ്ങൾ കാണുന്നു.

കൂടുതല് വായിക്കുക: ബില്ലിന് ലൈസൻസുണ്ടോ? സൈബർ സെക്യൂരിറ്റി പ്രോസിൻ്റെ രാജ്യങ്ങളുടെ മാൻഡേറ്റ് സർട്ടിഫിക്കേഷനും ലൈസൻസും

ബന്ധപ്പെട്ട: സൈബർ സുരക്ഷാ തയ്യാറെടുപ്പിൽ സിംഗപ്പൂർ ഉയർന്ന ബാർ സജ്ജമാക്കി

സൈബർ സുരക്ഷ പരമാവധിയാക്കുന്നതിനുള്ള J&J സ്പിൻ-ഓഫ് CISO

കാരെൻ ഡി. ഷ്വാർട്സ്, സംഭാവന ചെയ്യുന്ന എഴുത്തുകാരൻ, ഡാർക്ക് റീഡിംഗ്

ഒരു ഉപഭോക്തൃ ഹെൽത്ത് കെയർ കമ്പനിയായ Kenvue- യുടെ CISO എങ്ങനെയാണ് ജോൺസൺ & ജോൺസണിൽ നിന്ന് ഉത്ഭവിച്ചത്, സുരക്ഷാ പരിപാടി നിർമ്മിക്കുന്നതിന് ഉപകരണങ്ങളും പുതിയ ആശയങ്ങളും സംയോജിപ്പിച്ചു.

ജോൺസൺ ആൻഡ് ജോൺസൻ്റെ മൈക്ക് വാഗ്നർ ഫോർച്യൂൺ 100 കമ്പനിയുടെ സുരക്ഷാ സമീപനവും സുരക്ഷാ സ്റ്റാക്കും രൂപപ്പെടുത്താൻ സഹായിച്ചു; ഇപ്പോൾ, J&J-യുടെ ഒരു വർഷം പഴക്കമുള്ള കൺസ്യൂമർ ഹെൽത്ത്‌കെയർ സ്‌പിൻഓഫിൻ്റെ ആദ്യത്തെ CISO, കെൻവ്യൂ, പരമാവധി സുരക്ഷയോടെ കാര്യക്ഷമവും ചെലവ് കുറഞ്ഞതുമായ ഒരു ആർക്കിടെക്ചർ സൃഷ്ടിക്കാൻ ചുമതലപ്പെടുത്തിയിരിക്കുന്നു.

ഈ ലേഖനം വാഗ്നറും അദ്ദേഹത്തിൻ്റെ സംഘവും പ്രവർത്തിച്ച ഘട്ടങ്ങൾ തകർക്കുന്നു, അവയിൽ ഉൾപ്പെടുന്നു:

പ്രധാന റോളുകൾ നിർവചിക്കുക: ഉപകരണങ്ങൾ നടപ്പിലാക്കാൻ ആർക്കിടെക്റ്റുകളും എഞ്ചിനീയർമാരും; സുരക്ഷിതമായ ആധികാരികത പ്രാപ്തമാക്കുന്നതിന് ഐഡൻ്റിറ്റി ആൻഡ് ആക്സസ് മാനേജ്മെൻ്റ് (IAM) വിദഗ്ധർ; റിസ്ക് മാനേജ്മെൻ്റ് നേതാക്കൾ ബിസിനസ് മുൻഗണനകളുമായി സുരക്ഷയെ വിന്യസിക്കാൻ; സംഭവത്തിൻ്റെ പ്രതികരണത്തിനായി സുരക്ഷാ ഓപ്പറേഷൻസ് സ്റ്റാഫ്; കൂടാതെ ഓരോ സൈബർ ഫംഗ്‌ഷനുകൾക്കുമായി സമർപ്പിതരായ ജീവനക്കാരും.

മെഷീൻ ലേണിംഗും AI ഉം ഉൾച്ചേർക്കുക: ടാസ്ക്കുകളിൽ IAM ഓട്ടോമേറ്റ് ചെയ്യുന്നത് ഉൾപ്പെടുന്നു; വിതരണക്കാരൻ്റെ പരിശോധന കാര്യക്ഷമമാക്കൽ; പെരുമാറ്റ വിശകലനം; ഭീഷണി കണ്ടെത്തൽ മെച്ചപ്പെടുത്തുന്നു.

ഏതൊക്കെ ഉപകരണങ്ങളും പ്രക്രിയകളും നിലനിർത്തണമെന്നും ഏതൊക്കെ മാറ്റിസ്ഥാപിക്കണമെന്നും തിരഞ്ഞെടുക്കുക: J&J-യുടെ സൈബർ സുരക്ഷാ ആർക്കിടെക്ചർ പതിറ്റാണ്ടുകൾ നീണ്ട ഏറ്റെടുക്കലുകളാൽ സൃഷ്ടിക്കപ്പെട്ട സിസ്റ്റങ്ങളുടെ പാച്ച് വർക്ക് ആണ്; ഇവിടെ ജോലികളിൽ J&J ടൂളുകൾ ഇൻവെൻ്ററി ഉൾപ്പെടുന്നു; കെൻവ്യൂവിൻ്റെ പ്രവർത്തന മാതൃകയിലേക്ക് അവയെ മാപ്പ് ചെയ്യുന്നു; ആവശ്യമായ പുതിയ കഴിവുകൾ തിരിച്ചറിയുകയും ചെയ്യുന്നു.

ഇനിയും ചെയ്യാനുണ്ടെന്ന് വാഗ്നർ പറയുന്നു. അടുത്തതായി, സീറോ ട്രസ്റ്റ് സ്വീകരിക്കലും സാങ്കേതിക നിയന്ത്രണങ്ങൾ മെച്ചപ്പെടുത്തലും ഉൾപ്പെടെയുള്ള ആധുനിക സുരക്ഷാ തന്ത്രങ്ങളിലേക്ക് ചായാൻ അദ്ദേഹം പദ്ധതിയിടുന്നു.

കൂടുതല് വായിക്കുക: സൈബർ സുരക്ഷ പരമാവധിയാക്കുന്നതിനുള്ള J&J സ്പിൻ-ഓഫ് CISO

ബന്ധപ്പെട്ട: വഞ്ചനയ്‌ക്കെതിരായ വിസയുടെ AI ടൂളുകളിലേക്ക് ഒരു പീക്ക്

SolarWinds 2024: സൈബർ വെളിപ്പെടുത്തലുകൾ ഇവിടെ നിന്ന് എവിടേക്കാണ് പോകുന്നത്?

Appdome, CEO & Co-creator, Tom Tovar-ൻ്റെ കമൻ്ററി

സോളാർ വിൻഡ്‌സിന് ശേഷം SEC യുടെ നാല് ദിവസത്തെ നിയമത്തിന് കീഴിൽ സൈബർ സുരക്ഷാ സംഭവങ്ങൾ എങ്ങനെ, എപ്പോൾ, എവിടെയാണ് ഞങ്ങൾ വെളിപ്പെടുത്തേണ്ടത് എന്നതിനെക്കുറിച്ചുള്ള അപ്‌ഡേറ്റ് ചെയ്‌ത ഉപദേശം നേടുക, ആദ്യം പരിഹരിക്കുന്നതിന് നിയമം പരിഷ്‌ക്കരിക്കാൻ കോളിൽ ചേരുക.

സോളാർ വിൻഡ്‌സിന് ശേഷമുള്ള ലോകത്ത്, സൈബർ സുരക്ഷാ അപകടങ്ങൾക്കും സംഭവങ്ങൾക്കും പരിഹാരമായി സുരക്ഷിതമായ തുറമുഖത്തേക്ക് നാം മാറണം. പ്രത്യേകമായി, ഏതെങ്കിലും കമ്പനി നാല് ദിവസത്തെ സമയപരിധിക്കുള്ളിൽ പോരായ്മകൾ പരിഹരിക്കുകയോ ആക്രമണം നടത്തുകയോ ചെയ്താൽ, അതിന് (എ) ഒരു തട്ടിപ്പ് ക്ലെയിം ഒഴിവാക്കാനോ (അതായത്, സംസാരിക്കാനൊന്നുമില്ല) അല്ലെങ്കിൽ (ബി) സ്റ്റാൻഡേർഡ് 10Q, 10K പ്രോസസ്സ് ഉപയോഗിക്കാനോ കഴിയണം. സംഭവം വെളിപ്പെടുത്താൻ മാനേജ്മെൻ്റ് ഡിസ്കഷൻ ആൻഡ് അനാലിസിസ് വിഭാഗം ഉൾപ്പെടെ.

ഒക്ടോബർ 30-ന് എസ്.ഇ.സി സോളാർ വിൻഡ്‌സിനെതിരെ വഞ്ചനാപരാതി കാലക്രമേണ സോളാർ വിൻഡ്‌സിൻ്റെ ഉൽപ്പന്നങ്ങൾക്കെതിരായ വർദ്ധിച്ചുവരുന്ന അപകടസാധ്യതകൾ, കേടുപാടുകൾ, ആക്രമണങ്ങൾ എന്നിവയെക്കുറിച്ച് സോളാർ വിൻഡ്‌സ് ജീവനക്കാർക്കും എക്‌സിക്യൂട്ടീവുകൾക്കും അറിയാമായിരുന്നിട്ടും, സോളാർ വിൻഡ്‌സിൻ്റെ സൈബർ സുരക്ഷാ റിസ്ക് വെളിപ്പെടുത്തലുകൾ അവരെ ഒരു തരത്തിലും വെളിപ്പെടുത്തിയിട്ടില്ലെന്ന് അതിൻ്റെ ചീഫ് ഇൻഫർമേഷൻ സെക്യൂരിറ്റി ഓഫീസറും ആരോപിച്ചു.

ഈ സാഹചര്യങ്ങളിലെ ബാധ്യതാ പ്രശ്നങ്ങൾ തടയാൻ സഹായിക്കുന്നതിന്, ഒരു സംഭവത്തെ വിലയിരുത്താനും പ്രതികരിക്കാനും കമ്പനികൾക്ക് ഒരു പൂർണ്ണ നാല് ദിവസത്തെ സമയപരിധി അനുവദിക്കും. തുടർന്ന്, പരിഹാരമുണ്ടെങ്കിൽ, സംഭവം ശരിയായി വെളിപ്പെടുത്താൻ സമയമെടുക്കുക. സൈബർ പ്രതികരണത്തിന് കൂടുതൽ ഊന്നൽ നൽകുന്നതും ഒരു കമ്പനിയുടെ പൊതു സ്റ്റോക്കിൽ കുറഞ്ഞ സ്വാധീനവുമാണ് ഫലം. പരിഹരിക്കപ്പെടാത്ത സൈബർ സുരക്ഷാ സംഭവങ്ങൾക്ക് 8K-കൾ ഇപ്പോഴും ഉപയോഗിക്കാം.

കൂടുതല് വായിക്കുക: SolarWinds 2024: സൈബർ വെളിപ്പെടുത്തലുകൾ ഇവിടെ നിന്ന് എവിടേക്കാണ് പോകുന്നത്?

ബന്ധപ്പെട്ട: DevSecOps-ന് SolarWinds എന്താണ് അർത്ഥമാക്കുന്നത്

• SEO പവർ ചെയ്ത ഉള്ളടക്കവും PR വിതരണവും. ഇന്ന് ആംപ്ലിഫൈഡ് നേടുക.
• PlatoData.Network ലംബ ജനറേറ്റീവ് Ai. സ്വയം ശാക്തീകരിക്കുക. ഇവിടെ പ്രവേശിക്കുക.
• PlatoAiStream. Web3 ഇന്റലിജൻസ്. വിജ്ഞാനം വർധിപ്പിച്ചു. ഇവിടെ പ്രവേശിക്കുക.
• പ്ലേറ്റോഇഎസ്ജി. കാർബൺ, ക്ലീൻ ടെക്, ഊർജ്ജം, പരിസ്ഥിതി, സോളാർ, മാലിന്യ സംസ്കരണം. ഇവിടെ പ്രവേശിക്കുക.
• പ്ലേറ്റോ ഹെൽത്ത്. ബയോടെക് ആൻഡ് ക്ലിനിക്കൽ ട്രയൽസ് ഇന്റലിജൻസ്. ഇവിടെ പ്രവേശിക്കുക.
• അവലംബം: https://www.darkreading.com/cybersecurity-operations/ciso-corner-evil-sboms-zero-trust-cloud-security-mitre-ivanti