Добро пожаловать в CISO Corner, еженедельный дайджест статей Dark Reading, специально предназначенный для читателей, занимающихся вопросами безопасности, и руководителей служб безопасности. Каждую неделю мы будем предлагать статьи, собранные из наших новостей, The Edge, DR Technology, DR Global и нашего раздела комментариев. Мы стремимся предоставить вам разнообразные точки зрения для поддержки работы по реализации стратегий кибербезопасности для руководителей организаций всех форм и размеров.

В этом выпуске CISO Corner:

5 суровых истин о состоянии облачной безопасности в 2024 году

Эрика Чиковски, автор статей, Dark Reading

Дарк Ридинг обсуждает облачную безопасность с Джоном Киндервагом, крестным отцом нулевого доверия.

Большинство организаций не работают в полной мере зрелые практики облачной безопасности, несмотря на то, что почти половина нарушений произошла в облаке, и почти 4.1 миллиона долларов были потеряны из-за нарушений в облаке в прошлом году.

По мнению крестного отца безопасности с нулевым доверием Джона Киндервага, который концептуализировал и популяризировал модель безопасности с нулевым доверием в качестве аналитика в Forrester, это большая проблема. Он говорит Дарк Ридингу, что нужно признать некоторые суровые истины, чтобы изменить ситуацию.

1. Вы не станете более защищенным, просто перейдя в облако: Облако не является изначально более безопасным, чем большинство локальных сред: провайдеры гипермасштабируемых облаков могут очень хорошо защищать инфраструктуру, но контроль и ответственность, которые они несут за состояние безопасности своих клиентов, очень ограничены. И модель общей ответственности на самом деле не работает.

2. В гибридном мире сложно управлять встроенными средствами безопасности: Качество непостоянно, когда речь идет о предоставлении клиентам большего контроля над их рабочими нагрузками, идентификацией и видимостью, но средства контроля безопасности, которыми можно управлять во всех многочисленных облаках, неуловимы.

3. Identity не спасет ваше облако: Учитывая такой большой упор на управление идентификацией в облаке и непропорциональное внимание компоненту идентификации при нулевом доверии, организациям важно понимать, что идентификация — это лишь часть хорошо сбалансированного завтрака для нулевого доверия в облаке.

4. Слишком многие фирмы не знают, что они пытаются защитить: Каждый актив, система или процесс несет в себе свой уникальный риск, но у организаций нет четкого представления о том, что находится в облаке или что подключается к облаку, не говоря уже о том, что нуждается в защите.

5. Стимулы для развития облачных технологий не в порядке: Слишком многие организации просто не имеют подходящих структур стимулирования для разработчиков, которые могли бы обеспечить безопасность на ходу — и, по сути, многие из них имеют порочные стимулы, которые в конечном итоге поощряют небезопасную практику. «Мне нравится говорить, что люди, работающие над DevOps-приложениями, — это Рикки Бобби из ИТ. Они просто хотят двигаться быстрее», — говорит Киндерваг.

Прочитайте больше: 5 суровых истин о состоянии облачной безопасности в 2024 году

Связанный: Нулевое доверие берет верх: 63% организаций внедряют технологии по всему миру

MITRE ATT&CKED: имя, которому доверяют больше всего в InfoSec, принадлежит Ivanti Bugs

Нейт Нельсон, автор статей, Dark Reading

Ирония мало кто упускает из виду, поскольку злоумышленник на национальном уровне использовал восемь методов MITRE, чтобы взломать сам MITRE, включая использование ошибок Ivanti, которыми злоумышленники копошились в течение нескольких месяцев.

Хакеры из иностранных государств использовали уязвимые устройства Ivanti Edge получить трехмесячный «глубокий» доступ к одной из несекретных сетей MITRE Corp.

MITRE, хранитель вездесущего глоссария ATT&CK, посвященного общеизвестным методам кибератак, ранее в течение 15 лет обходился без серьезных инцидентов. Эта полоса прервалась в январе, когда, как и во многих других организациях, ее шлюзовые устройства Ivanti были взломаны.

Нарушение затронуло Сетевую среду экспериментирования, исследований и виртуализации (NERVE), несекретную сеть для совместной работы, которую организация использует для исследований, разработок и прототипирования. Степень повреждения НЕРВА (каламбур) в настоящее время оценивается.

Какими бы ни были цели, у хакеров было достаточно времени для их достижения. Хотя компрометация произошла в январе, MITRE смог обнаружить ее только в апреле, оставив между ними перерыв в четверть года.

Прочитайте больше: MITRE ATT&CKED: имя, которому доверяют больше всего в InfoSec, принадлежит Ivanti Bugs

Связанный: Лучшие методы MITRE ATT&CK и как от них защититься

Уроки для директоров по информационной безопасности из 10 лучших программ LLM по версии OWASP

Комментарий Кевина Бочека, директора по инновациям, Venafi

Пришло время начать регулировать LLM, чтобы гарантировать, что они хорошо обучены и готовы к ведению деловых сделок, которые могут повлиять на прибыль.

OWASP недавно опубликовал список 10 лучших приложений для больших языковых моделей (LLM), поэтому у разработчиков, дизайнеров, архитекторов и менеджеров теперь есть 10 областей, на которых следует четко сосредоточиться, когда дело доходит до проблем безопасности.

Почти все 10 главных угроз LLM сосредотачиваются вокруг компромисса аутентификации для идентификаторов, используемых в моделях. Различные методы атаки охватывают весь спектр, затрагивая не только идентичность входных данных модели, но и идентичность самих моделей, а также их выходные данные и действия. Это имеет эффект домино и требует аутентификации при подписании кода и создании процессов для остановки уязвимости в источнике.

Хотя более половины из 10 основных рисков по существу смягчены и требуют отключения ИИ, компаниям придется оценить свои варианты при развертывании новых LLM. Если будут созданы правильные инструменты для аутентификации входных данных и моделей, а также действий моделей, компании будут лучше подготовлены к использованию идеи аварийного отключения ИИ и предотвращению дальнейшего разрушения.

Прочитайте больше: Уроки для директоров по информационной безопасности из 10 лучших программ LLM по версии OWASP

Связанный: Bugcrowd объявляет рейтинги уязвимостей для LLM

Cyberattack Gold: SBOM предлагают простую оценку уязвимого программного обеспечения

Роб Лемос, автор статей, Dark Reading

Злоумышленники, скорее всего, будут использовать спецификации программного обеспечения (SBOM) для поиска программного обеспечения, потенциально уязвимого к конкретным дефектам программного обеспечения.

Правительства и компании, чувствительные к безопасности, все чаще требуют от производителей программного обеспечения предоставления им спецификаций на программное обеспечение (SBOM) для устранения рисков в цепочке поставок, но это создает новую категорию беспокойства.

В двух словах: злоумышленник, который определяет, какое программное обеспечение использует целевая компания, может получить соответствующий SBOM и проанализировать компоненты приложения на наличие слабых мест, не отправляя ни единого пакета, говорит Ларри Песке, директор по исследованиям и анализу безопасности продуктов в компании Software. Фирма по обеспечению безопасности цепочки поставок Finite State.

Он бывший тестировщик на проникновение с 20-летним стажем и планирует предупредить о риске в презентации «Злые SBOM» на конференции RSA в мае. Он покажет, что SBOM имеют достаточно информации, чтобы позволить злоумышленникам поиск конкретных CVE в базе данных SBOM и найдите приложение, которое, вероятно, уязвимо. Еще лучше для злоумышленников то, что SBOM также будет перечислять другие компоненты и утилиты на устройстве, которые злоумышленник может использовать для «жизни за счет земли» после компрометации, говорит он.

Прочитайте больше: Cyberattack Gold: SBOM предлагают простую оценку уязвимого программного обеспечения

Связанный: Южная компания построила СБОМ для электроподстанции

Глобально: лицензия на выставление счетов? Сертификация и лицензирование специалистов по кибербезопасности по мандату Наций

Роберт Лемос, автор статей, Dark Reading

Малайзия, Сингапур и Гана входят в число первых стран, принявших законы, требующие кибербезопасности. фирмам — а в некоторых случаях и индивидуальным консультантам — получить лицензии на ведение бизнеса, но опасения остаются.

Малайзия присоединилась как минимум к двум другим странам — Сингапур и Гана — при принятии законов, которые требуют, чтобы специалисты по кибербезопасности или их фирмы были сертифицированы и лицензированы для предоставления некоторых услуг по кибербезопасности в их стране.

Хотя мандаты законодательства еще не определены, «это, скорее всего, будет применяться к поставщикам услуг, которые предоставляют услуги по защите устройств информационных и коммуникационных технологий другого человека — [например, провайдеры тестирования на проникновение и операционные центры безопасности», по данным базирующейся в Малайзии компании. юридическая фирма Кристофер и Ли Онг.

Сосед из Азиатско-Тихоокеанского региона Сингапур уже требует лицензирования поставщиков услуг кибербезопасности (CSP) в течение последних двух лет, а западноафриканская страна Гана требует лицензирования и аккредитации специалистов по кибербезопасности. В более широком смысле правительства, такие как Европейский Союз, узаконили сертификацию кибербезопасности, в то время как другие агентства, такие как американский штат Нью-Йорк, требуют сертификации и лицензий для возможностей кибербезопасности в конкретных отраслях.

Однако некоторые эксперты видят в этих шагах потенциально опасные последствия.

Прочитайте больше: Лицензия на Билла? Сертификация и лицензирование специалистов по кибербезопасности по мандату Наций

Связанный: Сингапур устанавливает высокую планку готовности к кибербезопасности

Директор по информационной безопасности отделения J&J по максимизации кибербезопасности

Карен Д. Шварц, автор Dark Reading

Как директор по информационной безопасности Kenvue, компании по производству потребительских товаров, вышедшей из Johnson & Johnson, объединил инструменты и новые идеи для создания программы безопасности.

Майк Вагнер из Johnson & Johnson помог сформировать подход и пакет безопасности компании из списка Fortune 100; теперь он первый директор по информационной безопасности в дочерней компании J&J в области потребительского здравоохранения Kenvue, которому поручено создать оптимизированную и экономичную архитектуру с максимальной безопасностью.

В этой статье подробно описаны этапы, над которыми работали Вагнер и его команда, в том числе:

Определите ключевые роли: Архитекторы и инженеры для реализации инструментов; эксперты по управлению идентификацией и доступом (IAM) для обеспечения безопасной аутентификации; лидеры по управлению рисками привести безопасность в соответствие с бизнес-приоритетами; персонал службы безопасности для реагирования на инциденты; и выделенный персонал для каждой киберфункции.

Внедрение машинного обучения и искусственного интеллекта: В задачи входит автоматизация IAM; оптимизация проверки поставщиков; поведенческий анализ; и улучшение обнаружения угроз.

Выберите, какие инструменты и процессы сохранить, а какие заменить: Архитектура кибербезопасности J&J представляет собой лоскутное одеяло из систем, созданных в результате десятилетий приобретений; в задачи здесь входила инвентаризация инструментов J&J; сопоставление их с операционной моделью Kenvue; и определение новых необходимых возможностей.

Вагнер говорит, что еще многое предстоит сделать. Далее он планирует использовать современные стратегии безопасности, включая внедрение нулевого доверия и усиление технического контроля.

Прочитайте больше: Директор по информационной безопасности отделения J&J по максимизации кибербезопасности

Связанный: Взгляд на инструменты искусственного интеллекта Visa для борьбы с мошенничеством

SolarWinds 2024: куда дальше пойдет киберразглашение?

Комментарий Тома Товара, генерального директора и соавтора Appdome

Получите обновленные советы о том, как, когда и где мы должны раскрывать инциденты кибербезопасности в соответствии с правилом четырех дней SEC после SolarWinds, и присоединяйтесь к призыву обновить правило, чтобы исправить ситуацию в первую очередь.

В мире после SolarWinds мы должны перейти в безопасную гавань для устранения рисков и инцидентов кибербезопасности. В частности, если какая-либо компания устранит недостатки или атаку в течение четырехдневного периода, она должна иметь возможность (а) избежать претензий о мошенничестве (т. е. не о чем говорить) или (б) использовать стандартный процесс 10Q и 10K, включая раздел «Обсуждение и анализ руководства», чтобы раскрыть инцидент.

30 октября SEC подала жалоба на мошенничество против SolarWinds и ее директор по информационной безопасности, утверждая, что, хотя сотрудники и руководители SolarWinds знали о растущих рисках, уязвимостях и атаках на продукты SolarWinds с течением времени, «раскрытие информации о рисках кибербезопасности SolarWinds никоим образом не раскрывало их».

Чтобы помочь предотвратить проблемы с ответственностью в таких ситуациях, безопасная гавань для восстановления предоставит компаниям полный четырехдневный срок для оценки инцидента и реагирования на него. Затем, если это исправлено, найдите время, чтобы должным образом раскрыть инцидент. В результате больше внимания уделяется кибер-реагированию и меньшему влиянию на публичные акции компании. 8K по-прежнему можно использовать для устранения неразрешенных инцидентов кибербезопасности.

Прочитайте больше: SolarWinds 2024: куда дальше пойдет киберразглашение?

Связанный: Что означает SolarWinds для DevSecOps

• SEO-контент и PR-распределение. Получите усиление сегодня.
• PlatoData.Network Вертикальный генеративный ИИ. Расширьте возможности себя. Доступ здесь.
• ПлатонАйСтрим. Интеллект Web3. Расширение знаний. Доступ здесь.
• ПлатонЭСГ. Углерод, чистые технологии, Энергия, Окружающая среда, Солнечная, Управление отходами. Доступ здесь.
• ПлатонЗдоровье. Биотехнологии и клинические исследования. Доступ здесь.
• Источник: https://www.darkreading.com/cybersecurity-operations/ciso-corner-evil-sboms-zero-trust-cloud-security-mitre-ivanti