Добро пожаловать в CISO Corner, еженедельный дайджест статей Dark Reading, специально предназначенный для читателей, занимающихся вопросами безопасности, и руководителей служб безопасности. Каждую неделю мы предлагаем статьи, собранные из наших новостных агентств The Edge, DR Technology, DR Global и нашего раздела комментариев. Мы стремимся предоставить вам разнообразные точки зрения для поддержки работы по реализации стратегий кибербезопасности для руководителей организаций всех форм и размеров.

В этом выпуске CISO Corner:

Корпорации с киберуправлением создают почти в 4 раза большую ценность

Дэвид Стром, автор статей, Dark Reading

Те, у кого есть специальные комитеты, в состав которых входит эксперт по кибербезопасности, а не полагаются на полный совет, с большей вероятностью улучшат безопасность и финансовые показатели.

Компании, которые приложили усилия, чтобы следовать рекомендациям по улучшению управления кибербезопасностью, увеличили свою акционерную стоимость почти в четыре раза по сравнению с теми, которые этого не сделали.

К такому выводу пришел новый опрос, проведенный Bitsight совместно с Diligent Institute, в ходе которого были оценены экспертные знания в области кибербезопасности по 23 различным факторам риска, таким как наличие заражений ботнетами, серверы, на которых размещено вредоносное ПО, устаревшие сертификаты шифрования для веб-коммуникаций и электронной почты, а также открытые сетевые порты на общедоступных серверах.

В отчете также показано, что наилучшие результаты дает наличие отдельных комитетов совета директоров, занимающихся специализированными рисками и соблюдением требований аудита. «Советы директоров, которые осуществляют надзор за кибербезопасностью через специализированные комитеты, в состав которых входит эксперт по кибербезопасности, а не полагаются на полный состав совета директоров, с большей вероятностью улучшат свою общую ситуацию с безопасностью и финансовые показатели», — соглашается Лади Адефала, консультант по кибербезопасности и генеральный директор Omega315.

Прочитайте больше: Корпорации с киберуправлением создают почти в 4 раза большую ценность

Связанный: С блокировкой TikTok настало время оперативного управления

Даже киберпрофессионалы обманываются: как произошла реальная атака вишинга

Элизабет Монтальбано, писатель Dark Reading

Успешные злоумышленники фокусируются на психологическом манипулировании человеческими эмоциями, поэтому жертвой может стать любой, даже киберпрофессионал или технически подкованный человек.

Все началось с телефонного звонка во вторник около 10:30 с неизвестного номера мобильного телефона. Я работал дома за компьютером и обычно не отвечаю на телефонные звонки от незнакомых мне людей. По какой-то причине я решил прекратить свои дела и ответить на этот звонок.

Это была моя первая ошибка из серии еще нескольких, которые я совершил за следующие четыре часа, в течение которых я был жертва кампании вишинга или голосового фишинга. К концу испытания я перевел мошенникам около 5,000 евро в виде средств со своего банковского счета и в биткойнах. Мой банк смог отменить большинство переводов; однако я потерял 1,000 евро, которые отправил на биткойн-кошелек злоумышленников.

Эксперты говорят, что не имеет значения, насколько хорошо вы разбираетесь в тактике злоумышленников или имеете опыт выявления мошенничества. Ключом к успеху злоумышленников является нечто более древнее, чем технологии, поскольку он заключается в манипулировании тем, что делает нас людьми: нашими эмоциями.

Прочитайте больше: Не отвечайте на телефонные звонки: внутри реальной атаки вишинга

Связанный: Северокорейские хакеры снова нацелены на исследователей безопасности

Снижение рисков третьих сторон требует совместного и тщательного подхода

Комментарий Мэтта Меттенхаймера, заместителя директора по кибербезопасности, практика кибербезопасности, S-RM

Проблема может показаться сложной, но большинство организаций обладают большей свободой действий и гибкостью для борьбы с рисками третьих сторон, чем они думают.

Сторонние риски представляют собой уникальную проблему для организаций. На первый взгляд третья сторона может показаться заслуживающей доверия. Но как организация может гарантировать безопасность доверенных ей данных без полной прозрачности внутренней работы стороннего поставщика?

Часто организации преуменьшают значение этого насущного вопроса из-за давних отношений со сторонними поставщиками. Но появление четвертых и даже сторонних поставщиков должно стимулировать организации защищать свои внешние данные. Делает надлежащая комплексная проверка безопасности стороннего поставщика теперь должно включать в себя выяснение того, передает ли третья сторона данные частных клиентов на аутсорсинг более нижестоящим сторонам, что они, вероятно, и делают, благодаря распространению услуг SaaS.

К счастью, есть пять простых готовых шагов, которые предоставляют организациям стартовую дорожную карту для успешного снижения сторонних рисков.

Прочитайте больше: Снижение рисков третьих сторон требует совместного и тщательного подхода

Связанный: Cl0p заявляет об атаке MOVEit; Вот как это сделала банда

Правительство Австралии удваивает усилия по обеспечению кибербезопасности после крупных атак

Джон Лейден, автор статей, Dark Reading Global

Правительство предлагает более современные и комплексные правила кибербезопасности для бизнеса, правительства и поставщиков критически важных инфраструктур.

Слабые стороны австралийских возможностей реагирования на киберинциденты были выявлены в сентябре 2022 года. Кибератака на телекоммуникационного провайдера Optus, за которым в октябре последовала атака с использованием программы-вымогателя на поставщика медицинского страхования Medibank.

В результате австралийское правительство разрабатывает планы по обновлению законов и правил кибербезопасности, провозгласив стратегию, призванную сделать страну мировым лидером в области кибербезопасности к 2030 году.

Помимо устранения пробелов в существующих законах о киберпреступности, австралийские законодатели надеются внести поправки в Закон страны о безопасности критической инфраструктуры (SOCI) 2018 года, чтобы уделять больше внимания предотвращению угроз, обмену информацией и реагированию на киберинциденты.

Прочитайте больше: Правительство Австралии удваивает усилия по обеспечению кибербезопасности после крупных атак

Связанный: Австралийские порты возобновляют работу после серьезного кибер-нарушения

Руководство CISO по определению существенности и риска

Комментарий Питера Дайсона, руководителя отдела аналитики данных, Kovrr

Для многих директоров по информационной безопасности термин «существенность» остается неоднозначным. Несмотря на это, они должны иметь возможность обсуждать существенность и риски со своими советами директоров.

SEC теперь требует от публичных компаний оценить, являются ли киберинциденты «существенными», в качестве порога для сообщения о них. Однако для многих директоров по информационной безопасности существенность остается неоднозначным термином, открытым для интерпретации, исходя из уникальной среды кибербезопасности организации.

Суть путаницы вокруг существенности заключается в определении того, что представляет собой «материальный ущерб». Некоторые считают, что существенность влияет на 0.01% выручки за предыдущий год, что соответствует примерно одному базисному пункту выручки (что соответствует одному часу выручки для корпораций из списка Fortune 1000).

Тестируя различные пороговые значения в сравнении с отраслевыми стандартами, организации могут получить более четкое представление о своей уязвимости к существенным кибератакам.

Прочитайте больше: Руководство CISO по определению существенности и риска

Связанный: Prudential подает в SEC уведомление о добровольном нарушении

Золотое дно нулевого дня приводит к увеличению числа эксплойтов против предприятий

Бекки Брекен, старший редактор Dark Reading

По данным Google, продвинутые злоумышленники все больше внимания уделяют корпоративным технологиям и их поставщикам, в то время как платформы конечных пользователей успешно подавляют эксплойты нулевого дня за счет инвестиций в кибербезопасность.

В 50 году было использовано на 2023% больше уязвимостей нулевого дня, чем в 2022 году. Особенно сильно пострадали предприятия.

Согласно исследованию Mandiant и Google Threat Analysis Group (TAG), изощренные злоумышленники, поддерживаемые национальными государствами, пользуются обширной корпоративной поверхностью атаки. Следы, состоящие из программного обеспечения от нескольких поставщиков, сторонних компонентов и обширных библиотек, предоставляют богатую охотничью почву для тех, кто имеет возможность разрабатывать эксплойты нулевого дня.

Группы киберпреступников уделяют особое внимание программному обеспечению безопасности, в том числе Шлюз безопасности электронной почты Barracuda; Устройство адаптивной безопасности Cisco; Ivanti Endpoint Manager, Mobile и Sentry; и Trend Micro Apex One, говорится в исследовании.

Прочитайте больше: Золотое дно нулевого дня приводит к увеличению числа эксплойтов против предприятий

Связанный: Злоумышленники используют Microsoft Security для обхода ошибок нулевого дня

Включение мер по обеспечению безопасности в повестку дня заседаний совета директоров

Комментарий Мэтта Миддлтон-Лила, управляющего директора по региону EMEA North, Qualys

ИТ-команды могут лучше противостоять критике, помогая своему совету директоров понять риски и способы их устранения, а также объясняя свое долгосрочное видение управления рисками.

Руководители прошлых лет, возможно, не забывали о том, как их команда безопасности подходит к конкретным CVE, но с CVE для опасных ошибок, таких как Apache Log4j. Во многих организациях восстановление безопасности не было исправлено, но теперь оно стоит на более широкой повестке дня. Это означает, что все больше руководителей служб безопасности просят предоставить информацию о том, насколько хорошо они управляют рисками с точки зрения бизнеса.

Это приводит к трудным вопросам, особенно относительно бюджетов и того, как они используются.

Большинство директоров по информационной безопасности склонны использовать информацию об основных принципах ИТ-безопасности (количество остановленных проблем, развернутых обновлений, исправленных критических проблем), но без сравнения с другими бизнес-рисками и проблемами может быть сложно удержать внимание и продемонстрировать, что директор по информационной безопасности выполняет свою работу. .

Чтобы преодолеть эти проблемы, мы должны использовать сравнения и контекстные данные, чтобы рассказать историю о риске. Предоставление базовых цифр о количестве развернутых исправлений не отражает огромных усилий, затраченных на устранение критической проблемы, которая поставила под угрозу приложение, приносящее доход. Он также не показывает, как ваша команда выступает против других. По сути, вы хотите продемонстрировать, как хорошо выглядит совету директоров и как вы продолжаете добиваться результатов с течением времени.

Прочитайте больше: Включение мер по обеспечению безопасности в повестку дня заседаний совета директоров

Связанный: Чего не хватает в зале заседаний: директора по информационной безопасности

• SEO-контент и PR-распределение. Получите усиление сегодня.
• PlatoData.Network Вертикальный генеративный ИИ. Расширьте возможности себя. Доступ здесь.
• ПлатонАйСтрим. Интеллект Web3. Расширение знаний. Доступ здесь.
• ПлатонЭСГ. Углерод, чистые технологии, Энергия, Окружающая среда, Солнечная, Управление отходами. Доступ здесь.
• ПлатонЗдоровье. Биотехнологии и клинические исследования. Доступ здесь.
• Источник: https://www.darkreading.com/cloud-security/ciso-corner-cyber-pro-swindle-risk-valuation